sqli-labs靶场详解less-24(二次注入)

最新推荐文章于 2024-04-06 04:26:12 发布
最新推荐文章于 2024-04-06 04:26:12 发布
阅读量405 收藏
点赞数 6
分类专栏: SQL注入 sqli-labs靶场 文章标签: 安全 web安全 sql 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72125469/article/details/134649246
版权

less-24

对于一个像我一样的小白来说这关就像php代码审计 

一开始进行判断注入点的时候怎么都找不到一点思路都没有

只能搜教程 说是二次注入 从来没遇见的题型 于是从代码审计开始

先说一下什么叫二次注入

二次注入
二次注入是指通过SQL语句存储到数据库的用户输入被读取后再次被SQL语句执行导致的注入。

原理
在第一次进行数据库插入数据的时候,仅仅只是使用了个别函数对其中的特殊字符进行了转义,在后端代码中可能被转义,但在存入数据库时还是原来的数据,数据中一般带有单引号和#号,然后下次使用拼凑SQL语句中,所以就形成了二次注入。
 

代码分析

login.php

<?PHP
session_start();
//当调用 session_start() 函数时,PHP 会检查当前请求中是否存在会话标识符(通常是通过 cookie 或 URL 参数传递的),
//如果存在会话标识符,则会恢复之前的会话数据;如果不存在会话标识符,则会创建一个新的会话,并生成一个唯一的会话标识符。
include("../sql-connections/sql-connect.php");//连接数据库
function sqllogin(){
   $username = mysql_real_escape_string($_POST["login_user"]);   //获取登录的账号 并且使用函数将内容中的单引号双引号进行转义 让他变成字符串
   $password = mysql_real_escape_string($_POST["login_password"]);//和上面的同理
   $sql = "SELECT * FROM users WHERE username='$username' and password='$password'"; //把转义后的用户和密码带入到数据库中进行查找 
   $res = mysql_query($sql) or die('You tried to be real smart, Try harder!!!! :( ');//执行 如果失败返回提示信息
   $row = mysql_fetch_row($res); //
   if ($row[1]) {      //$row[1]也就是username的位置 看看是否有值
			return $row[1];
   } else {
      		return 0;
   }
}
$login = sqllogin();//将函数返回值给login参数
if (!$login== 0)     //如果username位置有值
{
	$_SESSION["username"] = $login;//给会话赋值
	setcookie("Auth", 1, time()+3600);  /* expire in 15 Minutes */
	header('Location: logged-in.php');//转到另一个logged-in.php
} 
else
{
?>
<img src="../images/slap1.jpg">
<?PHP
} 
?>

Logged-in.php

<?PHP
session_start();
if (!isset($_COOKIE["Auth"]))//如果cookie的auth的值不存在进入语句块
{
	if (!isset($_SESSION["username"])) //回话的username不存在进入语句块
	{
   		header('Location: index.php');//跳转到首页 也就是登录界面
	}
	header('Location: index.php');//同理 我感觉这两个跳转 在这个位置放一个就行
}
?>
//如果会话存在往下走 也就是cookie
<img src="../images/Logged-in.jpg"></br><font size="4" color="#FFFF00"></br></br>
YOU ARE LOGGED IN AS </br> 
<?php
echo $_SESSION["username"];//输出session中的username的值
?>
You can Change your password here. //如果修改密码跳转页面到passs_change.php页面
<form name="mylogin" method="POST" action="pass_change.php">
<strong>Current Password:</strong></font>
<strong>New Password:</strong>
<strong>Retype Password:</strong>

pass_change.php

<?PHP
session_start();
if (!isset($_COOKIE["Auth"]))
{
	if (!isset($_SESSION["username"])) 
	{
   		header('Location: index.php');
	}
	header('Location: index.php');
}
//以上同理查看是否存在cookie和session
?>
<?php
include("../sql-connections/sql-connect.php");
if (isset($_POST['submit']))
{
	$username= $_SESSION["username"];//获取session中的username
	$curr_pass= mysql_real_escape_string($_POST['current_password']);//同理去除非法字符
	$pass= mysql_real_escape_string($_POST['password']);//同理
	$re_pass= mysql_real_escape_string($_POST['re_password']);//同理
	if($pass==$re_pass)//如果更改密码和确定更改密码输入的值一样 执行语句块
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";//以用户名和密码为条件进行更改密码
		$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysql_affected_rows();//获取sql操作了数据库的几行数据
		if($row==1)//如果一行 也就是正常的情况
		{
			echo "Password successfully updated";//输出更改成功
		}
		else//如果修改密码失败 跳转到failed.php页面
		{
			header('Location: failed.php');
		}
	}
	else//两次输出的修改密码不一样 跳转到首页面
	{
		echo "Make sure New Password and Retype Password fields have same value";
		header('refresh:2, url=index.php');
	}
}
?>
<?php
if(isset($_POST['submit1']))//删除cookie也就是退出登录
{
	session_destroy();//销毁当前会话的所有数据
	setcookie('Auth', 1 , time()-3600);//清除cookie的有效时限 也就是清除cookie
	header ('Location: index.php');//跳转到登录界面
}
?>

