Sqllibs-Less18-19

最新推荐文章于 2024-07-24 23:19:51 发布
最新推荐文章于 2024-07-24 23:19:51 发布
阅读量656 收藏 2
点赞数
分类专栏: # Sqllibs_master
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901038/article/details/107312165
版权

文章目录

18.Less18-Header Injection-Error Based

18.1、注入分析

正常输入,产生如下显示:在这里插入图片描述

从源码我们可以看出本关卡对于输入的username和password都进行了过滤,因此我们无法进行对输入的参数进行注入。
在这里插入图片描述
继续分析源码我们可以发现含有如下insert语句,将(‘ u a g e n t ′ , ′ uagent', ' uagent,IP’, $uname)三个参数插入到了数据库中,由于uname无法注入,因此我们可以尝试对IP和uagent进行构造产生注入。

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

首先我们查看IP和uagent的来源,如下在这里插入图片描述

18.1.1、_SERVER

$_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。不能保证每个服务器都提供全部项目;服务器可能会忽略一些,或者提供一些没有在这里列举出来的项目。

注意: PHP 5.4.0 之前,$HTTP_SERVER_VARS 包含着相同的信息,但它不是一个超全局变量。 (注意 $HTTP_SERVER_VARS 与 $_SERVER 是不同的变量,PHP处理它们的方式不同)

$_SERVER[‘HTTP_USER_AGENT’] //当前请求的 User_Agent: 头部的内容。
$_SERVER[‘REMOTE_ADDR’] //当前用户 IP 。

其余用法请参考:$_SERVER详解

对于IP和uagent这两个参数,数据库并还没有对过滤措施,因此我们可以用burp拦包修改进行注入。
由于会输出数据库的相关错误信息,因此我们可以利用报错注入。

在user-agent中输入以下语句时,

‘ 【单引号,报错】
’ # 【单引号+注释,报错】
’ and ‘1’='1 【单引号+and+等式,正常显示】

那么可以判断useragent的闭合方式为单引号闭合,并且还会输出数据库的相关报错信息,因此可以利用报错进行注入。

User-Agent: ' and extractvalue(1,concat(0x7e,(select version()),0x7e)) and'1'='1

在这里插入图片描述
如上图,我们得到了数据库版本号,其他的payload以此类推,自由发挥啦!

18.2、代码分析

	/*获取用户相关信息,包括用户浏览器、操作系统等信息*/
	$uagent = $_SERVER['HTTP_USER_AGENT'];
	/*获取浏览网页用户的IP*/
	$IP = $_SERVER['REMOTE_ADDR'];
	
	
	/*对用户名和密码进行过滤。*/
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);


	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);/*返回sql语句的查询结果集*/
	$row1 = mysql_fetch_array($result1);/*在查询结果集中取需要的一行作为数组*/
		if($row1)
			{
			echo '<font color= "#FFFF00" font size = 3 >';
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color= "#0000ff" font size = 3 >';			
			echo 'Your User Agent is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());			
			echo "<br><br>";
			echo '<img src="../images/flag.jpg"  />';
			echo "<br>";
			
			}

19.Less19-Header Injection-Referer-Error Based

19.1、注入分析

正常输入,产生如下显示:
在这里插入图片描述
类似于less18,只不过我们是在拦包后的referer中不断的进行注入,在这里给出一个paylaod,其他的任由读者自行发挥啦!

报错产生mysql数据库的路径:

Referer: ' and extractvalue(1,concat(0x7e,(select @@basedir),0x7e)) and '1'='1

如下,显示了数据库的路径:
在这里插入图片描述

19.2、代码分析

	
	/*将很容易得到链接到当前页面的前一页面的地址。*/
	$uagent = $_SERVER['HTTP_REFERER'];
	/*获取浏览网页用户的IP*/
	$IP = $_SERVER['REMOTE_ADDR'];
	…………………………………………………………
	
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);
	
