sqli-labs Basic Challenges Less 11-12

Less 11  POST - Error Based - Single quotes- String

从题目来看这一关跟之前的都不一样。这是post方式的基于报错的单引号字符型注入。

打开链接页面显示如下:

sqli-labs Basic Challenges Less 11-12_第1张图片

先随便输入一个用户名和密码比如ceshi ceshi进行尝试

sqli-labs Basic Challenges Less 11-12_第2张图片

再用前几关得到的用户名密码尝试登陆,比如Dumb

sqli-labs Basic Challenges Less 11-12_第3张图片

可以看到登陆成功页面显示的样子。

既然这里只有登陆框,题目又提示说是post方式的,那么就抓包看看

sqli-labs Basic Challenges Less 11-12_第4张图片

从拦截的数据包来看的话,这里用post方式提交了三个参数,分别是uname、passwd、submit。

Get型注入和Post型注入无非就是换了一种参数提交的方式而已。所以这里依旧先判断sql查询语句的结构。

首先在uname参数后面添加单引号测试

sqli-labs Basic Challenges Less 11-12_第5张图片

根据响应结果的报错来看,错误主要是

Dumb' LIMIT 0,1

说明多出了一个单引号影响了语句的闭合,猜测uname参数就是被单引号包裹的。接下来将前面的单引号闭合并将后面的语句注释掉

sqli-labs Basic Challenges Less 11-12_第6张图片

可以看到页面返回正常。

那么接下来判断当前表的字段数

sqli-labs Basic Challenges Less 11-12_第7张图片

sqli-labs Basic Challenges Less 11-12_第8张图片

当order by 2时返回正常,order by 3时页面报错。说明当前表只有两个字段。

union 联合查询看看显示位

sqli-labs Basic Challenges Less 11-12_第9张图片

然后查询当前数据库名以及用户名

sqli-labs Basic Challenges Less 11-12_第10张图片

得到了数据库名之后,再查询当前数据库中的所有表名

sqli-labs Basic Challenges Less 11-12_第11张图片

得到了四个表,分别是emails,referers,uagents和users。

然后查询users表中的字段名

sqli-labs Basic Challenges Less 11-12_第12张图片

知道了字段名,最后就是列出所有的字段内容了

sqli-labs Basic Challenges Less 11-12_第13张图片

可能很多人会问为什么之前order by 2的时候判断出来字段数是2,但是最后这里列出来字段数是3呐?我们来看看源码吧

sqli-labs Basic Challenges Less 11-12_第14张图片

从图中标记红框位置可以看到,sql语句在数据库中查询的时候只查询了两个字段的内容,所以后面order by的时候也只能按照所有查询字段数内的顺序来排列。当然如果是查询所有字段内容的话,order by 3就会返回正常了。

 

 

Less 12  POST - Error Based - Double quotes- String - with twist

同之前一样,这里是针对双引号变型的字符型注入。不同之处只是参数提交方式变成了post而已。

先用双引号测试

sqli-labs Basic Challenges Less 11-12_第15张图片

返回错误是Dumb") LIMIT 0,1

说明前面还有(需要闭合。所以需要提交uname参数值为Dumb") #来闭合前面的语句并将后面的语句注释掉。

sqli-labs Basic Challenges Less 11-12_第16张图片

可以看到页面响应正常。

既然sql查询语句的结构已经判断出来了,接下来就是按部就班的注入流程了。

sqli-labs Basic Challenges Less 11-12_第17张图片

可以看到已经列出了users表中关于用户名和密码的所有数据了。

你可能感兴趣的:(我的安全之路)