通过sqli

admin管理员组

文章数量:1794759

通过sqli

本文链接：blog.csdn/u012763794/article/details/51361152

上一次就讲了基础挑战之less1-10:blog.csdn/u012763794/article/details/51207833，都是get型的，包含的种类也是比较多了，这次的是post型注入一般都是登陆绕过，当然也是可以获取数据库的信，具体看下面的实验吧。

一些基础的知识上一篇基础挑战之less1-10blog.csdn/u012763794/article/details/51207833会有，这里不会讲以前讲过了知识了，还有盲注的python脚步哦，有需要的链接去看看

工具

还是火狐+hackbar插件

看看要post提交的字段吧，uname和passwd(这个在username右边的编辑框右键查看元素即可看到)

less11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入)

判断方法,上篇说过了,直接来个单引号，报错

我们把 整个被单引号引着的复制下来 

把左端和右端的单引号去掉，就变成下面的

test' LIMIT 0,1    test右边有个单引号，这里怎么跟get的报错不一样了（get的单引号报错，test后面有两个单引号），不管了，post就当这样了。

那么判断是单引号注入了

直接来个永真的，加注释，登陆成功

当然除了用注释还可以闭合单引号,当这里有个问题探讨，看下图

为什么登陆失败呢，我们看看最终这个sql语句，

首先and的优先级高于or  【就是and先运算】

那么    '1'='1' and password='test' 先运算，因为users表里面的password字段没有一个数据时test，右边是false，那么整个表达式就是false

为了方便理解，看下面三张图，第一张为users表，第二张可以看到结果是0（这个就是false了，看低三张图）

既然右边是false

那么语句就变成 SELECT username, password FROM users WHERE username='test' or false

username='test' 没有这一行数据吧，右边是false，or也救不了你了

所以我们要怎么办呢，uname这里不行，我们尝试passwd咯，发现是可以的

下面文字解释一下吧，有了上面的基础，应该就比较容易理解了

首先and先运算

username='test' and password='test' 返回false(0)

'1'='1' 肯定是true(1)了

最终语句等价于

SELECT username, password FROM users WHERE 0 or 1;

那么就肯定可以绕过登陆了

那么总结一下：一般第一个登陆字段（一般是用户名）就用注释，第二个登陆字段（一般就密码）用闭合和注释都是可以的

此外，我们这里还可以通过盲注获取数据库信

这个当然也是写个脚步来跑啦

有空我改造之前的那一篇的python脚本,盲注一下这里

less 12 POST - Error Based - Double quotes- String-with twist (基于错误的双引号POST型字符型变形的注入)

先用什么单引号双引号看看，报错就看出它有没有用引号，或者加了其他东西

那么这里明显看出用)将变量括着，那么直接绕过

less 13 POST - Double Injection - Single quotes- String -twist (POST单引号变形双注入)

