搜索
首页数据库mysql教程通过sqli-labs学习sql注入基础挑战之less11-22

原文链接:http://blog.csdn.net/u012763794/article/details/51361152 上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可

原文链接:http://blog.csdn.net/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看

工具

还是火狐+hackbar插件


看看要post提交的字段吧,uname和passwd(这个在username右边的编辑框右键查看元素即可看到)



less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)


判断方法,上篇说过了,直接来个单引号,报错


我们把 整个被单引号引着的复制下来 

把左端和右端的单引号去掉,就变成下面的

test' LIMIT 0,1    test右边有个单引号,这里怎么跟get的报错不一样了(get的单引号报错,test后面有两个单引号),不管了,post就当这样了。

那么判断是单引号注入了


直接来个永真的,加注释,登陆成功


当然除了用注释还可以闭合单引号,当这里有个问题探讨,看下图


为什么登陆失败呢,我们看看最终这个sql语句,

首先and的优先级高于or  【就是and先运算】

那么    '1'='1' and password='test' 先运算,因为users表里面的password字段没有一个数据时test,右边是false,那么整个表达式就是false

为了方便理解,看下面三张图,第一张为users表,第二张可以看到结果是0(这个就是false了,看低三张图)



既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧,右边是false,or也救不了你了偷笑


所以我们要怎么办呢,uname这里不行,我们尝试passwd咯,发现是可以的


下面文字解释一下吧,有了上面的基础,应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了


那么总结一下:一般第一个登陆字段(一般是用户名)就用注释,第二个登陆字段(一般就密码)用闭合和注释都是可以的


此外,我们这里还可以通过盲注获取数据库信息


这个当然也是写个脚步来跑啦


有空我改造之前的那一篇的python脚本,盲注一下这里


less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)


先用什么单引号双引号看看,报错就看出它有没有用引号,或者加了其他东西


那么这里明显看出用)将变量括着,那么直接绕过



less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)


单引号看出有),直接永真+闭合



less 14 POST - Double Injection - Single quotes-  String -twist (POST单引号变形双注入)


这个跟上一课的名称一样吧,但其实这是双引号的 单引号没报错,双引号就报错了,这个比上面两个简单


less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)


这里输入单引号,双引号就不会报错了,我们只能加上永真用假或者时间延迟函数了 确定单引号盲注

盲注这种事情当然编程实现才好了



less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)


这次就用时间延迟的吧 uname=a&passwd=a") or 1=1# ,判断为双引号变形

测试: uname=a&passwd=a")  or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a")  or if(length(database())=8,1,sleep(5)) #



less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

注意:下面的注入,一不小心可能把数据库的user表的密码表给清空了

这个应该跟xpath注入有点关系 xpath教程看这 http://www.w3school.com.cn/xpath/ 还有个函数  updatexml,这个函数搜了很久都不见其介绍,都是直接给个payload:updatexml(1,concat(0x7e,(version())),0),这函数什么意思,每个位置的参数对应什么,什么都没说,我也是醉了,后来直接在mysql控制台直接help搞掂,瞬间跪了,看了学东西还是官方的好啊,有解释有例子,很好


可以看到可以看到 第一个参数是 目标xml 第二个参数是 xpath的表达式,这个看w3c那个xpath教程 第三个参数是 要将xpath的表达式的东西将目标xml替换成什么
实践了一下上面的例子,你就会理解
第一个直接将a结点的内容包括a直接替换为fff
第二个是因为第一个结点并没有b结点所以没有变化, /就相当于linux的根目录咯
第三个例子就不管b在哪一层,只要找到就替换

而且发现只能替换一个结点


好了,大家好好理解,我们开始注入
这个我也没怎么接触,先看看代码
首先有个过滤函数, check_input
check_input首先判断不为空,就截取前15个字符,
当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 若开了就将转义符去掉
ctype_digit判断是不是数字,是数字就返回true,否则返回false
是字符就用mysql_real_escape_string过滤,其实基本就是转义(转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集),这样就把宽字节cut了 是数字也要用intval转化成int,因为传过来的是字符型数字
function check_input($value){
	if(!empty($value)){
		// truncation (see comments)
		$value = substr($value,0,15);
	}
	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc()){
		$value = stripslashes($value);
	}
	// Quote if not a number
	if (!ctype_digit($value)){
		$value = "'" . mysql_real_escape_string($value) . "'";
		}
	else{
		$value = intval($value);
	}
	return $value;
}

可以看到只对uname过滤,那么我们从password入手咯


首先通过用户名查询出用户名和密码,再更新那个用户的密码 首先要绕过通过用户名查询出用户名和密码,这个我们只能猜吧,比如admin,root,test什么的,这个可以用字典 在这里我们就当知道是admin了,直接用admin就考虑下一步
我们看看payload,updatexml的第一个参数和第三个参数随便一个数字就行


其实不要1= 也是可以的,我们要的是执行updatexml执行的时候报错

关键在第二个参数的理解,为什么要这样 我们可以看到第二个参数直接version()那个版本信息显示不全, 我们在version两边加个左右括号(十六进制分别是0x28,0x29)看看, 可以看到多了右边的括号 我们再在两边加个+(0x2b)号看看,我们看到已经完整显示出来了

