通过sqli-labs学习sql注入基础挑战之less11-22

原文链接：http://blog.csdn.net/u012763794/article/details/51361152 上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833，都是get型的，包含的种类也是比较多了，这次的是post型注入一般都是登陆绕过，当然也是可

原文链接：http://blog.csdn.net/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833，都是get型的，包含的种类也是比较多了，这次的是post型注入一般都是登陆绕过，当然也是可以获取数据库的信息，具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有，这里不会讲以前讲过了知识了，还有盲注的python脚步哦，有需要的链接去看看

工具

还是火狐+hackbar插件

看看要post提交的字段吧，uname和passwd(这个在username右边的编辑框右键查看元素即可看到)

less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)

判断方法,上篇说过了,直接来个单引号，报错

我们把 整个被单引号引着的复制下来 

把左端和右端的单引号去掉，就变成下面的

test' LIMIT 0,1    test右边有个单引号，这里怎么跟get的报错不一样了（get的单引号报错，test后面有两个单引号），不管了，post就当这样了。

那么判断是单引号注入了

直接来个永真的，加注释，登陆成功

当然除了用注释还可以闭合单引号,当这里有个问题探讨，看下图

为什么登陆失败呢，我们看看最终这个sql语句，

首先and的优先级高于or  【就是and先运算】

那么    '1'='1' and password='test' 先运算，因为users表里面的password字段没有一个数据时test，右边是false，那么整个表达式就是false

为了方便理解，看下面三张图，第一张为users表，第二张可以看到结果是0（这个就是false了，看低三张图）

既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧，右边是false，or也救不了你了

所以我们要怎么办呢，uname这里不行，我们尝试passwd咯，发现是可以的

下面文字解释一下吧，有了上面的基础，应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了

那么总结一下：一般第一个登陆字段（一般是用户名）就用注释，第二个登陆字段（一般就密码）用闭合和注释都是可以的

此外，我们这里还可以通过盲注获取数据库信息

这个当然也是写个脚步来跑啦

有空我改造之前的那一篇的python脚本,盲注一下这里

less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)

先用什么单引号双引号看看，报错就看出它有没有用引号，或者加了其他东西

那么这里明显看出用)将变量括着，那么直接绕过

less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

单引号看出有），直接永真+闭合

less 14 POST - Double Injection - Single quotes-  String -twist (POST单引号变形双注入)

这个跟上一课的名称一样吧，但其实这是双引号的 单引号没报错，双引号就报错了，这个比上面两个简单

less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)

这里输入单引号，双引号就不会报错了，我们只能加上永真用假或者时间延迟函数了 确定单引号盲注

盲注这种事情当然编程实现才好了

less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)

这次就用时间延迟的吧 uname=a&passwd=a") or 1=1# ，判断为双引号变形

测试： uname=a&passwd=a")  or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a")  or if(length(database())=8,1,sleep(5)) #

less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

注意：下面的注入，一不小心可能把数据库的user表的密码表给清空了

这个应该跟xpath注入有点关系 xpath教程看这 http://www.w3school.com.cn/xpath/ 还有个函数  updatexml，这个函数搜了很久都不见其介绍，都是直接给个payload：updatexml(1,concat(0x7e,(version())),0)，这函数什么意思，每个位置的参数对应什么，什么都没说，我也是醉了，后来直接在mysql控制台直接help搞掂，瞬间跪了，看了学东西还是官方的好啊，有解释有例子，很好


可以看到可以看到 第一个参数是 目标xml 第二个参数是 xpath的表达式，这个看w3c那个xpath教程 第三个参数是 要将xpath的表达式的东西将目标xml替换成什么
实践了一下上面的例子，你就会理解
第一个直接将a结点的内容包括a直接替换为fff了
第二个是因为第一个结点并没有b结点所以没有变化， /就相当于linux的根目录咯
第三个例子就不管b在哪一层，只要找到就替换

而且发现只能替换一个结点


好了，大家好好理解，我们开始注入
这个我也没怎么接触，先看看代码
首先有个过滤函数， check_input
check_input首先判断不为空，就截取前15个字符，
当magic_quotes_gpc=On的时候，函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候，函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有:post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误 若开了就将转义符去掉
ctype_digit判断是不是数字，是数字就返回true，否则返回false
是字符就用mysql_real_escape_string过滤，其实基本就是转义（转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集），这样就把宽字节cut了 是数字也要用intval转化成int，因为传过来的是字符型数字

function check_input($value){
	if(!empty($value)){
		// truncation (see comments)
		$value = substr($value,0,15);
	}
	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc()){
		$value = stripslashes($value);
	}
	// Quote if not a number
	if (!ctype_digit($value)){
		$value = "'" . mysql_real_escape_string($value) . "'";
		}
	else{
		$value = intval($value);
	}
	return $value;
}

可以看到只对uname过滤，那么我们从password入手咯


首先通过用户名查询出用户名和密码，再更新那个用户的密码 首先要绕过通过用户名查询出用户名和密码，这个我们只能猜吧，比如admin，root，test什么的，这个可以用字典 在这里我们就当知道是admin了，直接用admin就考虑下一步
我们看看payload，updatexml的第一个参数和第三个参数随便一个数字就行


