windows下sqli-labs的搭建及学习（POST篇）

windows下sqli-labs的搭建及学习（GET篇）：

http://blog.csdn.net/sherlock17/article/details/64454449

Less-11：基于错误的_post_单引号_字符型注入

post型的注入一般都是登录绕过，测试的方法与get都类似，通过查看源码我们知道以post方式传递的两个参数是uname和passwd，那么首先来尝试下单引号

从这里的报错中可以知道后台的sql语句应该是select username,password from table where username='$_GET['uname']' and password='$_GET['passwd']' limit 0,1

而这里之所以报错是因为加号没有被转义，可以换成--%20来注释后面的limit，然后我们可以构造永真语句绕过登录

接着猜字段数

再试试3，报错，说明用select查询的是两个字段

于是 用union来爆数据库名

依次爆表名，字段

最后的payload：

这里还有一个需要注意的地方，username和password的输入框都可以作为注入点，但是在前一个参数处注入时只能注释掉后面的语句，而在最后一个参数处注入时既可以注释也可以闭合，闭合即uname=&passwd='
or
1='1，后一个1前的单引号会与limit前的单引号匹配（闭合）可以正常执行，之所以username那里不能使用闭合，是因为一旦使用后语句将变成：

select username,password from table where username='$_GET['uname']' or 1=1 and password='$_GET['passwd']' limit 0,1

这里的and运算符优先级比or高，语句会先执行1=1 and
password='$_GET['passwd']'，因为我们并不知道正确的password值，故该语句必为flase，且username的值也是flase，两者进行or运算，其结果也必然是flase

Less-12：基于错误的_双引号_post_字符型_变形注入

尝试单引号没反应，再试试双引号

绕过登录：

方法同之前一样，payload：

Less-13：单引号_post_字符型_双注入_变形注入

尝试之前的方法，可以登入但没有返回用户信息

从源码中可以看到，输出被注释了

于是尝试双注入，直接上payload：

Less-14：双引号_post_字符型_双注入_变形注入

把less-13改成双引号就行了

Less-15：单引号_post_bool型/时间型盲注

输入单引号和双引号出错但都没显示报错，加入永真式单引号可以登入，但也没有用户信息

尝试双注入，仍然没有用户信息返回

查看源码发现，他将输出和sql报错都注释了，less-13仅注释了输出所以可以用双注入

这里只能考虑盲注了，因为合法输入和非法输入返回的是不同的页面，所以这里可以用bool盲注，盲注通常都是先确定数据库名，表名，字段名的长度，然后再匹配内容，如下测试数据库名的长度

由此可以确定数据库名的长度是8，接着来匹配名字的8位字母

于是可以确定数据库名的第一个字母是's'，按照这个方法逐个去匹配，最好的方式还是写个脚本，省时省力

Less-16：双引号_post_bool型/时间型盲注

输入uname=&passwd=") or 1=1%23显示登入，其余的和less-15没有什么不同，但也可以用来练下时间型盲注，可以构造如下两种：

uname=&passwd=") or (ascii(substr((select database()) ,1,1))) >115 or if(1=1, sleep(5), null)%23

uname=&passwd=") or if(ascii(substr((select database()) ,1,1))>115,1,sleep(5))%23

Less-17：基于错误的_post_更新查询注入

单双引号尝试后，他的画风始终是这样子的

注意到他的提示password reset，估计后台会用到update，于是去翻了下源码，果然

他的大概执行过程是接收到username和password后，首先根据username的值查询数据库返回username和password，然后再将原有的password值用接收到的值替换掉，这里有一个问题是，username在接收时用了一个自定义的过滤函数check_input()，这个函数首先做了判空处理，合法就截取username的前15个字符，然后是通过get_magic_quotes_gpc()的返回值判断magic_quotes_gpc的值是on还是off：

magic_quotes_gpc=on时， 不用对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。

如果此时对输入的数据作了addslashes()处理，那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。

magic_quotes_gpc=off
时，必须使用addslashes()对输入数据进行处理，但并不需要使用stripslashes()格式化输出，因为addslashes()并未将反斜杠一起写入数据库，只是帮助mysql完成了sql语句的执行。
     最后，他用了ctype_digit()判断username值的类型是否是数字，是字符就用mysql_real_escape_string对特殊字符进行转义

显然，username这里并不好注入，只有通过弱口令爆破，像是admin之类的，但是他对password的接收没有做过滤的处理，于是我们可以在这里动手脚

对于update的注入有几种思路，我们将他连同insert和delete一起来总结一下：

     1、子查询注入

子查询注入原理即双注入，对于dateup、delete和insert通常都是结合or的逻辑判断，本题为例我们对update可以构造如下语句

获取数据库名：

获取表名：

获取字段名：

获取用户信息;

这里就 直接放insert和delete的后台语句了，利用原理和构造的语句与update都是一样的：

1. INSERT INTO users (username, password) VALUES ('admin',' or (SELECT 1 FROM(SELECT count(*),concat((SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e) FROM information_schema.tables),floor(rand()*2))x FROM information_schema.tables group by x)a)%23);