当然再加一个也是可以的



甚至只有前面连接也是可以

还有很多,就不列举了 通过实验,报错的时候只会显示后面的一部分,但是我们在前面添加的字符,那么除了第一个字符,整个字符都显示出来了,要从根本理解,可能看xpath的报错输出函数?
下面开始真正的注入过程吧
获取当前数据库

用户

数据表, 用用limit控制第几个表就行,一次只能出一行数据哦,多行是不能把信息爆出来的 当然那个数据库那里,单引号没过滤用单引号括着security也行

看看users表有什么列

依次查出有id, username,password
接下来就搞数据了,发现不能不能先select出同一表中的某些值,再update这个表(在同一语句中)

我们再加一层select行不行呢,还要给里面那层给个别名哦

那就起个hack名咯,在整个select语句后面加就行,终于搞出来了,挺艰难的


less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)


这里对用户名和密码都加了过滤
当这个怎么判断存在uagent头存在注入呢,是因为他获取了我们的ip,猜它应该也获取了uagent?当然不靠普,这个靠模糊测试吧(其实就是靠发单引号啊什么的用程序去测试返回结果),还有请使用xxx浏览器访问的,有可能获取了uagent,但也可能只是前端的js来处理
那么用什么工具手注呢,burp的repeater非常方便,用火狐的某些插件应该也可以如live http headers,tamper data,下面我用live http headers插件
首先这里要输入正确的账号和密码才能绕过账号密码判断,进入处理uagent部分,这里跟我们现实中的注册登录再注入是比较贴合,这里我们输入正确的账号密码就输出我们的uagent

跟上节一样, 获取数据库

这次我们就不获取users表了,获取emails表吧,更改limit的偏移即可获取全部


less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)


当然这里用updatexml也是可以的


这里介绍另一个报错函数extractvalue

更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值



看看例子,可以看到与updatexml一次只能更新一个节点不同,extractvalue可以一次获取多个节点的值,并以空格分隔


接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦,updatexml是3个)


其实思路都是差不多
这里直接上最后结果





less 20 POST - Cookie injections - Uagent field  - Error based (基于错误的cookie头部POST注入)

看了下代码
首先判断有无cookie,没有的话,查询出来再设置cookie

若cookie存在,又分两种情况, 第一种情况,你登陆过,cookie还有效,你没按删除cookie的按钮,那么他就输出各种信息,包括删除cookie的按钮
if(!isset($_POST['submit'])){		
	$cookee = $_COOKIE['uname'];
	$format = 'D d M Y - H:i:s';
	$timestamp = time() + 3600;
	echo "<center>";
	echo '<br><br><br>';
	echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	echo "<br><br><b>";
	echo '<br><font color="red" font size="4">';	
	echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
	echo "</font><br>";	
	echo '<font color="cyan" font size="4">';	
	echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
	echo "</font><br>";			
	echo '<font color="#FFFF00" font size="4">';
	echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
	echo '<font color="orange" font size="5">';			
	echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
	echo "<br></font>";
	$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
	$result=mysql_query($sql);
	if (!$result){
			die('Issue with your mysql: ' . mysql_error());
	}
	$row = mysql_fetch_array($result);
	if($row){
	  	echo '<font color="pink" font size="5">';	
	  	echo 'Your Login name:'. $row['username'];
	  	echo "<br>";
		echo '<font color="grey" font size="5">';  	
		echo 'Your Password:' .$row['password'];
	  	echo "</font></font></font></b>";
		echo "<br>";
		echo 'Your ID:' .$row['id'];
	}else{
		echo "<center>";
		echo '<br><br><br>';
		echo '<img  src="/static/imghwm/default1.png" data-src="../images/slap1.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
		echo "<br><br><b>";
		//echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	}
	echo '</b><center>';
	echo '<form action="" method="post">';
	echo '<input type="submit" name="submit" value="Delete Your Cookie!">';
	echo '</form>';
	echo '</center>';
}</center>
</center>

第二种情况,你按了删除cookie的按钮



后台就把cookie的时间设置为过期的时间,那么cookie就被删除了

那么我们的目标登陆完后对cookie的注入,核心代码在下图


首先判断方法什么的都是通用的,我就不啰嗦了

3列返回正确,所以users表有三列


直接上最后获取到的email信息吧





这里是base64 ,单引号+括号,其实跟20差不多啊






这个跟less20,21差不多,这里是双引号,还要base64编码了的,有强大的hackbar怕什么,




本文链接:http://blog.csdn.net/u012763794/article/details/51361152


声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
从零开始学Spring Cloud从零开始学Spring CloudJun 22, 2023 am 08:11 AM

作为一名Java开发者,学习和使用Spring框架已经是一项必不可少的技能。而随着云计算和微服务的盛行,学习和使用SpringCloud成为了另一个必须要掌握的技能。SpringCloud是一个基于SpringBoot的用于快速构建分布式系统的开发工具集。它为开发者提供了一系列的组件,包括服务注册与发现、配置中心、负载均衡和断路器等,使得开发者在构建微

