欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

通过sqli-labs学习sql注入基础挑战之less11-22

程序员文章站 2022-05-14 23:12:02
...

原文链接:http://blog.csdn.net/u012763794/article/details/51361152 上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可

原文链接:http://blog.csdn.net/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看

工具

还是火狐+hackbar插件


看看要post提交的字段吧,uname和passwd(这个在username右边的编辑框右键查看元素即可看到)

通过sqli-labs学习sql注入基础挑战之less11-22


less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)


判断方法,上篇说过了,直接来个单引号,报错

通过sqli-labs学习sql注入基础挑战之less11-22

我们把 整个被单引号引着的复制下来

把左端和右端的单引号去掉,就变成下面的

test' LIMIT 0,1 test右边有个单引号,这里怎么跟get的报错不一样了(get的单引号报错,test后面有两个单引号),不管了,post就当这样了。

那么判断是单引号注入了


直接来个永真的,加注释,登陆成功

通过sqli-labs学习sql注入基础挑战之less11-22

当然除了用注释还可以闭合单引号,当这里有个问题探讨,看下图

通过sqli-labs学习sql注入基础挑战之less11-22

为什么登陆失败呢,我们看看最终这个sql语句,

首先and的优先级高于or 【就是and先运算】

那么 '1'='1' and password='test' 先运算,因为users表里面的password字段没有一个数据时test,右边是false,那么整个表达式就是false

为了方便理解,看下面三张图,第一张为users表,第二张可以看到结果是0(这个就是false了,看低三张图)

通过sqli-labs学习sql注入基础挑战之less11-22通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22


既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧,右边是false,or也救不了你了通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22

所以我们要怎么办呢,uname这里不行,我们尝试passwd咯,发现是可以的

通过sqli-labs学习sql注入基础挑战之less11-22

下面文字解释一下吧,有了上面的基础,应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了


那么总结一下:一般第一个登陆字段(一般是用户名)就用注释,第二个登陆字段(一般就密码)用闭合和注释都是可以的


此外,我们这里还可以通过盲注获取数据库信息

通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22


这个当然也是写个脚步来跑啦


有空我改造之前的那一篇的python脚本,盲注一下这里


less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)


先用什么单引号双引号看看,报错就看出它有没有用引号,或者加了其他东西

通过sqli-labs学习sql注入基础挑战之less11-22

那么这里明显看出用)将变量括着,那么直接绕过

通过sqli-labs学习sql注入基础挑战之less11-22


less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)


单引号看出有),直接永真+闭合

通过sqli-labs学习sql注入基础挑战之less11-22


less 14 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)


这个跟上一课的名称一样吧,但其实这是双引号的 单引号没报错,双引号就报错了,这个比上面两个简单 通过sqli-labs学习sql注入基础挑战之less11-22


less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)


这里输入单引号,双引号就不会报错了,我们只能加上永真用假或者时间延迟函数了 确定单引号盲注 通过sqli-labs学习sql注入基础挑战之less11-22

盲注这种事情当然编程实现才好了
通过sqli-labs学习sql注入基础挑战之less11-22


less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)


这次就用时间延迟的吧 uname=a&passwd=a") or 1=1# ,判断为双引号变形

测试: uname=a&passwd=a") or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a") or if(length(database())=8,1,sleep(5)) #
通过sqli-labs学习sql注入基础挑战之less11-22


less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

注意:下面的注入,一不小心可能把数据库的user表的密码表给清空了

这个应该跟xpath注入有点关系 xpath教程看这 http://www.w3school.com.cn/xpath/ 还有个函数 updatexml,这个函数搜了很久都不见其介绍,都是直接给个payload:updatexml(1,concat(0x7e,(version())),0),这函数什么意思,每个位置的参数对应什么,什么都没说,我也是醉了,后来直接在mysql控制台直接help搞掂,瞬间跪了,看了学东西还是官方的好啊,有解释有例子,很好
通过sqli-labs学习sql注入基础挑战之less11-22

