本文链接:http://blog.csdn.net/u012763794/article/details/51361152
上一次就讲了基础挑战之less1-10:http://blog.csdn.net/u012763794/article/details/51207833,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。
一些基础的知识上一篇基础挑战之less1-10http://blog.csdn.net/u012763794/article/details/51207833会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看
工具
还是火狐+hackbar插件
看看要post提交的字段吧,uname和passwd(这个在username右边的编辑框右键查看元素即可看到)
less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)
判断方法,上篇说过了,直接来个单引号,报错
我们把 整个被单引号引着的复制下来
把左端和右端的单引号去掉,就变成下面的
test' LIMIT 0,1 test右边有个单引号,这里怎么跟get的报错不一样了(get的单引号报错,test后面有两个单引号),不管了,post就当这样了。
那么判断是单引号注入了
直接来个永真的,加注释,登陆成功
当然除了用注释还可以闭合单引号,当这里有个问题探讨,看下图
为什么登陆失败呢,我们看看最终这个sql语句,
首先and的优先级高于or 【就是and先运算】
那么 '1'='1' and password='test' 先运算,因为users表里面的password字段没有一个数据时test,右边是false,那么整个表达式就是false
为了方便理解,看下面三张图,第一张为users表,第二张可以看到结果是0(这个就是false了,看低三张图)
既然右边是false
那么语句就变成 SELECT username, password FROM users WHERE username='test' or false
username='test' 没有这一行数据吧,右边是false,or也救不了你了
所以我们要怎么办呢,uname这里不行,我们尝试passwd咯,发现是可以的
下面文字解释一下吧,有了上面的基础,应该就比较容易理解了
首先and先运算
username='test' and password='test' 返回false(0)
'1'='1' 肯定是true(1)了
最终语句等价于
SELECT username, password FROM users WHERE 0 or 1;
那么就肯定可以绕过登陆了
那么总结一下:一般第一个登陆字段(一般是用户名)就用注释,第二个登陆字段(一般就密码)用闭合和注释都是可以的
此外,我们这里还可以通过盲注获取数据库信息
这个当然也是写个脚步来跑啦
有空我改造之前的那一篇的python脚本,盲注一下这里
less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)
先用什么单引号双引号看看,报错就看出它有没有用引号,或者加了其他东西
那么这里明显看出用)将变量括着,那么直接绕过
less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
单引号看出有),直接永真+闭合
less 14 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)
这个跟上一课的名称一样吧,但其实这是双引号的
单引号没报错,双引号就报错了,这个比上面两个简单
less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注)
这里输入单引号,双引号就不会报错了,我们只能加上永真用假或者时间延迟函数了
确定单引号盲注
盲注这种事情当然编程实现才好了
less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)
这次就用时间延迟的吧
uname=a&passwd=a") or 1=1# ,判断为双引号变形
测试:
uname=a&passwd=a") or if(length(database())=7,1,sleep(5)) #
uname=a&passwd=a") or if(length(database())=8,1,sleep(5)) #
less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入)
注意:下面的注入,一不小心可能把数据库的user表的密码表给清空了
这个应该跟xpath注入有点关系
xpath教程看这 http://www.w3school.com.cn/xpath/
还有个函数
updatexml,这个函数搜了很久都不见其介绍,都是直接给个payload:updatexml(1,concat(0x7e,(version())),0),这函数什么意思,每个位置的参数对应什么,什么都没说,我也是醉了,后来直接在mysql控制台直接help搞掂,瞬间跪了,看了学东西还是官方的好啊,有解释有例子,很好
可以看到可以看到
第一个参数是 目标xml
第二个参数是 xpath的表达式,这个看w3c那个xpath教程
第三个参数是 要将xpath的表达式的东西将目标xml替换成什么
实践了一下上面的例子,你就会理解
第一个直接将a结点的内容包括a直接替换为<e>fff</e>了
第二个是因为第一个结点并没有b结点所以没有变化, /就相当于linux的根目录咯
第三个例子就不管b在哪一层,只要找到就替换
而且发现只能替换一个结点
好了,大家好好理解,我们开始注入
这个我也没怎么接触,先看看代码
首先有个过滤函数, check_input
check_input首先判断不为空,就截取前15个字符,
当magic_quotes_gpc=On的时候,函数get_magic_quotes_gpc()就会返回1
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
当magic_quotes_gpc=Off的时候,函数get_magic_quotes_gpc()就会返回0
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误
若开了就将转义符去掉
ctype_digit判断是不是数字,是数字就返回true,否则返回false
是字符就用mysql_real_escape_string过滤,其实基本就是转义(转义 SQL 语句中使用的字符串中的特殊字符,
并考虑到连接的当前字符集),这样就把宽字节cut了
是数字也要用intval转化成int,因为传过来的是字符型数字
function check_input($value){
if(!empty($value)){
// truncation (see comments)
$value = substr($value,0,15);
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc()){
$value = stripslashes($value);
}
// Quote if not a number
if (!ctype_digit($value)){
$value = "'" . mysql_real_escape_string($value) . "'";
}
else{
$value = intval($value);
}
return $value;
}可以看到只对uname过滤,那么我们从password入手咯
首先通过用户名查询出用户名和密码,再更新那个用户的密码
首先要绕过通过用户名查询出用户名和密码,这个我们只能猜吧,比如admin,root,test什么的,这个可以用字典
在这里我们就当知道是admin了,直接用admin就考虑下一步
我们看看payload,updatexml的第一个参数和第三个参数随便一个数字就行
其实不要1= 也是可以的,我们要的是执行updatexml执行的时候报错
关键在第二个参数的理解,为什么要这样
我们可以看到第二个参数直接version()那个版本信息显示不全,
我们在version两边加个左右括号(十六进制分别是0x28,0x29)看看, 可以看到多了右边的括号
我们再在两边加个+(0x2b)号看看,我们看到已经完整显示出来了
当然再加一个也是可以的
甚至只有前面连接也是可以
还有很多,就不列举了
通过实验,报错的时候只会显示后面的一部分,但是我们在前面添加的字符,那么除了第一个字符,整个字符都显示出来了,要从根本理解,可能看xpath的报错输出函数?