单引号看出有），直接永真+闭合

less 14 POST - Double Injection - Single quotes-  String -twist (POST单引号变形双注入) 这个跟上一课的名称一样吧，但其实这是双引号的 单引号没报错，双引号就报错了，这个比上面两个简单 less 15 POST - Blind- Boolian/time Based - Single quotes (基于bool型/时间延迟单引号POST型盲注) 这里输入单引号，双引号就不会报错了，我们只能加上永真用假或者时间延迟函数了 确定单引号盲注 盲注这种事情当然编程实现才好了 less 16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注) 这次就用时间延迟的吧 uname=a&passwd=a") or 1=1# ，判断为双引号变形 测试： uname=a&passwd=a")  or if(length(database())=7,1,sleep(5)) # uname=a&passwd=a")  or if(length(database())=8,1,sleep(5)) # less 17 POST - Update Query- Error Based - String (基于错误的更新查询POST注入) 注意：下面的注入，一不小心可能把数据库的user表的密码表给清空了 这个应该跟xpath注入有点关系 xpath教程看这 www.w3school/xpath/ 还有个函数  updatexml，这个函数搜了很久都不见其介绍，都是直接给个payload：updatexml(1,concat(0x7e,(version())),0)，这函数什么意思，每个位置的参数对应什么，什么都没说，我也是醉了，后来直接在mysql控制台直接help搞掂，瞬间跪了，看了学东西还是官方的好啊，有解释有例子，很好 可以看到可以看到 第一个参数是 目标xml 第二个参数是 xpath的表达式，这个看w3c那个xpath教程 第三个参数是 要将xpath的表达式的东西将目标xml替换成什么 实践了一下上面的例子，你就会理解 第一个直接将a结点的内容包括a直接替换为<e>fff</e>了 第二个是因为第一个结点并没有b结点所以没有变化， /就相当于linux的根目录咯 第三个例子就不管b在哪一层，只要找到就替换 而且发现只能替换一个结点 好了，大家好好理解，我们开始注入 这个我也没怎么接触，先看看代码 首先有个过滤函数， check_input check_input首先判断不为空，就截取前15个字符， 当magic_quotes_gpc=On的时候，函数get_magic_quotes_gpc()就会返回1 当magic_quotes_gpc=Off的时候，函数get_magic_quotes_gpc()就会返回0 magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有:post、get、cookie过来的数据增加转义字符“\\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误 若开了就将转义符去掉 ctype_digit判断是不是数字，是数字就返回true，否则返回false 是字符就用mysql_real_escape_string过滤，其实基本就是转义（转义 SQL 语句中使用的字符串中的特殊字符， 并考虑到连接的当前字符集），这样就把宽字节cut了 是数字也要用intval转化成int，因为传过来的是字符型数字 function check_input($value){ if(!empty($value)){ // truncation (see comments) $value = substr($value,0,15); } // Stripslashes if magic quotes enabled if (get_magic_quotes_gpc()){ $value = stripslashes($value); } // Quote if not a number if (!ctype_digit($value)){ $value = "'" . mysql_real_escape_string($value) . "'"; } else{ $value = intval($value); } return $value; } 可以看到只对uname过滤，那么我们从password入手咯 首先通过用户名查询出用户名和密码，再更新那个用户的密码 首先要绕过通过用户名查询出用户名和密码，这个我们只能猜吧，比如admin，root，test什么的，这个可以用字典 在这里我们就当知道是admin了，直接用admin就考虑下一步 我们看看payload，updatexml的第一个参数和第三个参数随便一个数字就行 其实不要1= 也是可以的，我们要的是执行updatexml执行的时候报错 关键在第二个参数的理解，为什么要这样 我们可以看到第二个参数直接version()那个版本信显示不全， 我们在version两边加个左右括号（十六进制分别是0x28，0x29）看看， 可以看到多了右边的括号 我们再在两边加个+（0x2b）号看看，我们看到已经完整显示出来了 当然再加一个也是可以的 甚至只有前面连接也是可以 还有很多，就不列举了 通过实验，报错的时候只会显示后面的一部分，但是我们在前面添加的字符，那么除了第一个字符，整个字符都显示出来了，要从根本理解，可能看xpath的报错输出函数？ 下面开始真正的注入过程吧 获取当前数据库 用户 数据表， 用用limit控制第几个表就行，一次只能出一行数据哦，多行是不能把信爆出来的 当然那个数据库那里，单引号没过滤用单引号括着security也行 看看users表有什么列 依次查出有id， username，password 接下来就搞数据了，发现不能不能先select出同一表中的某些值，再update这个表(在同一语句中) 我们再加一层select行不行呢，还要给里面那层给个别名哦 那就起个hack名咯，在整个select语句后面加就行，终于搞出来了，挺艰难的 less 18 POST - Header Injection - Uagent field - Error based (基于错误的用户代理，头部POST注入) 这里对用户名和密码都加了过滤 当这个怎么判断存在uagent头存在注入呢，是因为他获取了我们的ip，猜它应该也获取了uagent？当然不靠普，这个靠模糊测试吧（其实就是靠发单引号啊什么的用程序去测试返回结果），还有请使用xxx浏览器访问的，有可能获取了uagent，但也可能只是前端的js来处理 那么用什么工具手注呢，burp的repeater非常方便，用火狐的某些插件应该也可以如live http headers，tamper data，下面我用live http headers插件 首先这里要输入正确的账号和密码才能绕过账号密码判断，进入处理uagent部分，这里跟我们现实中的注册登录再注入是比较贴合，这里我们输入正确的账号密码就输出我们的uagent 跟上节一样， 获取数据库 这次我们就不获取users表了，获取emails表吧，更改limit的偏移即可获取全部 less 19 POST - Header Injection - Referer field - Error based (基于头部的Referer POST报错注入)