	…………………………………………………………

	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '<font color= "#FFFF00" font size = 3 >';
			$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color= "#0000ff" font size = 3 >';			
			echo 'Your Referer is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());			
			echo "<br><br>";
			echo '<img src="../images/flag.jpg" />';
			echo "<br>";
			
			}
xor0ne_10_01
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sqlilabs Less-18
Light_inthe_eyes的博客
03-07 4505
进入页面后,页面有提醒IP ADDRESS,如果对http比较熟悉的话,可以联想到http中的referer、XFF、useragent,在注入中,也可以叫异常Method注入。 用burpsuite抓包,查看请求头中的信息,发现回显了user-agent的信息,猜测此题的注入点在user-agent在user-agent中加入单引号,证实注入点位置的猜测: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/201001
sqli-libs------less1-less8
qq_46116117的博客
01-05 2426
sqli-libs sql注入思路 判读是否存在注入–判断注入类型–猜解字段数–查看输出字段位置–尝试爆出数据 获取数据库名–获取表名–获取列名–获取数据 less–1 页面让我们输入一个id值 我们用get的请求方式输入看看 测试这里是否有注入点 ?id=1' 出现报错情况,说明这里有注入点 判断注入类型 ?id=1' and 1=1--+ 为正常页面 ?id=1' and 1=2--+ 页面显示不正常 则为,字符型注入 猜测他的查询语句为 select *from * where ID=
【20171031中】sqli-libs Less 18-22
weixin_30378623的博客
10-31 228
Less 18:   题目:   分析:随便输入username和password,页面显示user agent的信息,提示我们通过修改http headers中的user-agent进行注入。   TRY:     工具:firefox, live http headers     s1:打开live http headers,并重新提交,live ht...
sql-libs通关详解
最新发布
hanjinming110的博客
07-24 1358
sql-libs靶场的打靶过程
SQL注入 Less18(头部注入+报错注入)
开心星人的博客
07-24 771
_SERVER是PHP预定义变量之一,可以直接使用,它是一个包含了诸如头信息(header)、路径(path)及脚本位置(scriptlocations)信息的数组。$_SERVER数组中的元素由Web服务器创建,但不能保证每个服务器都提供全部元素,有的服务器可能会忽略一些,或者提供一些没有在这里列举出来的元素。一个select查询语句,因为必须要$row1不为空,才可以进入下面的if,所以我们输入的uname和passwd都必须是正确存在的用户。check_input函数,...
SQLi LABS Less-18 报错注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第十八关请求方式为 GET请求 , 注入点为User-Agent , 注入方式为 错误注入 第一步,判断注入方式 先看源码 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入 真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库 使用 Burp...
Sqlilabs-18
KAKA的博客
07-09 888
来到了 1818 关同样也是在 UPDATE 上面做手脚,但是限制更加严格,不仅对 username 对 password 也做了 check_input 再看看后台 SQL 语句的构造: insert="INSERTINTO‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`)
Sqli-labs靶场第16关详解[Sqli-labs-less-16]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 691
-batch当你需要以批处理模式运行 sqlmap,避免任何用户干预 sqlmap 的运行,可以强制使用--batch这个开关。这样,当 sqlmap 需要用户输入信息时,都将会以默认参数运行。由于这题是,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件爆出当前主机名称。
手工和burp两种方式的布尔盲注及Sqli-labs Less 8
信安小菜鸡的博客
04-29 602
布尔盲注 开发人员屏蔽了报错信息,只返回真假的两种情况能够进行布尔盲注 布尔盲注的关键点在于将表达式结果与已知值进行对比,根据对比结果判断正确与否 布尔盲注的判断方式 通过长度判断 length():length(database())>=x 通过字符判断 substr():substr(database(),1,1) =‘s’ 通过 ascII 码判断:ascii():ascii(substr(database(),1,1)) =x Sqli-labs Less 8实践 判断数据库名长度 此处采