failed.php

<?PHP
session_start();
if (!isset($_COOKIE["Auth"]))
{
	if (!isset($_SESSION["username"])) 
	{
   		header('Location: index.php');
	}
	header('Location: index.php');
}
//以上同理查看是否存在cookie和会话
//下面特别有意思 这个页面是因为输入的原始密码不对 所以给你个提示 滚开你个愚蠢的黑客
?>
<html>
<head>
</head>
<body bgcolor="#000000">
<div align="right">
<a style="font-size:.8em;color:#FFFF00" href='index.php'><img src="../images/Home.png" height='45'; width='45'></br>HOME</a>
</div>
</div>
<div style=" margin-top:150px;color:#FFF; font-size:24px; text-align:center">
<center>
<img src="../images/slap1.jpg">
</center>
</div> 
</body>
</html>

new_user.php

<?php
include '../sql-connections/sql-connect.php' ;
?>
//创建新用户的页面 把参数传给login_create.php
<a style="font-size:.8em;color:#FFFF00" href='index.php'><img src="../images/Home.png" height='45'; width='45'></br>HOME</a>
<form name="mylogin" method="POST" action="login_create.php">

<h2 style="text-align:center;background-image:url('../images/Less-24-new-user.jpg');background-repeat:no-repeat;background-position:center center">
<div style="padding-top:300px;text-align:center;color:#FFFF00;"><?php echo $form_title_ns; ?></div>
</h2>

</html>

login_create.php

<?PHP
session_start();//同理
?>
<?php
include("../sql-connections/sql-connect.php");
if (isset($_POST['submit']))//判断是否存在submit也就是提交的参数 如果有进入语句块
{
	$username=  mysql_escape_string($_POST['username']) ;//同理 对非法字符转义
	$pass= mysql_escape_string($_POST['password']);		 //同理
	$re_pass= mysql_escape_string($_POST['re_password']);//同理
	$sql = "select count(*) from users where username='$username'"; //判断当前用户是否存在
	$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
  	$row = mysql_fetch_row($res);//获取一行数据
	if (!$row[0]== 0) //如果当前用户存在
		{
		?>
		<script>alert("The username Already exists, Please choose a different username ")</script>;//用户名已经存在请换一个用户名
		<?php
		header('refresh:1, url=new_user.php');//跳转到创建用户的页面
   		} 
		else //用户名不存在
		{
       		if ($pass==$re_pass)//两次密码输入的是否一致 一致执行代码块
			{
   				$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";//将数据插入数据库中
   				mysql_query($sql) or die('Error Creating your user account,  : '.mysql_error());//执行sql语句如果报错提醒你
					echo "<center><img src=../images/Less-24-user-created.jpg><font size='3' color='#FFFF00'>";   									
					echo "</br>Redirecting you to login page in 5 sec................";
					echo "</br>If it does not redirect, click the home button on top right</center>";
					header('refresh:5, url=index.php');
			}
			else// 不一致 提醒你重新输入
			{
			?>
			<script>alert('Please make sure that password field and retype password match correctly')</script>
			<?php
			header('refresh:1, url=new_user.php');
			}
		}
}
?>

代码其实不难理解

第一步

盲猜里面有一个admin的用户

新建一个admin'#的用户  

走的login_create.php的文件

这个文件对所有的输入的非法字符转义(输入数据中的单引号注释符等)转成字符串

然后使用select count(*) from users where username='admin'#'  判断admin'#用户是否存在

不存在  使用 insert into users ( username, password) values(\"$username\", \"$pass\") 插入到数据库中(这个双引号加反斜杠就是确定双引号里面的是字符串 记住就行)

然后使用刚刚注册的进行登录

SELECT * FROM users WHERE username='$username' and password='$password'"; //把转义后的用户和密码带入到数据库中进行查找 查到后输出用户名 到这里都是没有问题的

先查看一下上帝视角users表里面的内容 原始admin账户密码是123456 刚刚我们注册时密码是 qwe

登录新建用户admin'#后我们进行更改密码为asd

服务器执行的代码是

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

这个时候就出现问题了 admin'#进入数据库的时候单引号和#号被当成了字符 但是从$username提取出来的admin'# 单引号和#号又被当成了特殊字符

于是语句就变成了

UPDATE users SET PASSWORD='asd' where username='admin'#' and password='$curr_pass'

