sqli-labs第十七关

最新推荐文章于 2024-05-22 22:54:45 发布
最新推荐文章于 2024-05-22 22:54:45 发布
阅读量333 收藏 1
点赞数 2
分类专栏: sqli-labs 文章标签: 数据库 web安全 网络安全 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73248913/article/details/128982520
版权

本关是修改密码的过程,利用的是update语句,但是和select语句是一样的语法。

Less-15(POST - Update Query - Error Based - String)

手工注入

uname=admin&passwd=1'--+&submit=submit
uname=admin&passwd=1' and if(ascii(substr(database(),1,1))=1,1,sleep(3)) --+&submit=submit

因为这里面做了绕过所以简单说一下

代码分析

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-17 Update Query- Error based - String</title>
</head>

<body bgcolor="#000000">

<div style=" margin-top:20px;color:#FFF; font-size:24px; text-align:center"><font color="#FFFF00"> [PASSWORD RESET] </br></font>&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br></div>

<div  align="center" style="margin:20px 0px 0px 520px;border:20px; background-color:#0CF; text-align:center; width:400px; height:150px;">

<div style="padding-top:10px; font-size:15px;">
 

<!--Form to post the contents -->
<form action="" name="form1" method="post">

  <div style="margin-top:15px; height:30px;">User Name &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: &nbsp;&nbsp;&nbsp;&nbsp;
    <input type="text"  name="uname" value=""/>  </div>
  
  <div> New Password : &nbsp; &nbsp;
    <input type="text" name="passwd" value=""/></div></br>
    <div style=" margin-top:9px;margin-left:90px;"><input type="submit" name="submit" value="Submit" /></div>
</form>
</div>
</div>
<div style=" margin-top:10px;color:#FFF; font-size:23px; text-align:center">
<font size="6" color="#FFFF00">



<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

function check_input($value)
    {
    if(!empty($value))
        {
        // truncation (see comments)
        $value = substr($value,0,15);
        }

        // Stripslashes if magic quotes enabled
        if (get_magic_quotes_gpc())
            {
            $value = stripslashes($value);
            }

        // Quote if not a number
        if (!ctype_digit($value))
            {
            $value = "'" . mysql_real_escape_string($value) . "'";
            }
        
    else
        {
        $value = intval($value);
        }
    return $value;
    }

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  

$passwd=$_POST['passwd'];


//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);


// connectivity 
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
    if($row)
    {
          //echo '<font color= "#0000ff">';    
        $row1 = $row['username'];      
        //echo 'Your Login name:'. $row1;
        $update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
        mysql_query($update);
          echo "<br>";
    
    
    
        if (mysql_error())
        {
            echo '<font color= "#FFFF00" font size = 3 >';
            print_r(mysql_error());
            echo "</br></br>";
            echo "</font>";
        }
        else
        {
            echo '<font color= "#FFFF00" font size = 3 >';
            //echo " You password has been successfully updated " ;        
            echo "<br>";
            echo "</font>";
        }
    
        echo '<img src="../images/flag1.jpg"   />';    
        //echo 'Your Password:' .$row['password'];
          echo "</font>";
    


      }
    else  
    {
        echo '<font size="4.5" color="#FFFF00">';
        //echo "Bug off you Silly Dumb hacker";
        echo "</br>";
        echo '<img src="../images/slap1.jpg"   />';
    
        echo "</font>";  
    }
}

?>


</font>
</div>
</body>
</html>

  • addslashes()

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

  • 单引号(')

  • 双引号(")

  • 反斜杠(\)

  • NULL

提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

注:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您

不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可

以使用函数 get_magic_quotes_gpc() 进行检测。

语法:addslashes(string)

参数

string 必需。规定要转义的字符串。

返回值: 返回已转义的字符串。

PHP 版本: 4+

  • stripslashes()

函数删除由 addslashes() 函数添加的反斜杠。

  • mysql_real_escape_string()

函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • \x00

  • \n

  • \r

  • \

  • '

  • "

  • \x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法:mysql_real_escape_string(string,connection)

