通过sqli-labs学习sql注入——基础挑战之less11-22

版权声明:本文为博主原创文章,未经博主允许不得转载,转载请注明出处。 https://blog.csdn.net/u012763794/article/details/51361152

本文链接:http://blog.csdn.net/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看

工具

还是火狐+hackbar插件


看看要post提交的字段吧,uname和passwd(这个在username右边的编辑框右键查看元素即可看到)



less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)


判断方法,上篇说过了,直接来个单引号,报错


我们把 整个被单引号引着的复制下来 

把左端和右端的单引号去掉,就变成下面的

test' LIMIT 0,1    test右边有个单引号,这里怎么跟get的报错不一样了(get的单引号报错,test后面有两个单引号),不管了,post就当这样了。

那么判断是单引号注入了


直接来个永真的,加注释,登陆成功


当然除了用注释还可以闭合单引号,当这里有个问题探讨,看下图


为什么登陆失败呢,我们看看最终这个sql语句,

首先and的优先级高于or  【就是and先运算】

那么    '1'='1' and password='test' 先运算,因为users表里面的password字段没有一个数据时test,右边是false,那么整个表达式就是false

为了方便理解,看下面三张图,第一张为users表,第二张可以看到结果是0(这个就是false了,看低三张图)



既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧,右边是false,or也救不了你了偷笑


所以我们要怎么办呢,uname这里不行,我们尝试passwd咯,发现是可以的


下面文字解释一下吧,有了上面的基础,应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了


那么总结一下:一般第一个登陆字段(一般是用户名)就用注释,第二个登陆字段(一般就密码)用闭合和注释都是可以的


此外,我们这里还可以通过盲注获取数据库信息


这个当然也是写个脚步来跑啦


有空我改造之前的那一篇的python脚本,盲注一下这里


less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)


先用什么单引号双引号看看,报错就看出它有没有用引号,或者加了其他东西


那么这里明显看出用)将变量括着,那么直接绕过



less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)


单引号看出有),直接永真+闭合



less 14 POST - Double Injection - Single quotes-  String -twist (POST单引号变形双注入)


这个跟上一课的名称一样吧,但其实这是双引号的
单引号没报错,双引号就报错了,这个比上面两个简单



less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)


这里输入单引号,双引号就不会报错了,我们只能加上永真用假或者时间延迟函数了
确定单引号盲注


盲注这种事情当然编程实现才好了




less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)


这次就用时间延迟的吧
uname=a&passwd=a") or 1=1# ,判断为双引号变形

测试:
uname=a&passwd=a")  or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a")  or if(length(database())=8,1,sleep(5)) #



less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)

注意:下面的注入,一不小心可能把数据库的user表的密码表给清空了


这个应该跟xpath注入有点关系
xpath教程看这 http://www.w3school.com.cn/xpath/
还有个函数 
updatexml,这个函数搜了很久都不见其介绍,都是直接给个payload:updatexml(1,concat(0x7e,(version())),0),这函数什么意思,每个位置的参数对应什么,什么都没说,我也是醉了,后来直接在mysql控制台直接help搞掂,瞬间跪了,看了学东西还是官方的好啊,有解释有例子,很好


可以看到可以看到
第一个参数是 目标xml
第二个参数是 xpath的表达式,这个看w3c那个xpath教程
第三个参数是 要将xpath的表达式的东西将目标xml替换成什么

实践了一下上面的例子,你就会理解

第一个直接将a结点的内容包括a直接替换为<e>fff</e>了

第二个是因为第一个结点并没有b结点所以没有变化, /就相当于linux的根目录咯

第三个例子就不管b在哪一层,只要找到就替换


而且发现只能替换一个结点



好了,大家好好理解,我们开始注入
这个我也没怎么接触,先看看代码

首先有个过滤函数, check_input

check_input首先判断不为空,就截取前15个字符,

当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误
若开了就将转义符去掉

ctype_digit判断是不是数字,是数字就返回true,否则返回false
是字符就用mysql_real_escape_string过滤,其实基本就是转义(转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集),这样就把宽字节cut了
是数字也要用intval转化成int,因为传过来的是字符型数字
function check_input($value){
	if(!empty($value)){
		// truncation (see comments)
		$value = substr($value,0,15);
	}
	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc()){
		$value = stripslashes($value);
	}
	// Quote if not a number
	if (!ctype_digit($value)){
		$value = "'" . mysql_real_escape_string($value) . "'";
		}
	else{
		$value = intval($value);
	}
	return $value;
}

可以看到只对uname过滤,那么我们从password入手咯



首先通过用户名查询出用户名和密码,再更新那个用户的密码
首先要绕过通过用户名查询出用户名和密码,这个我们只能猜吧,比如admin,root,test什么的,这个可以用字典
在这里我们就当知道是admin了,直接用admin就考虑下一步

我们看看payload,updatexml的第一个参数和第三个参数随便一个数字就行



其实不要1= 也是可以的,我们要的是执行updatexml执行的时候报错


关键在第二个参数的理解,为什么要这样
我们可以看到第二个参数直接version()那个版本信息显示不全,
我们在version两边加个左右括号(十六进制分别是0x28,0x29)看看, 可以看到多了右边的括号
我们再在两边加个+(0x2b)号看看,我们看到已经完整显示出来了


当然再加一个也是可以的




甚至只有前面连接也是可以


还有很多,就不列举了
通过实验,报错的时候只会显示后面的一部分,但是我们在前面添加的字符,那么除了第一个字符,整个字符都显示出来了,要从根本理解,可能看xpath的报错输出函数?

