sqli-labs Basic Challenges Less 11-12
Less 11 POST - Error Based - Single quotes- String
从题目来看这一关跟之前的都不一样。这是post方式的基于报错的单引号字符型注入。
打开链接页面显示如下:
先随便输入一个用户名和密码比如ceshi ceshi进行尝试
再用前几关得到的用户名密码尝试登陆,比如Dumb
可以看到登陆成功页面显示的样子。
既然这里只有登陆框,题目又提示说是post方式的,那么就抓包看看
从拦截的数据包来看的话,这里用post方式提交了三个参数,分别是uname、passwd、submit。
Get型注入和Post型注入无非就是换了一种参数提交的方式而已。所以这里依旧先判断sql查询语句的结构。
首先在uname参数后面添加单引号测试
根据响应结果的报错来看,错误主要是
Dumb' LIMIT 0,1
说明多出了一个单引号影响了语句的闭合,猜测uname参数就是被单引号包裹的。接下来将前面的单引号闭合并将后面的语句注释掉
可以看到页面返回正常。
那么接下来判断当前表的字段数
当order by 2时返回正常,order by 3时页面报错。说明当前表只有两个字段。
union 联合查询看看显示位
然后查询当前数据库名以及用户名
得到了数据库名之后,再查询当前数据库中的所有表名
得到了四个表,分别是emails,referers,uagents和users。
然后查询users表中的字段名
知道了字段名,最后就是列出所有的字段内容了
可能很多人会问为什么之前order by 2的时候判断出来字段数是2,但是最后这里列出来字段数是3呐?我们来看看源码吧
从图中标记红框位置可以看到,sql语句在数据库中查询的时候只查询了两个字段的内容,所以后面order by的时候也只能按照所有查询字段数内的顺序来排列。当然如果是查询所有字段内容的话,order by 3就会返回正常了。
Less 12 POST - Error Based - Double quotes- String - with twist
同之前一样,这里是针对双引号变型的字符型注入。不同之处只是参数提交方式变成了post而已。
先用双引号测试
返回错误是Dumb") LIMIT 0,1
说明前面还有(需要闭合。所以需要提交uname参数值为Dumb") #来闭合前面的语句并将后面的语句注释掉。
可以看到页面响应正常。
既然sql查询语句的结构已经判断出来了,接下来就是按部就班的注入流程了。
可以看到已经列出了users表中关于用户名和密码的所有数据了。