sqli-labs-master/Less-18
来到18关,跟前几关唯一的不同点就是多出一行提示
尝试admin登录查看源码发现 $uagent = $_SERVER[‘HTTP_USER_AGENT’];
$IP =
S
E
R
V
E
R
[
′
R
E
M
O
T
E
A
D
D
R
′
]
;
e
c
h
o
"
<
b
r
>
"
;
e
c
h
o
′
Y
o
u
r
I
P
A
D
D
R
E
S
S
i
s
:
′
.
_SERVER['REMOTE_ADDR']; echo "<br>"; echo 'Your IP ADDRESS is: ' .
SERVER[′REMOTEADDR′];echo"<br>";echo′YourIPADDRESSis:′.IP;
echo “
”;
//echo 'Your User Agent is: ’ .
u
a
g
e
n
t
;
/
/
t
a
k
e
t
h
e
v
a
r
i
a
b
l
e
s
i
f
(
i
s
s
e
t
(
uagent; // take the variables if(isset(
uagent;//takethevariablesif(isset(_POST[‘uname’]) && isset($_POST[‘passwd’]))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
/*
echo 'Your Your User name:'. $uname;
echo "<br>";
echo 'Your Password:'. $passwd;
echo "<br>";
echo 'Your User Agent String:'. $uagent;
echo "<br>";
echo 'Your User Agent String:'. $IP;
*/
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Agent:'.$uname."\n");
对用户输入进行了检查但是Uers Agent参数好像可以注入,抓包找到参数输入单引号,出现提示,开始尝试sql注入,这里用到一个函数updatexml
updatexml()函数
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
通常我们把第一个和第三个参数设为1,构造语句updatexml(1,concat(0x7e, sql语句,0x7e),1)
得到mysql的版本,进行语句构造暴库名updatexml(1,concat(0x7e,(select database()),0x7e),1)
查表名好像出现了错误,百度看了大佬的writeup发现我的参数传入有点问题,更改后Subquery returns more than 1 row要用limit构造语句查表名查字段
查内容