标记红的是被注释掉了 这样就造成了无admin密码的情况下 就可以修改admin密码

这样就成功的无视原始用户密码的条件进行修改密码 前提你知道里面的用户是谁

其实这都不重要  重要的是我们发现了这个二次注入的注入点 和注入方式

有了这个我估计可以实施进一步注入 构造新的语句作为用户名

我看所有教程都是教更改密码的 没有进行下一步的注入 

有可能是太难了 没人愿意演示

也有可能是不存在下一步注入

下一步注入也是我估计的 我先不进行下一步注入 如果以后碰到类似的题 我再回来做

Hello-smile
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场-24-二次注入小应用_sqli靶场24关,网络安全架构师必备框架技能核心笔记
最新发布
2401_84183070的博客
04-10 571
都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
(手工)【sqli-labs24二次注入:原理、利用过程
07-12 801
SQL-二次注入
SQL注入——sqli-labs第二十四关_sqli第二十四,资深网络安全开发带你入门Framework
2401_84103616的博客
04-04 723
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
sqli-labs第二十四关
m0_73248913的博客
02-20 353
sqlilabs第十四关
sqli--labs 进阶篇 23_24
Lucky小小吴的小屋
01-30 525
直接登录进入,通过注册一个含有特殊字符的账号,再修改密码,从而修改掉原本的数据库中已存在的账号信息。到这里,自己没有什么思路,不知道怎么注入,看了下题目讲到二阶注入,猜测我们需要在。pass_change.php 登录成功后,有更新操作的处理。源码文件,重要的只有四个,下面就依次看一下源码文件的具体功能。更新账号密码时,账户信息没有过滤,是直接更新的,可以利用!注册一个新的,账号:admin’# ,密码:123。进一步确定自己的推论,源码中,存在过滤掉一些注释语句。
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqli-labs靶场
02-12
sqli-labs靶场
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-labs-master.zip
03-17
SQL-labs靶场,练习sql注入,适合新手练习漏洞基础,web安全,渗透,漏洞基础,典型漏洞,漏洞原理刨析,搭建在自己虚拟键,带源码,多分析 ,仅供学习
Less 24二次注入
老司机开代码的博客
08-04 906
文章目录前言1. 二次注入的原理1.1 个人理解1.2 Example2. 题目分析2.1 主页2.2 注册页面2.3 登录成功界面(修改密码)3. 注入过程首先看一下数据库中原本的用户信息: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200711191827350.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubm
网络安全05-sql-labs靶场全网最详细总结
m0_68976043的博客
02-10 1762
sql注入有很多方式其中我们最详细见到的就是:基于错误的注入(Error-based Injection): 攻击者利用应用程序返回的错误消息来识别漏洞。通过在 SQL 查询中插入恶意代码,攻击者可以引发数据库错误,然后根据错误消息获得关于数据库结构和内容的信息。基于联合查询的注入(Union-based Injection): 攻击者利用 UNION 查询将恶意结果合并到应用程序的原始查询结果中。通过在 SQL 查询中插入 UNION 子句,攻击者可以将额外的查询结果合并到原始结果中,从而泄露敏感信息。基
靶场系列:sqllibs安装、sqli-labs靶场搭建以及闯关(1-22关)
weixin_54626591的博客
12-05 2203
sqllibs安装、sqli-labs靶场搭建以及闯关(1-22关)
SQL注入 Less24(二次注入)
开心星人的博客
07-26 766
第一次进行数据库插入数据的时候,使用了addslashes、get_magic_quotes_gpc、mysql_escape_string、mysql_real_escape_string等函数对其中的特殊字符进行了转义,在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL二次注入。),而网站程序默认数据库中的数据都是安全的,当网站程序第二次调用刚才存储的脏数据的时候,则不会转义使用而是直接使用,因此就会达到注入的效果。,存入数据库的数据仍为。...
sqli-labs(宽字节less-33,二次less-24,update less-17,堆叠less-38)pikachu(insert,delete)
weixin_74182283的博客
04-03 649
堆叠注入可以执行的是任意的语句。x' or updatexml(1,concat(0x7e,version(),0x7e),1) or '1‘=’1 填入两个必填的字段ps(or前面的那个x可写可不写,只是用来装作一个用户,让前面闭合的语句为假而已,我就没写,别想太多。也先瞅眼代码◕‿◕,可以看到这里也进行了相关的过滤,比如这个substr 意味着如果使用substr只能截取0-15个的字符,后面这个strip是过滤了\,来防止一些转义字符的替换,下面那个就是上面宽字节的函数,也进行了限制。
【less-24】基于SQLI的二次注入
未名编程
07-19 322
实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险! 实验目的实验环境实验原理二次排序注入思路:实验步骤第一步 在kali平台上使用Firefox访问SQLI的less-24实验第二步 注册一个新账号第三步 以账号admin'#密码123456登录后修改密码第四步 以账号admin密码test登录成功思考与总结 实验目的 通过本实验理解SQL注入二次注入漏洞引起的原因,如何利用漏洞进行二次注入。 实验环境 渗透平台:Kali 目标网站:SQLI平台 实验原理 二次排序注.
SQL注入——sqli-labs第二十四关_sqli第二十四,零基础学习网络安全编程
m0_61369275的博客
04-06 618
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Sqli-labs Less24 二次排序注入 - POST
kevinhanser
08-10 759
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 24: POST - Second Order Injections Real treat - Stored Injections 简介 本关为二次排序注入的示范例。二次排序注入也成为存储型的注入,就是将可能导致 sql 注入的字符先存入到数据库中,当再次调用这个恶意构造的字符时,就可以出...
sqli-labs-less
07-25
抱歉,但我无法回答关于sqli-labs-less的问题。 #### 引用[.reference_title] - *1* *2* *3* [sqli-labs-less-1完整解析,小白干货](https://blog.csdn.net/qq_46432288/article/details/109226871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello-smile

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值