如何通过编写代码来学习 PHP8 中的文件操作技巧如何通过编写代码来学习 PHP8 中的文件操作技巧Sep 12, 2023 pm 04:25 PM

如何通过编写代码来学习PHP8中的文件操作技巧PHP是一种广泛应用于Web开发的脚本语言,能够方便地对文件进行操作,如读写文件、创建目录等。掌握PHP的文件操作技巧对于开发人员来说是非常重要的。本文将介绍如何通过编写代码来学习PHP8中的文件操作技巧。第一步:搭建PHP开发环境在学习PHP的文件操作技巧之前,我们首先需要搭建一个P

轻松学会win7怎么还原系统轻松学会win7怎么还原系统Jul 09, 2023 pm 07:25 PM

win7系统自带有备份还原系统的功能,如果之前有给win7系统备份的话,当电脑出现系统故障的时候,我们可以尝试通过win7还原系统修复。那么win7怎么还原系统呢?下面小编就教下大家如何还原win7系统。具体的步骤如下:1、开机在进入Windows系统启动画面之前按下F8键,然后出现系统启动菜单,选择安全模式登陆即可进入。2、进入安全模式之后,点击“开始”→“所有程序”→“附件”→“系统工具”→“系统还原”。3、最后只要选择最近手动设置过的还原点以及其他自动的还原点都可以,但是最好下一步之前点击

学习PHP中的PHPUNIT框架学习PHP中的PHPUNIT框架Jun 22, 2023 am 09:48 AM

随着Web应用程序的需求越来越高,PHP技术在开发领域中变得越来越重要。在PHP开发方面,测试是一个必要的步骤,它可以帮助开发者确保他们创建的代码在各种情况下都可靠和实用。在PHP中,一个流行的测试框架是PHPUnit。PHPUnit是一个基于Junit的测试框架,其目的是创建高质量、可维护和可重复的代码。下面是一些学习使用PHPUnit框架的基础知识和步骤

分割后门训练的后门防御方法:DBD分割后门训练的后门防御方法:DBDApr 25, 2023 pm 11:16 PM

香港中文大学(深圳)吴保元教授课题组和浙江大学秦湛教授课题组联合发表了一篇后门防御领域的文章,已顺利被ICLR2022接收。近年来,后门问题受到人们的广泛关注。随着后门攻击的不断提出,提出针对一般化后门攻击的防御方法变得愈加困难。该论文提出了一个基于分割后门训练过程的后门防御方法。本文揭示了后门攻击就是一个将后门投影到特征空间的端到端监督训练方法。在此基础上,本文分割训练过程来避免后门攻击。该方法与其他后门防御方法进行了对比实验,证明了该方法的有效性。收录会议:ICLR2022文章链接:http

我能学习Selenium而不了解Java吗?我能学习Selenium而不了解Java吗?Sep 11, 2023 pm 07:09 PM

这个问题涉及到许多实际上并不了解核心技术并希望在SeleniumAutomation领域发展职业生涯的专业人士。编码这个术语让非程序员有点害怕,甚至不敢从自动化之类的东西开始。人们认为非程序员无法在自动化方面表现出色,但这只是在头脑中。许多值得和有能力的手动测试人员回避Selenium,只是认为它需要一些特殊技能。Selenium脚本是用多种语言设计的,例如Python、Ruby、C#、JavaScript和Java就是其中之一他们当中就有这样的人。了解了Java的受欢迎程度和未来前景,现在更倾

如何学习PHP中的Laravel框架如何学习PHP中的Laravel框架Jun 22, 2023 am 11:15 AM

Laravel是一个基于PHP的开源Web应用程序框架,是当今最受欢迎的框架之一。它的设计思想是以简单、优雅的方式解决复杂的问题,为开发Web应用程序提供了丰富的工具和资源。如果你想在PHP中学习Laravel框架,下面是几个关键步骤:第一步:安装和配置Laravel在开始使用Laravel之前,您需要安装PHP和Composer。Composer是一个PH

轻松学会win7如何升级win10系统轻松学会win7如何升级win10系统Jul 15, 2023 am 09:37 AM

随着win10系统的成熟,微软停止win7的更新和支持,越来越多人选择win10系统使用,打算将自己的win7升级win10系统。不过很多小伙伴不知道win7如何升级win10系统,找不到升级的按键。下面小编教大家一个简单的win7升级win10系统的方法。我们可以借助工具轻松实现win7升级安装win10的方法,具体的操作步骤如下:1、先在电脑上下载安装小鱼一键重装系统工具并打开,关闭电脑的杀毒软件,备份c盘重要资料。然后选择需要安装的win10系统点击安装此系统。2、这个界面选择想要安装的软

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
3 周前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
3 周前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.如果您听不到任何人,如何修复音频
3 周前By尊渡假赌尊渡假赌尊渡假赌

热工具

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

螳螂BT

螳螂BT

Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

功能强大的PHP集成开发环境

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

DVWA

DVWA

Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中