下面开始真正的注入过程吧
获取当前数据库
用户
数据表,
用用limit控制第几个表就行,一次只能出一行数据哦,多行是不能把信息爆出来的
当然那个数据库那里,单引号没过滤用单引号括着security也行
看看users表有什么列
依次查出有id, username,password
接下来就搞数据了,发现不能不能先select出同一表中的某些值,再update这个表(在同一语句中)
我们再加一层select行不行呢,还要给里面那层给个别名哦
那就起个hack名咯,在整个select语句后面加就行,终于搞出来了,挺艰难的
less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)
这里对用户名和密码都加了过滤
当这个怎么判断存在uagent头存在注入呢,是因为他获取了我们的ip,猜它应该也获取了uagent?当然不靠普,这个靠模糊测试吧(其实就是靠发单引号啊什么的用程序去测试返回结果),还有请使用xxx浏览器访问的,有可能获取了uagent,但也可能只是前端的js来处理
那么用什么工具手注呢,burp的repeater非常方便,用火狐的某些插件应该也可以如live http headers,tamper data,下面我用live http headers插件
首先这里要输入正确的账号和密码才能绕过账号密码判断,进入处理uagent部分,这里跟我们现实中的注册登录再注入是比较贴合,这里我们输入正确的账号密码就输出我们的uagent
跟上节一样, 获取数据库
这次我们就不获取users表了,获取emails表吧,更改limit的偏移即可获取全部
less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)
当然这里用updatexml也是可以的
这里介绍另一个报错函数extractvalue
更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值
这里介绍另一个报错函数extractvalue
更详细自己去看看,第一个参数也是个xml,第二个参数就是xpath的表达式,这个函数是获取xml中某个节点的值
看看例子,可以看到与updatexml一次只能更新一个节点不同,extractvalue可以一次获取多个节点的值,并以空格分隔
接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦,updatexml是3个)
其实思路都是差不多
这里直接上最后结果
less 20 POST - Cookie injections - Uagent field - Error based (基于错误的cookie头部POST注入)
看了下代码
首先判断有无cookie,没有的话,查询出来再设置cookie
若cookie存在,又分两种情况,
第一种情况,你登陆过,cookie还有效,你没按删除cookie的按钮,那么他就输出各种信息,包括删除cookie的按钮
if(!isset($_POST['submit'])){
$cookee = $_COOKIE['uname'];
$format = 'D d M Y - H:i:s';
$timestamp = time() + 3600;
echo "<center>";
echo '<br><br><br>';
echo '<img src="../images/Less-20.jpg" />';
echo "<br><br><b>";
echo '<br><font color= "red" font size="4">';
echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];
echo "</font><br>";
echo '<font color= "cyan" font size="4">';
echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];
echo "</font><br>";
echo '<font color= "#FFFF00" font size = 4 >';
echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";
echo '<font color= "orange" font size = 5 >';
echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
echo "<br></font>";
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
$result=mysql_query($sql);
if (!$result){
die('Issue with your mysql: ' . mysql_error());
}
$row = mysql_fetch_array($result);
if($row){
echo '<font color= "pink" font size="5">';
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo '<font color= "grey" font size="5">';
echo 'Your Password:' .$row['password'];
echo "</font></b>";
echo "<br>";
echo 'Your ID:' .$row['id'];
}else{
echo "<center>";
echo '<br><br><br>';
echo '<img src="../images/slap1.jpg" />';
echo "<br><br><b>";
//echo '<img src="../images/Less-20.jpg" />';
}
echo '<center>';
echo '<form action="" method="post">';
echo '<input type="submit" name="submit" value="Delete Your Cookie!" />';
echo '</form>';
echo '</center>';
}
第二种情况,你按了删除cookie的按钮
后台就把cookie的时间设置为过期的时间,那么cookie就被删除了
那么我们的目标登陆完后对cookie的注入,核心代码在下图
首先判断方法什么的都是通用的,我就不啰嗦了
3列返回正确,所以users表有三列
直接上最后获取到的email信息吧
less 21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)
这里是base64 ,单引号+括号,其实跟20差不多啊
less 22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入)
这个跟less20,21差不多,这里是双引号,还要base64编码了的,有强大的hackbar怕什么,
425
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