可以看到可以看到 第一个参数是 目标xml 第二个参数是 xpath的表达式,这个看w3c那个xpath教程 第三个参数是 要将xpath的表达式的东西将目标xml替换成什么
实践了一下上面的例子,你就会理解
第一个直接将a结点的内容包括a直接替换为fff
第二个是因为第一个结点并没有b结点所以没有变化, /就相当于linux的根目录咯
第三个例子就不管b在哪一层,只要找到就替换 通过sqli-labs学习sql注入基础挑战之less11-22

而且发现只能替换一个结点 通过sqli-labs学习sql注入基础挑战之less11-22
通过sqli-labs学习sql注入基础挑战之less11-22

好了,大家好好理解,我们开始注入
这个我也没怎么接触,先看看代码
首先有个过滤函数, check_input
check_input首先判断不为空,就截取前15个字符,
当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 若开了就将转义符去掉
ctype_digit判断是不是数字,是数字就返回true,否则返回false
是字符就用mysql_real_escape_string过滤,其实基本就是转义(转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集),这样就把宽字节cut了 是数字也要用intval转化成int,因为传过来的是字符型数字
function check_input($value){
	if(!empty($value)){
		// truncation (see comments)
		$value = substr($value,0,15);
	}
	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc()){
		$value = stripslashes($value);
	}
	// Quote if not a number
	if (!ctype_digit($value)){
		$value = "'" . mysql_real_escape_string($value) . "'";
		}
	else{
		$value = intval($value);
	}
	return $value;
}

可以看到只对uname过滤,那么我们从password入手咯
通过sqli-labs学习sql注入基础挑战之less11-22

首先通过用户名查询出用户名和密码,再更新那个用户的密码 首先要绕过通过用户名查询出用户名和密码,这个我们只能猜吧,比如admin,root,test什么的,这个可以用字典 在这里我们就当知道是admin了,直接用admin就考虑下一步
我们看看payload,updatexml的第一个参数和第三个参数随便一个数字就行 通过sqli-labs学习sql注入基础挑战之less11-22


其实不要1= 也是可以的,我们要的是执行updatexml执行的时候报错 通过sqli-labs学习sql注入基础挑战之less11-22

关键在第二个参数的理解,为什么要这样 我们可以看到第二个参数直接version()那个版本信息显示不全, 我们在version两边加个左右括号(十六进制分别是0x28,0x29)看看, 可以看到多了右边的括号 我们再在两边加个+(0x2b)号看看,我们看到已经完整显示出来了 通过sqli-labs学习sql注入基础挑战之less11-22

当然再加一个也是可以的 通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22

甚至只有前面连接也是可以 通过sqli-labs学习sql注入基础挑战之less11-22

还有很多,就不列举了 通过实验,报错的时候只会显示后面的一部分,但是我们在前面添加的字符,那么除了第一个字符,整个字符都显示出来了,要从根本理解,可能看xpath的报错输出函数?
下面开始真正的注入过程吧
获取当前数据库 通过sqli-labs学习sql注入基础挑战之less11-22

用户 通过sqli-labs学习sql注入基础挑战之less11-22

数据表, 通过sqli-labs学习sql注入基础挑战之less11-22用用limit控制第几个表就行,一次只能出一行数据哦,多行是不能把信息爆出来的 当然那个数据库那里,单引号没过滤用单引号括着security也行 通过sqli-labs学习sql注入基础挑战之less11-22

看看users表有什么列 通过sqli-labs学习sql注入基础挑战之less11-22

依次查出有id, username,password
接下来就搞数据了,发现不能不能先select出同一表中的某些值,再update这个表(在同一语句中) 通过sqli-labs学习sql注入基础挑战之less11-22

我们再加一层select行不行呢,还要给里面那层给个别名哦 通过sqli-labs学习sql注入基础挑战之less11-22

那就起个hack名咯,在整个select语句后面加就行,终于搞出来了,挺艰难的 通过sqli-labs学习sql注入基础挑战之less11-22


less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)