当然这里用updatexml也是可以的 这里介绍另一个报错函数extractvalue 更详细自己去看看，第一个参数也是个xml，第二个参数就是xpath的表达式，这个函数是获取xml中某个节点的值 看看例子，可以看到与updatexml一次只能更新一个节点不同，extractvalue可以一次获取多个节点的值，并以空格分隔 接下来开始注入吧(主要这里的是extractvalue函数只要两个参数哦，updatexml是3个) 其实思路都是差不多 这里直接上最后结果 less 20 POST - Cookie injections - Uagent field  - Error based (基于错误的cookie头部POST注入) 看了下代码 首先判断有无cookie，没有的话，查询出来再设置cookie 若cookie存在，又分两种情况， 第一种情况，你登陆过，cookie还有效，你没按删除cookie的按钮，那么他就输出各种信，包括删除cookie的按钮 if(!isset($_POST['submit'])){ $cookee = $_COOKIE['uname']; $format = 'D d M Y - H:i:s'; $timestamp = time() + 3600; echo "<center>"; echo '<br><br><br>'; echo '<img src="../images/Less-20.jpg" />'; echo "<br><br><b>"; echo '<br><font color= "red" font size="4">'; echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT']; echo "</font><br>"; echo '<font color= "cyan" font size="4">'; echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR']; echo "</font><br>"; echo '<font color= "#FFFF00" font size = 4 >'; echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>"; echo '<font color= "orange" font size = 5 >'; echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp); echo "<br></font>"; $sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1"; $result=mysql_query($sql); if (!$result){ die('Issue with your mysql: ' . mysql_error()); } $row = mysql_fetch_array($result); if($row){ echo '<font color= "pink" font size="5">'; echo 'Your Login name:'. $row['username']; echo "<br>"; echo '<font color= "grey" font size="5">'; echo 'Your Password:' .$row['password']; echo "</font></b>"; echo "<br>"; echo 'Your ID:' .$row['id']; }else{ echo "<center>"; echo '<br><br><br>'; echo '<img src="../images/slap1.jpg" />'; echo "<br><br><b>"; //echo '<img src="../images/Less-20.jpg" />'; } echo '<center>'; echo '<form action="" method="post">'; echo '<input type="submit" name="submit" value="Delete Your Cookie!" />'; echo '</form>'; echo '</center>'; } 第二种情况，你按了删除cookie的按钮 后台就把cookie的时间设置为过期的时间，那么cookie就被删除了 那么我们的目标登陆完后对cookie的注入，核心代码在下图 首先判断方法什么的都是通用的，我就不啰嗦了 3列返回正确，所以users表有三列 直接上最后获取到的email信吧 less 21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入) 这里是base64 ，单引号+括号，其实跟20差不多啊 less 22 Cookie Injection- Error Based- Double Quotes - string (基于错误的双引号字符型Cookie注入) 这个跟less20，21差不多，这里是双引号，还要base64编码了的，有强大的hackbar怕什么， 本文链接： blog.csdn/u012763794/article/details/51361152

本文标签： SQLi