其实不要1= 也是可以的，我们要的是执行updatexml执行的时候报错

关键在第二个参数的理解，为什么要这样 我们可以看到第二个参数直接version()那个版本信息显示不全， 我们在version两边加个左右括号（十六进制分别是0x28，0x29）看看， 可以看到多了右边的括号 我们再在两边加个+（0x2b）号看看，我们看到已经完整显示出来了

当然再加一个也是可以的



甚至只有前面连接也是可以

还有很多，就不列举了 通过实验，报错的时候只会显示后面的一部分，但是我们在前面添加的字符，那么除了第一个字符，整个字符都显示出来了，要从根本理解，可能看xpath的报错输出函数？
下面开始真正的注入过程吧
获取当前数据库

用户

数据表， 用用limit控制第几个表就行，一次只能出一行数据哦，多行是不能把信息爆出来的 当然那个数据库那里，单引号没过滤用单引号括着security也行

看看users表有什么列

依次查出有id， username，password
接下来就搞数据了，发现不能不能先select出同一表中的某些值，再update这个表(在同一语句中)

我们再加一层select行不行呢，还要给里面那层给个别名哦

那就起个hack名咯，在整个select语句后面加就行，终于搞出来了，挺艰难的

less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理，头部POST注入)

这里对用户名和密码都加了过滤
当这个怎么判断存在uagent头存在注入呢，是因为他获取了我们的ip，猜它应该也获取了uagent？当然不靠普，这个靠模糊测试吧（其实就是靠发单引号啊什么的用程序去测试返回结果），还有请使用xxx浏览器访问的，有可能获取了uagent，但也可能只是前端的js来处理
那么用什么工具手注呢，burp的repeater非常方便，用火狐的某些插件应该也可以如live http headers，tamper data，下面我用live http headers插件
首先这里要输入正确的账号和密码才能绕过账号密码判断，进入处理uagent部分，这里跟我们现实中的注册登录再注入是比较贴合，这里我们输入正确的账号密码就输出我们的uagent

跟上节一样， 获取数据库

这次我们就不获取users表了，获取emails表吧，更改limit的偏移即可获取全部

less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)

当然这里用updatexml也是可以的


这里介绍另一个报错函数extractvalue

更详细自己去看看，第一个参数也是个xml，第二个参数就是xpath的表达式，这个函数是获取xml中某个节点的值



看看例子，可以看到与updatexml一次只能更新一个节点不同，extractvalue可以一次获取多个节点的值，并以空格分隔


接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦，updatexml是3个)


其实思路都是差不多
这里直接上最后结果

less 20 POST - Cookie injections - Uagent field  - Error based (基于错误的cookie头部POST注入)

看了下代码
首先判断有无cookie，没有的话，查询出来再设置cookie

若cookie存在，又分两种情况， 第一种情况，你登陆过，cookie还有效，你没按删除cookie的按钮，那么他就输出各种信息，包括删除cookie的按钮

if(!isset($_POST['submit'])){		
	$cookee = $_COOKIE['uname'];
	$format = 'D d M Y - H:i:s';
	$timestamp = time() + 3600;
	echo "<center>";
	echo '<br><br><br>';
	echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	echo "<br><br><b>";
	echo '<br><font color="red" font size="4">';	
	echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
	echo "</font><br>";	
	echo '<font color="cyan" font size="4">';	
	echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
	echo "</font><br>";			
	echo '<font color="#FFFF00" font size="4">';
	echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
	echo '<font color="orange" font size="5">';			
	echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
	echo "<br></font>";
	$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
	$result=mysql_query($sql);
	if (!$result){
			die('Issue with your mysql: ' . mysql_error());
	}
	$row = mysql_fetch_array($result);
	if($row){
	  	echo '<font color="pink" font size="5">';	
	  	echo 'Your Login name:'. $row['username'];
	  	echo "<br>";
		echo '<font color="grey" font size="5">';  	
		echo 'Your Password:' .$row['password'];
	  	echo "</font></font></font></b>";
		echo "<br>";
		echo 'Your ID:' .$row['id'];
	}else{
		echo "<center>";
		echo '<br><br><br>';
		echo '<img  src="/static/imghwm/default1.png" data-src="../images/slap1.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
		echo "<br><br><b>";
		//echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	}
	echo '</b><center>';
	echo '<form action="" method="post">';
	echo '<input type="submit" name="submit" value="Delete Your Cookie!">';
	echo '</form>';
	echo '</center>';
}</center>
</center>

第二种情况，你按了删除cookie的按钮



后台就把cookie的时间设置为过期的时间，那么cookie就被删除了

那么我们的目标登陆完后对cookie的注入，核心代码在下图


首先判断方法什么的都是通用的，我就不啰嗦了

3列返回正确，所以users表有三列


直接上最后获取到的email信息吧

less 21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)

这里是base64 ，单引号+括号，其实跟20差不多啊

less 22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)

这个跟less20，21差不多，这里是双引号，还要base64编码了的，有强大的hackbar怕什么，




本文链接：http://blog.csdn.net/u012763794/article/details/51361152