参数

描述

string

必需。规定要转义的字符串。

connection

可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

注:本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用

于 mysql_query()。

在我们 less17 的 check_input()中,对 username 进行各种转义的处理,所以此处不能使用

username 进行注入。

自动化注入脚本

和之前一样

https://blog.csdn.net/m0_73248913/article/details/128914825?spm=1001.2014.3001.5501
himobrinehacken
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs 17
m0_69548793的博客
08-27 1315
sqli-labs 17
SQL-labs的第17——报错注入(updatexml)
qq_73393033的博客
07-20 470
这一的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs(17)
最新发布
2302_78903258的博客
05-22 453
进入第十七,我们发现页面又进行了变化,显示的是密码重置,又根据题目提示为update,指的是源代码用update的方式进行密码的更新。这里我们用到的是基于update的报错注入。还有,uname的值我们要用它提供的,因为我们用到正确的用户名才能进行密码修改,从而进行注入。这里我们进行注入的参数变成了passwd,原因是passwd这里有注入点,进行了更新语句。这里我只放出了获取emails表下的数据,其他的数据根据你所需要的表再获取。这里我就不介绍他们的用法啦,大家可以看看其他的博主。
sqli-labs-----第17
wyzhxhn的博客
11-10 803
基于报错的更新查新。
SQLI-labs-第十七
weixin_54055099的博客
05-16 934
Sqli-labs第十七,二次注入、报错注入
sqli-labs第十七详解
金 帛的博客
04-26 4107
sqlilabs第十七详解
sqli-labs靶场第十七
gou1791241251的博客
12-27 890
十七有点特别,让我重置密码,但是注入的原理还是一样的。 在输入用户名的地方,我尝试了单引号,双引号,不输入,等测试去判断闭合方式,最终没有得到想要的结果 后来在输入密码的地方尝试了同样的操作,最终结果都是一样。。 实在没有了头绪我选择了代码审计! 在代码中可以看到,先是处理账号,如果账号存在,则才能重置密码,也就是说,如果账号不存在,输入密码也是没用的 在这里我们可以看到,后台接收到uname参数时,调用了一个函数进行过滤了用户输入的内容。但是没有对密码进行过滤,所以密码框才是真正的注入点 如果输入内容
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
标题 "jeakinscheung-sqli-labs-php7-master.zip" 暗示这是一个SQL注入(SQL Injection)练习平台的源代码库,专为PHP7优化。在描述中提到,用户在尝试创建数据库连接时遇到问题,可能是因为原始的SQL注入实验室...
sqli-labs通(十七)
qq_65950075的博客
05-05 605
这一跟前面的卡都不一样,是全新的卡,页面是一个密码重置页面,需要输入用户名,然后输入新的密码,就会把我们的旧密码替换掉。所以就会用到数据库的update更新数据,不再是前面的查询数据,所以之前的联合注入和布尔盲注以及时间盲注都不能用了。这里我们要用到之前使用过的报错注入。所以我们使用mid()函数来截取,因为是从32位开始不能看到,所以我们从第32位开始截取,截取后32位。这里要先输入正确的用户名,验证成功后才会把新密码替换,所以我们输入。但是回显并没有完全,因为报错回显只能回显32位。
sqlilabs第17
wh1sper、的博客
04-29 1146
sqlilabs第17一、分析二、手注 一、分析 这题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
sql注入-sqli-labs第17
weixin_46784800的博客
11-10 1597
sqli-labs第17 updatexml使用 第17键函数为updatexml函数: UpdateXML(xml_target, xpath_expr, new_xml) 其中,xml_target作用为目标xml,xpath_expr作用为xpath语法,new_xml为要替换掉的xml内容,所以该函数能够用于注入的原因为,当xpath语法不合规时,会报错,实现报错注入。 updatexml(0,concat(0x7e, (select col2 from tableA limit 0,1),
sqli-labs 第十七
qq_64302290的博客
05-13 912
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
sqli-labs第十七(post-报错注入)
qq_42266432的博客
08-29 881
进入到十七后发现这有点不同,上面多了一行提示:密码重新设置,咱也不懂啥意思,在试了写常规注入的方法后,没有发现什么可以利用的点,于是决定去看看代码,虽然我不会php 先看这一部分有sql语句的: 从users表中搜索出uname和psw,条件和psw无,只看uname mysql_fetch_array()好像能返回键值对,而且除了将数据以数字索引方式储存在数组中之外,还可以将数据作为联索引储存,用字段名作为键名。 uname正确的话,再将users表中psw更新,条件等于刚刚输入的unam.
Sqli-labs第十七之UpdateXML
qq_39511050的博客
08-28 677
updatexml函数,xpath表达式
sqli-labs(17
jimggg的博客
03-20 194
Less-17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)
sqli-labs闯
10-09
很高兴为您解答sqli-labs闯的问题!sqli-labs是一个用于学习和实践SQL注入的实验室。通过完成各个卡,您将能够了解和掌握SQL注入的不同技术和攻击方法。 要开始sqli-labs闯,您可以按照以下步骤进行: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

himobrinehacken

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值