搜索
首页数据库mysql教程通过sqli-labs学习sql注入基础挑战之less11-22

原文链接:http://blog.csdn.net/u012763794/article/details/51361152 上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可

原文链接:http://blog.csdn.net/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看

工具

还是火狐+hackbar插件


看看要post提交的字段吧,uname和passwd(这个在username右边的编辑框右键查看元素即可看到)



less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)


判断方法,上篇说过了,直接来个单引号,报错


我们把 整个被单引号引着的复制下来 

把左端和右端的单引号去掉,就变成下面的

test' LIMIT 0,1    test右边有个单引号,这里怎么跟get的报错不一样了(get的单引号报错,test后面有两个单引号),不管了,post就当这样了。

那么判断是单引号注入了


直接来个永真的,加注释,登陆成功


当然除了用注释还可以闭合单引号,当这里有个问题探讨,看下图


为什么登陆失败呢,我们看看最终这个sql语句,

首先and的优先级高于or  【就是and先运算】

那么    '1'='1' and password='test' 先运算,因为users表里面的password字段没有一个数据时test,右边是false,那么整个表达式就是false

为了方便理解,看下面三张图,第一张为users表,第二张可以看到结果是0(这个就是false了,看低三张图)



既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧,右边是false,or也救不了你了偷笑


所以我们要怎么办呢,uname这里不行,我们尝试passwd咯,发现是可以的


下面文字解释一下吧,有了上面的基础,应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了


那么总结一下:一般第一个登陆字段(一般是用户名)就用注释,第二个登陆字段(一般就密码)用闭合和注释都是可以的


此外,我们这里还可以通过盲注获取数据库信息


这个当然也是写个脚步来跑啦


有空我改造之前的那一篇的python脚本,盲注一下这里


less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)


先用什么单引号双引号看看,报错就看出它有没有用引号,或者加了其他东西


那么这里明显看出用)将变量括着,那么直接绕过



less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)


单引号看出有),直接永真+闭合



less 14 POST - Double Injection - Single quotes-  String -twist (POST单引号变形双注入)


这个跟上一课的名称一样吧,但其实这是双引号的 单引号没报错,双引号就报错了,这个比上面两个简单


less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)


这里输入单引号,双引号就不会报错了,我们只能加上永真用假或者时间延迟函数了 确定单引号盲注

盲注这种事情当然编程实现才好了



less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)


这次就用时间延迟的吧 uname=a&passwd=a") or 1=1# ,判断为双引号变形

测试: uname=a&passwd=a")  or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a")  or if(length(database())=8,1,sleep(5)) #



less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

注意:下面的注入,一不小心可能把数据库的user表的密码表给清空了

这个应该跟xpath注入有点关系 xpath教程看这 http://www.w3school.com.cn/xpath/ 还有个函数  updatexml,这个函数搜了很久都不见其介绍,都是直接给个payload:updatexml(1,concat(0x7e,(version())),0),这函数什么意思,每个位置的参数对应什么,什么都没说,我也是醉了,后来直接在mysql控制台直接help搞掂,瞬间跪了,看了学东西还是官方的好啊,有解释有例子,很好


可以看到可以看到 第一个参数是 目标xml 第二个参数是 xpath的表达式,这个看w3c那个xpath教程 第三个参数是 要将xpath的表达式的东西将目标xml替换成什么
实践了一下上面的例子,你就会理解
第一个直接将a结点的内容包括a直接替换为fff
第二个是因为第一个结点并没有b结点所以没有变化, /就相当于linux的根目录咯
第三个例子就不管b在哪一层,只要找到就替换

而且发现只能替换一个结点


好了,大家好好理解,我们开始注入
这个我也没怎么接触,先看看代码
首先有个过滤函数, check_input
check_input首先判断不为空,就截取前15个字符,
当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 若开了就将转义符去掉
ctype_digit判断是不是数字,是数字就返回true,否则返回false
是字符就用mysql_real_escape_string过滤,其实基本就是转义(转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集),这样就把宽字节cut了 是数字也要用intval转化成int,因为传过来的是字符型数字
function check_input($value){
	if(!empty($value)){
		// truncation (see comments)
		$value = substr($value,0,15);
	}
	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc()){
		$value = stripslashes($value);
	}
	// Quote if not a number
	if (!ctype_digit($value)){
		$value = "'" . mysql_real_escape_string($value) . "'";
		}
	else{
		$value = intval($value);
	}
	return $value;
}

可以看到只对uname过滤,那么我们从password入手咯


首先通过用户名查询出用户名和密码,再更新那个用户的密码 首先要绕过通过用户名查询出用户名和密码,这个我们只能猜吧,比如admin,root,test什么的,这个可以用字典 在这里我们就当知道是admin了,直接用admin就考虑下一步
我们看看payload,updatexml的第一个参数和第三个参数随便一个数字就行