这里对用户名和密码都加了过滤 通过sqli-labs学习sql注入基础挑战之less11-22
当这个怎么判断存在uagent头存在注入呢,是因为他获取了我们的ip,猜它应该也获取了uagent?当然不靠普,这个靠模糊测试吧(其实就是靠发单引号啊什么的用程序去测试返回结果),还有请使用xxx浏览器访问的,有可能获取了uagent,但也可能只是前端的js来处理
那么用什么工具手注呢,burp的repeater非常方便,用火狐的某些插件应该也可以如live http headers,tamper data,下面我用live http headers插件
首先这里要输入正确的账号和密码才能绕过账号密码判断,进入处理uagent部分,这里跟我们现实中的注册登录再注入是比较贴合,这里我们输入正确的账号密码就输出我们的uagent 通过sqli-labs学习sql注入基础挑战之less11-22

跟上节一样, 获取数据库 通过sqli-labs学习sql注入基础挑战之less11-22

这次我们就不获取users表了,获取emails表吧,更改limit的偏移即可获取全部 通过sqli-labs学习sql注入基础挑战之less11-22


less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)


当然这里用updatexml也是可以的
通过sqli-labs学习sql注入基础挑战之less11-22

这里介绍另一个报错函数extractvalue

更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值

通过sqli-labs学习sql注入基础挑战之less11-22

看看例子,可以看到与updatexml一次只能更新一个节点不同,extractvalue可以一次获取多个节点的值,并以空格分隔
通过sqli-labs学习sql注入基础挑战之less11-22

接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦,updatexml是3个)
通过sqli-labs学习sql注入基础挑战之less11-22

其实思路都是差不多
这里直接上最后结果
通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22


less 20 POST - Cookie injections - Uagent field - Error based (基于错误的cookie头部POST注入)

看了下代码
首先判断有无cookie,没有的话,查询出来再设置cookie 通过sqli-labs学习sql注入基础挑战之less11-22

若cookie存在,又分两种情况, 第一种情况,你登陆过,cookie还有效,你没按删除cookie的按钮,那么他就输出各种信息,包括删除cookie的按钮
if(!isset($_POST['submit'])){		
	$cookee = $_COOKIE['uname'];
	$format = 'D d M Y - H:i:s';
	$timestamp = time() + 3600;
	echo "
"; echo '


'; echo '通过sqli-labs学习sql注入基础挑战之less11-22'; echo "

"; echo '
'; echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT']; echo "
"; echo ''; echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR']; echo "
"; echo ''; echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE
"; echo ''; echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp); echo "
"; $sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1"; $result=mysql_query($sql); if (!$result){ die('Issue with your mysql: ' . mysql_error()); } $row = mysql_fetch_array($result); if($row){ echo ''; echo 'Your Login name:'. $row['username']; echo "
"; echo ''; echo 'Your Password:' .$row['password']; echo "
"; echo "
"; echo 'Your ID:' .$row['id']; }else{ echo "
"; echo '


'; echo '通过sqli-labs学习sql注入基础挑战之less11-22'; echo "

"; //echo '通过sqli-labs学习sql注入基础挑战之less11-22'; } echo '
'; echo '
'; echo ''; echo '
'; echo '
'; }

第二种情况,你按了删除cookie的按钮
通过sqli-labs学习sql注入基础挑战之less11-22


后台就把cookie的时间设置为过期的时间,那么cookie就被删除了 通过sqli-labs学习sql注入基础挑战之less11-22

那么我们的目标登陆完后对cookie的注入,核心代码在下图
通过sqli-labs学习sql注入基础挑战之less11-22

首先判断方法什么的都是通用的,我就不啰嗦了 通过sqli-labs学习sql注入基础挑战之less11-22

3列返回正确,所以users表有三列
通过sqli-labs学习sql注入基础挑战之less11-22

直接上最后获取到的email信息吧 通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22


less 21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)


这里是base64 ,单引号+括号,其实跟20差不多啊 通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22


less 22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)

这个跟less20,21差不多,这里是双引号,还要base64编码了的,有强大的hackbar怕什么,
通过sqli-labs学习sql注入基础挑战之less11-22

通过sqli-labs学习sql注入基础挑战之less11-22

本文链接:http://blog.csdn.net/u012763794/article/details/51361152