sqli-labs Basic Challenges Less 11-12

Less 11  POST - Error Based - Single quotes- String

从题目来看这一关跟之前的都不一样。这是post方式的基于报错的单引号字符型注入。

打开链接页面显示如下：

先随便输入一个用户名和密码比如ceshi ceshi进行尝试

再用前几关得到的用户名密码尝试登陆，比如Dumb

可以看到登陆成功页面显示的样子。

既然这里只有登陆框，题目又提示说是post方式的，那么就抓包看看

从拦截的数据包来看的话，这里用post方式提交了三个参数，分别是uname、passwd、submit。

Get型注入和Post型注入无非就是换了一种参数提交的方式而已。所以这里依旧先判断sql查询语句的结构。

首先在uname参数后面添加单引号测试

根据响应结果的报错来看，错误主要是

Dumb' LIMIT 0,1

说明多出了一个单引号影响了语句的闭合，猜测uname参数就是被单引号包裹的。接下来将前面的单引号闭合并将后面的语句注释掉

可以看到页面返回正常。

那么接下来判断当前表的字段数

当order by 2时返回正常，order by 3时页面报错。说明当前表只有两个字段。

union 联合查询看看显示位

然后查询当前数据库名以及用户名

得到了数据库名之后，再查询当前数据库中的所有表名

得到了四个表，分别是emails,referers,uagents和users。

然后查询users表中的字段名

知道了字段名，最后就是列出所有的字段内容了

可能很多人会问为什么之前order by 2的时候判断出来字段数是2，但是最后这里列出来字段数是3呐？我们来看看源码吧

从图中标记红框位置可以看到，sql语句在数据库中查询的时候只查询了两个字段的内容，所以后面order by的时候也只能按照所有查询字段数内的顺序来排列。当然如果是查询所有字段内容的话，order by 3就会返回正常了。

 

 

Less 12  POST - Error Based - Double quotes- String - with twist

同之前一样，这里是针对双引号变型的字符型注入。不同之处只是参数提交方式变成了post而已。

先用双引号测试

返回错误是Dumb") LIMIT 0,1

说明前面还有(需要闭合。所以需要提交uname参数值为Dumb") #来闭合前面的语句并将后面的语句注释掉。

可以看到页面响应正常。

既然sql查询语句的结构已经判断出来了，接下来就是按部就班的注入流程了。

可以看到已经列出了users表中关于用户名和密码的所有数据了。