其实不要1= 也是可以的,我们要的是执行updatexml执行的时候报错

关键在第二个参数的理解,为什么要这样 我们可以看到第二个参数直接version()那个版本信息显示不全, 我们在version两边加个左右括号(十六进制分别是0x28,0x29)看看, 可以看到多了右边的括号 我们再在两边加个+(0x2b)号看看,我们看到已经完整显示出来了

当然再加一个也是可以的



甚至只有前面连接也是可以

还有很多,就不列举了 通过实验,报错的时候只会显示后面的一部分,但是我们在前面添加的字符,那么除了第一个字符,整个字符都显示出来了,要从根本理解,可能看xpath的报错输出函数?
下面开始真正的注入过程吧
获取当前数据库

用户

数据表, 用用limit控制第几个表就行,一次只能出一行数据哦,多行是不能把信息爆出来的 当然那个数据库那里,单引号没过滤用单引号括着security也行

看看users表有什么列

依次查出有id, username,password
接下来就搞数据了,发现不能不能先select出同一表中的某些值,再update这个表(在同一语句中)

我们再加一层select行不行呢,还要给里面那层给个别名哦

那就起个hack名咯,在整个select语句后面加就行,终于搞出来了,挺艰难的


less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)


这里对用户名和密码都加了过滤
当这个怎么判断存在uagent头存在注入呢,是因为他获取了我们的ip,猜它应该也获取了uagent?当然不靠普,这个靠模糊测试吧(其实就是靠发单引号啊什么的用程序去测试返回结果),还有请使用xxx浏览器访问的,有可能获取了uagent,但也可能只是前端的js来处理
那么用什么工具手注呢,burp的repeater非常方便,用火狐的某些插件应该也可以如live http headers,tamper data,下面我用live http headers插件
首先这里要输入正确的账号和密码才能绕过账号密码判断,进入处理uagent部分,这里跟我们现实中的注册登录再注入是比较贴合,这里我们输入正确的账号密码就输出我们的uagent

跟上节一样, 获取数据库

这次我们就不获取users表了,获取emails表吧,更改limit的偏移即可获取全部


less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)


当然这里用updatexml也是可以的


这里介绍另一个报错函数extractvalue

更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值



看看例子,可以看到与updatexml一次只能更新一个节点不同,extractvalue可以一次获取多个节点的值,并以空格分隔


接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦,updatexml是3个)


其实思路都是差不多
这里直接上最后结果





less 20 POST - Cookie injections - Uagent field  - Error based (基于错误的cookie头部POST注入)

看了下代码
首先判断有无cookie,没有的话,查询出来再设置cookie

若cookie存在,又分两种情况, 第一种情况,你登陆过,cookie还有效,你没按删除cookie的按钮,那么他就输出各种信息,包括删除cookie的按钮
if(!isset($_POST['submit'])){		
	$cookee = $_COOKIE['uname'];
	$format = 'D d M Y - H:i:s';
	$timestamp = time() + 3600;
	echo "<center>";
	echo '<br><br><br>';
	echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	echo "<br><br><b>";
	echo '<br><font color="red" font size="4">';	
	echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
	echo "</font><br>";	
	echo '<font color="cyan" font size="4">';	
	echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
	echo "</font><br>";			
	echo '<font color="#FFFF00" font size="4">';
	echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
	echo '<font color="orange" font size="5">';			
	echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
	echo "<br></font>";
	$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
	$result=mysql_query($sql);
	if (!$result){
			die('Issue with your mysql: ' . mysql_error());
	}
	$row = mysql_fetch_array($result);
	if($row){
	  	echo '<font color="pink" font size="5">';	
	  	echo 'Your Login name:'. $row['username'];
	  	echo "<br>";
		echo '<font color="grey" font size="5">';  	
		echo 'Your Password:' .$row['password'];
	  	echo "</font></font></font></b>";
		echo "<br>";
		echo 'Your ID:' .$row['id'];
	}else{
		echo "<center>";
		echo '<br><br><br>';
		echo '<img  src="/static/imghwm/default1.png" data-src="../images/slap1.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
		echo "<br><br><b>";
		//echo '<img  src="/static/imghwm/default1.png" data-src="../images/Less-20.jpg" class="lazy" alt="通过sqli-labs学习sql注入基础挑战之less11-22" >';
	}
	echo '</b><center>';
	echo '<form action="" method="post">';
	echo '<input type="submit" name="submit" value="Delete Your Cookie!">';
	echo '</form>';
	echo '</center>';
}</center>
</center>