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1808
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs Less-19(HTTP-Referer注入)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-03 282
通过在Referer后面加上单引号和双引号测试,猜测SQL语句大致为 insert into xxx(a,b,c) values('','','') 发现这样的payload可以时sql语句正常执行 经过尝试,发现可以使用报错注入,利用extractvalue()函数 成功爆出数据库版本号。 ...
sqli-labs-less-1819、20、21、22
giun的博客
02-13 1399
先学习下http头部常见的一些关键字 Accept: 浏览器能够处理的内容类型 Accept-Charset: 浏览器能够显示的字符集 Accept-Encoding:浏览器能够处理的压缩编码。 Accept-Language: 浏览器当前设置的语言。 Connection:浏览器与服务器之间连接的类型 Cookie:当前页面设置的任何Cookie Host:发出请求的页面所在的域。 Refere...
sql注入 sql-lab Less-18
weixin_43745072的博客
11-23 392
Less-18 对于这个关卡来说,后端代码对于name以及password都有过滤。那么我们在这里的注入就是不可行的。 function check_input($value) { if(!empty($value)) { // truncation (see comments) $value = substr($value,0,20); } // Stripslashes if magic quotes enabled if (get_magic_quotes_gpc()
Sqli-labs Less18-22 HTTP 头注入 POST
kevinhanser
08-09 947
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 18: POSt - Header injection- Uagent field - Error vased 测试漏洞 源代码 $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ...
sqli-labs(18)
2302_78903258的博客
05-25 337
这里最重要的是第5点,简单来说我们可以在user-agent里进行注入,但注入的参数要符合sql 语句的要求,所以我们在user-name里注入的参数有3个,并且要对uagent参数进行闭合。: 这是一个SQL查询语句,目的是从名为'users'的表格中选择用户名和密码与用户输入匹配的行。首先,随便输入账号密码,然后进行抓包,当页面显示uagent的时候,我们可以想到uagent注入。: 这是一个SQL插入语句,将用户代理、IP地址和用户名插入到名为'uagents'的表格中。
sqli-labs(18
jimggg的博客
03-20 219
Less-18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理,头部POST注入)
sqli-labs第十八关
yuqnqi的博客
05-10 409
通过注入点测试填写正确的账户密码可以获得浏览器标识符,所以应该是通过浏览器标识符进行注入,为确认一下猜测是否正确,查看一下源码。注入点在 uagent处,确定注入点后,输入SQL语句。可以参考前面的单引号注入,比如第十一关,我就先溜了。页面提示user agent。接下来就正常的注入了。
SQL-labs的第18关——http请求头注入(User-Agent)报错注入
qq_73393033的博客
07-21 476
并且,在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们这次使用extractvalue函数进行报错注入。我们在截取的数据包中的User-Agent上加上一个'。它显示了User-Agent,我们大胆猜测注入点在这里。通过改变mid函数的后面两个参数可以改变返回的内容。很显然,这里的数据没有显示完全。账号:admin ,密码:admin。这说明闭合方式就是'。
Sqllibs-Less20-22-cookie注入
Xor0ne
07-13 407
文章目录20.Less20-Cookie Injection-Error Based20.1、注入分析20.2、代码分析21、Cookie Injection-Error Based21.1、注入分析21.2、代码分析22.Less22-Cookie Injection-Error Based-Double Quotes22.1、注入分析22.2、代码分析 20.Less20-Cookie Injection-Error Based 20.1、注入分析 有源码我们可知,当我们第一次输入username和pa
sqli-labs-less1
05-26
sqli-labs-less1是一个SQL注入练习平台,它主要用于学习和测试SQL注入攻击技术。sqli-labs-less1是一个非常基础的例子,旨在演示如何使用SQL注入攻击来绕过登录认证。它提供了一个登录页面,其中包含用户名和密码字段。攻击者可以通过在输入框中输入特定的字符串来尝试绕过认证。 如果您想深入学习SQL注入攻击技术,sqli-labs-less1可能是一个很好的练习平台。但请注意,这个平台是为了学术目的而设计的,不要在未授权的情况下尝试对任何真实的系统进行SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值