摘要:本篇是关于sqli-labs第11到第20关的闯关记录
Less-11
- post注入,单引号闭合无过滤,有错误提示
payload
先用
order by找出只有两列,再根据union select找出回显点
uname=1&passwd=1' union select database(),group_concat(table_name) from information_schema.tables where table_schema=database()#
uname=1&passwd=1' union select 1,group_concat(column_name) from information_schema.columns where table_name='emails'#
image
image
..etc
Less-12
- post注入,双引号+括弧闭合无过滤,有错误提示
将单引号替换为双引号+括弧即可,仿照less-12
image
Less-13
- post盲注,单引号+括弧闭合无过滤,有错误提示
需要使用正确的用户名,例如下面我们使用1是查询不出结果的,因为数据库中并没有1这个用户,而当我们使用admin(数据库中确实有admin这个用户)时,就可以正常地注入下去。这是因为我们的SQL语句是用and连接的,需要两条语句都正确才可以正确查询;而在前面十关的时候,我们带入数据库进行查询的是id,是一个整型数据,并且1是存在于数据库中的;所以说这个1并没有什么特殊,而这里的admin与1的“地位”也是等价的,很容易形成先入为主的观念,一上来就1' and 1=1#
image
image
那么就可以按照盲注的思路走下去了。
Less-14
- post盲注,双引号闭合无过滤,有错误提示
第13关的复刻版本,闭合方式改为双引号
Less-15
- post延时注入,单引号闭合,无错误提示
延时类型的注入本来pass的,用bool盲注也可以做,根据像13关
Less-16
- post延时注入,双引号闭合,无错误提示
同第15关,闭合方式改为双引号闭合
Less-17
关于更新密码的一篇,但在更新密码之前使用了查询,因此可以使用报错注入;xpath报错注入,payload:
extractvalue(1,concat(0x3a,(select @@version),0x3a))#
@@version换成我们的语句就可以了。当然延时注入也是可以的。但是要注意,在这里uname是经过处理的,敏感字符会被转义,而passwd并为作此处理,所以
image
Less-18
http头部,User-Agent报错注入
通过分析源码我们发现这里直接将User-Agent插入数据库中,因此可以抓包修改http头的,构造报错语句
image
payload:
' and extractvalue(1,concat(0x7e,(select @@version),0x7e)) and '1'='1
将select @@version改为我们想要的的SQL语句。报错语句还有很多,都可以使用类似的结构;注意闭合引号,并非注释符#,与select不同的是这里注释掉后续内容会引起语法的错误,闭合即可。
Less-19
报错注入,类似18关,注入点在http头的refer。
Less-20
当我们post传入uname和passwd后,查询成功,则将uname存入cookie中,刷新页面时,若存在cookie,则直接将cookie的值带入SQL语句:SELECT * FROM users WHERE username='$cookee' LIMIT 0,1,可以看到这里并没有任何过滤。直接抓包,修改cookie。
image
Less-21
与20关相同,是对cookie的报错注入,不同的是这里需要进行base64编码,且闭合方式为单引号+括弧。
Less-22
与21关相同需要base64编码,闭合方式为双引号。
网友评论