下面开始真正的注入过程吧

获取当前数据库


用户


数据表,
用用limit控制第几个表就行,一次只能出一行数据哦,多行是不能把信息爆出来的
当然那个数据库那里,单引号没过滤用单引号括着security也行


看看users表有什么列


依次查出有id, username,password

接下来就搞数据了,发现不能不能先select出同一表中的某些值,再update这个表(在同一语句中)


我们再加一层select行不行呢,还要给里面那层给个别名哦


那就起个hack名咯,在整个select语句后面加就行,终于搞出来了,挺艰难的



less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)


这里对用户名和密码都加了过滤

当这个怎么判断存在uagent头存在注入呢,是因为他获取了我们的ip,猜它应该也获取了uagent?当然不靠普,这个靠模糊测试吧(其实就是靠发单引号啊什么的用程序去测试返回结果),还有请使用xxx浏览器访问的,有可能获取了uagent,但也可能只是前端的js来处理

那么用什么工具手注呢,burp的repeater非常方便,用火狐的某些插件应该也可以如live http headers,tamper data,下面我用live http headers插件

首先这里要输入正确的账号和密码才能绕过账号密码判断,进入处理uagent部分,这里跟我们现实中的注册登录再注入是比较贴合,这里我们输入正确的账号密码就输出我们的uagent


跟上节一样, 获取数据库


这次我们就不获取users表了,获取emails表吧,更改limit的偏移即可获取全部



less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)


当然这里用updatexml也是可以的


这里介绍另一个报错函数extractvalue

更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值



看看例子,可以看到与updatexml一次只能更新一个节点不同,extractvalue可以一次获取多个节点的值,并以空格分隔


接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦,updatexml是3个)


其实思路都是差不多
这里直接上最后结果





less 20 POST - Cookie injections - Uagent field  - Error based (基于错误的cookie头部POST注入)

看了下代码

首先判断有无cookie,没有的话,查询出来再设置cookie


若cookie存在,又分两种情况,
第一种情况,你登陆过,cookie还有效,你没按删除cookie的按钮,那么他就输出各种信息,包括删除cookie的按钮
if(!isset($_POST['submit'])){		
	$cookee = $_COOKIE['uname'];
	$format = 'D d M Y - H:i:s';
	$timestamp = time() + 3600;
	echo "<center>";
	echo '<br><br><br>';
	echo '<img src="../images/Less-20.jpg" />';
	echo "<br><br><b>";
	echo '<br><font color= "red" font size="4">';	
	echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
	echo "</font><br>";	
	echo '<font color= "cyan" font size="4">';	
	echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			
	echo "</font><br>";			
	echo '<font color= "#FFFF00" font size = 4 >';
	echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
	echo '<font color= "orange" font size = 5 >';			
	echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
	echo "<br></font>";
	$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
	$result=mysql_query($sql);
	if (!$result){
			die('Issue with your mysql: ' . mysql_error());
	}
	$row = mysql_fetch_array($result);
	if($row){
	  	echo '<font color= "pink" font size="5">';	
	  	echo 'Your Login name:'. $row['username'];
	  	echo "<br>";
		echo '<font color= "grey" font size="5">';  	
		echo 'Your Password:' .$row['password'];
	  	echo "</font></b>";
		echo "<br>";
		echo 'Your ID:' .$row['id'];
	}else{
		echo "<center>";
		echo '<br><br><br>';
		echo '<img src="../images/slap1.jpg" />';
		echo "<br><br><b>";
		//echo '<img src="../images/Less-20.jpg" />';
	}
	echo '<center>';
	echo '<form action="" method="post">';
	echo '<input  type="submit" name="submit" value="Delete Your Cookie!" />';
	echo '</form>';
	echo '</center>';
}

第二种情况,你按了删除cookie的按钮




后台就把cookie的时间设置为过期的时间,那么cookie就被删除了


那么我们的目标登陆完后对cookie的注入,核心代码在下图



首先判断方法什么的都是通用的,我就不啰嗦了


3列返回正确,所以users表有三列



直接上最后获取到的email信息吧





less 21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)


这里是base64 ,单引号+括号,其实跟20差不多啊







less 22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)

这个跟less20,21差不多,这里是双引号,还要base64编码了的,有强大的hackbar怕什么,







阅读更多

扫码向博主提问

giantbranch

主要搞二进制,当然也可以问web,经验等
  • 擅长领域:
  • 漏洞分析
  • 漏洞挖掘
  • 二进制
  • web安全
去开通我的Chat快问
换一批

没有更多推荐了,返回首页