1. DELETE FROM users WHERE id=1 or (SELECT 1 FROM(SELECT count(*),concat((SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e) FROM information_schema.tables),floor(rand()*2))x FROM information_schema.tables group by x)a)%23;

2、通过name_const()：

name_const(name,value)：返回给定值，当用来产生一个结果集合列时， name_const()促使该列使用给定名称

但他的使用范围受限，只适用于一些数据库版本高于5.0.12，但又稍旧的版本，像现在的5.7版本就不用想了...然而我用的就是较新的版本，注入只能显示数据库的版本信息，想要查询其他的信息，会显示Incorrect
arguments to NAME_CONST，所以，这里我就不截图了，直接放payload：

获取数据库：

1. ' or (SELECT * FROM (SELECT(name_const(database(),1)),name_const(database(),1))a) where username='admin'%23

获取表名：

1. ' or (SELECT * FROM(SELECT name_const((SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='security'),1),name_const(( SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='security'),1))a)%23

总的来说，对于update，insert和delete都有一个固定的结构：... or (select * from(select
name_const((select ...),1),name_const((select...),1))a) ...

     3、通过updatexml()：

updatexml(xml_target,xpath_expr,new_xml)函数是MYSQL对XML文档数据进行查询和修改的XPATH函数，xml_target是目标xml，形式类似于节点目录，xpath_expr是xml的表达式，new_xml是用来替换的xml，简单来说就是，用new_xml把xml_target中包含xpath_expr的部分节点（包括xml_target）替换掉，比如，updatexml(<a><b><c>asd</c></b><e></e></a>,'//b',<f>abc</f>)运行结果是<a><f>abc</f><e></e></a>，其中'//b'的斜杠表示不管b节点在哪一层都替换掉，而'/b'则是指在根目录下替换，此处xml_target的根目录节点是a

利用updatexml()获取数据的固定payload是：... or
updatexml(1,concat(0x7e,(...)),0)
....updatexml()的xml_target和new_xml参数随便设定一个数就行，这里主要让他报错

首先获取数据库名

获取表名：

获取字段名

获取用户信息

报错了，百度一下，说是不能先select出同一表中的某些值，再update这个表(在同一语句中)，也就是说将select出的结果再通过中间表select一遍，这样就规避了错误，其实之前在子查询注入中也有用到此方法，同时，还要给多加的一重select赋一个别名

注意，这个问题只出现于mysql，mssql和Oracle不会出现此问

最后总结一下payload：or updatexml(1,concat(0x7e,(select * from(select ....)a),0x7e),0)%23

     4、通过extractvalue()：

extractvalue(xml,xpath)函数也是MYSQL5.1以后推出的对XML文档数据进行查询和修改的XPATH函数，可一次获取多个xml中某节点的值，注入时第一个参数随便给一个数字

直接上payload：

payload：or extractvalue(1,concat(0x7e,(select * from(select ....)a),0x7e))%23

Less-18：基于错误的_post_用户代理_头部注入

看标题就知道，这道题主要是通过修改User Agent获取他的报错信息，之前直接改password的方法肯定是不行了，从源码可以看出来password和username都进行了过滤

修改User Agent常用的工具有burp，Live Http Headers，Modify Headers，后两者都是firefox的插件，其中Live Http Headers貌似因为firefox版本的更新，变得不好用了，尤其是对post数据包的重放，但是也有办法修复，这里贴一个修复的方法：http://www.cnblogs.com/lcamry/p/5532122.html

我下面使用的是Modify Headers，首先结合之前的updatexml报错方法修改他的User-Agent

然后刷新less-18的页面就可以看到爆出的数据库名了

     接着用同样的方法爆出表名、字段名、用户信息，但我这里出现了报错暂时还没解决，所以采用别的方法，既然这里构成了逻辑判断，那么就可以用盲注，写个忙盲注脚本就行

Less-19：基于报错的_post_referer_头部注入

登陆后发现他直接给出了提示：“Your referer is:”

于是用和之前相同的方法修改referer：

然后爆表名：

最后的payload:

Less-20：基于报错的_post_cookie_头部注入

换个地方继续注，直接上payload:

Less-21：基于错误的_复杂型_字符串_cookie注入

登录成功后，发现一个奇怪的地方，我登录的账号是admin，但是显示的cookie不是admin，于是去翻了下源码

原来是对cookie中的username做了base64加密，把页面上显示的cookie值拿去解密确实是admin

那么修改cookie的时候就可以把语句先做一次base64的加密，然后再赋给uname，这样就可以突破了，直接上最后的payload：') union select 1,group_concat(username),group_concat(password) from users#

Less-22：基于错误的_post_双引号_字符型_cookie注入

这个和Less-21差别不大，只是')改成"就可以了，下面直接上payload：" union select 1,group_concat(username),group_concat(password) from users#

参考文献：
http://blog.csdn.net/ysynhtt/article/details/45115849
http://blog.csdn.net/priestmoon/article/details/8016121