sqli-labs ————less -18

Less-18

源代码：

 Welcome    Dhakkan 



 



  
Username :    
      
  
  
 Password :    
    

    







";
	echo 'Your IP ADDRESS is: ' .$IP;
	echo "
";
	//echo 'Your User Agent is: ' .$uagent;
// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))

	{
	$uname = check_input($_POST['uname']);
	$passwd = check_input($_POST['passwd']);
	
	/*
	echo 'Your Your User name:'. $uname;
	echo "
";
	echo 'Your Password:'. $passwd;
	echo "
";
	echo 'Your User Agent String:'. $uagent;
	echo "
";
	echo 'Your User Agent String:'. $IP;
	*/

	//logging the connection parameters to a file for analysis.	
	$fp=fopen('result.txt','a');
	fwrite($fp,'User Agent:'.$uname."\n");
	
	fclose($fp);
	
	$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
	$result1 = mysql_query($sql);
	$row1 = mysql_fetch_array($result1);
		if($row1)
			{
			echo '';
			$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
			mysql_query($insert);
			//echo 'Your IP ADDRESS is: ' .$IP;
			echo "";
			//echo "
";
			echo '';			
			echo 'Your User Agent is: ' .$uagent;
			echo "";
			echo "
";
			print_r(mysql_error());			
			echo "

";
			echo '';
			echo "
";
			
			}
		else
			{
			echo '';
			//echo "Try again looser";
			print_r(mysql_error());
			echo "
";			
			echo "
";
			echo '';	
			echo "";  
			}
	}
?>

从源代码中我们可以直接看到用户的用户名与密码的获取方式是post，而且在获取之后还经过了check_input函数的处理，所以我们在输入username和password上进行注入是不行的，但是我们在代码中发现了insert，

$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";

在这里它将useragent和IP的数据插入的数据库中，那么我们是不是可以用这个来进行注入呢？

IP地址我们这里修改不是非常方便，但是useragent的修改确实比较方便的，我们可以从useragent入手：

我们利用live http headers 进行抓包改包：

从上图中我们可以看到，在live Http  Headers中数据报文中useragent和最后在页面当中显示的信息是一致的，那么我们如何将useragent修改为注入语句呢？

利用报错注入
将useragent修改为：

'and extractvalue(1,concat(0x7e,(select @@version),0x7e)) and '1'='1