第二种情况,你按了删除cookie的按钮



后台就把cookie的时间设置为过期的时间,那么cookie就被删除了

那么我们的目标登陆完后对cookie的注入,核心代码在下图


首先判断方法什么的都是通用的,我就不啰嗦了

3列返回正确,所以users表有三列


直接上最后获取到的email信息吧





这里是base64 ,单引号+括号,其实跟20差不多啊






这个跟less20,21差不多,这里是双引号,还要base64编码了的,有强大的hackbar怕什么,




本文链接:http://blog.csdn.net/u012763794/article/details/51361152


声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
解释InnoDB缓冲池及其对性能的重要性。解释InnoDB缓冲池及其对性能的重要性。Apr 19, 2025 am 12:24 AM

InnoDBBufferPool通过缓存数据和索引页来减少磁盘I/O,提升数据库性能。其工作原理包括:1.数据读取:从BufferPool中读取数据;2.数据写入:修改数据后写入BufferPool并定期刷新到磁盘;3.缓存管理:使用LRU算法管理缓存页;4.预读机制:提前加载相邻数据页。通过调整BufferPool大小和使用多个实例,可以优化数据库性能。

MySQL与其他编程语言:一种比较MySQL与其他编程语言:一种比较Apr 19, 2025 am 12:22 AM

MySQL与其他编程语言相比,主要用于存储和管理数据,而其他语言如Python、Java、C 则用于逻辑处理和应用开发。 MySQL以其高性能、可扩展性和跨平台支持着称,适合数据管理需求,而其他语言在各自领域如数据分析、企业应用和系统编程中各有优势。

学习MySQL:新用户的分步指南学习MySQL:新用户的分步指南Apr 19, 2025 am 12:19 AM

MySQL值得学习,因为它是强大的开源数据库管理系统,适用于数据存储、管理和分析。1)MySQL是关系型数据库,使用SQL操作数据,适合结构化数据管理。2)SQL语言是与MySQL交互的关键,支持CRUD操作。3)MySQL的工作原理包括客户端/服务器架构、存储引擎和查询优化器。4)基本用法包括创建数据库和表,高级用法涉及使用JOIN连接表。5)常见错误包括语法错误和权限问题,调试技巧包括检查语法和使用EXPLAIN命令。6)性能优化涉及使用索引、优化SQL语句和定期维护数据库。

MySQL:初学者的基本技能MySQL:初学者的基本技能Apr 18, 2025 am 12:24 AM

MySQL适合初学者学习数据库技能。1.安装MySQL服务器和客户端工具。2.理解基本SQL查询,如SELECT。3.掌握数据操作:创建表、插入、更新、删除数据。4.学习高级技巧:子查询和窗口函数。5.调试和优化:检查语法、使用索引、避免SELECT*,并使用LIMIT。

MySQL:结构化数据和关系数据库MySQL:结构化数据和关系数据库Apr 18, 2025 am 12:22 AM

MySQL通过表结构和SQL查询高效管理结构化数据,并通过外键实现表间关系。1.创建表时定义数据格式和类型。2.使用外键建立表间关系。3.通过索引和查询优化提高性能。4.定期备份和监控数据库确保数据安全和性能优化。

MySQL:解释的关键功能和功能MySQL:解释的关键功能和功能Apr 18, 2025 am 12:17 AM

MySQL是一个开源的关系型数据库管理系统,广泛应用于Web开发。它的关键特性包括:1.支持多种存储引擎,如InnoDB和MyISAM,适用于不同场景;2.提供主从复制功能,利于负载均衡和数据备份;3.通过查询优化和索引使用提高查询效率。

SQL的目的:与MySQL数据库进行交互SQL的目的:与MySQL数据库进行交互Apr 18, 2025 am 12:12 AM

SQL用于与MySQL数据库交互,实现数据的增、删、改、查及数据库设计。1)SQL通过SELECT、INSERT、UPDATE、DELETE语句进行数据操作;2)使用CREATE、ALTER、DROP语句进行数据库设计和管理;3)复杂查询和数据分析通过SQL实现,提升业务决策效率。

初学者的MySQL:开始数据库管理初学者的MySQL:开始数据库管理Apr 18, 2025 am 12:10 AM

MySQL的基本操作包括创建数据库、表格,及使用SQL进行数据的CRUD操作。1.创建数据库:CREATEDATABASEmy_first_db;2.创建表格:CREATETABLEbooks(idINTAUTO_INCREMENTPRIMARYKEY,titleVARCHAR(100)NOTNULL,authorVARCHAR(100)NOTNULL,published_yearINT);3.插入数据:INSERTINTObooks(title,author,published_year)VA

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SecLists

SecLists

SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。

PhpStorm Mac 版本

PhpStorm Mac 版本

最新(2018.2.1 )专业的PHP集成开发工具

Atom编辑器mac版下载

Atom编辑器mac版下载

最流行的的开源编辑器

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

功能强大的PHP集成开发环境