【sqli-labs】 less24 POST- Second Order Injections *Real treat* -Stored Injections (二次註入)
簡單登陸瀏覽一遍後,發現是一個登陸註冊修改密碼的應用
審查一下代碼
登陸頁面的username,password使用了轉義
註冊頁面的參數也進行了轉義處理
但是在修改password的頁面,直接從session中獲取了username
這樣就有了一個問題,username是在註冊時被創建的,雖然進行了轉義,但是沒有做輸入字符的限制
看一下修改密碼的sql語句
$sql = "UPDATE users SET PASSWORD=‘$pass‘ where username=‘$username‘ and password=‘$curr_pass‘ ";
如果username=admin‘#就會構成,#號後面的變成了註釋,那麽我們就修改了admin的密碼
UPDATE users SET PASSWORD=‘$pass‘ where username=‘admin‘#‘ and password=‘$curr_pass‘
來測試一下
成功註冊,數據庫中也添加了對應的數據
也可以正常的登陸
然後我們來修改密碼
為了方便觀察,將sql語句輸出一下
提示密碼修改成功
這樣我們就將admin的密碼修改為123456
可以在數據庫中確認一下
【sqli-labs】 less24 POST- Second Order Injections *Real treat* -Stored Injections (二次註入)
相關推薦
【sqli-labs】 less24 POST- Second Order Injections *Real treat* -Stored Injections (二次註入)
創建 獲取 users 密碼修改 alt 簡單 限制 injection sql語句 簡單登陸瀏覽一遍後,發現是一個登陸註冊修改密碼的應用 審查一下代碼 登陸頁面的username,password使用了轉義 註冊頁面的參數也進行了轉義處理 但是在修改password
【sqli-labs】 less11 POST - Error Based - Single quotes- String (基於錯誤的POST單引號字符型註入)
min blog 查看 字符 str rom 輸入 single 優先級 查看源碼,用戶名和密碼通過post提交 加單引號提交 出現報錯,推測對應的SQL語句 select ... from ... where xxx=‘‘‘ and yyy=‘123‘ limi
【sqli-labs】 less13 POST - Double Injection - Single quotes- String -twist (POST型單引號變形雙註入)
顯示 div sql 用戶 inject quotes .com sqli 報錯 報錯 閉合掉括號 這關登錄成功之後不顯示登錄的用戶名密碼了 【sqli-labs】 less13 POST - Double Injection - Single quotes-
【sqli-labs】 less12 POST - Error Based - Double quotes- String-with twist (基於錯誤的雙引號POST型字符型變形的註入)
div 圖片 pos log 技術分享 base class limit color 加個雙引號 通過報錯信息猜測SQL語句 select ... from ... where xxx=("") and yyy=("") limit 0,1 將括號閉合掉,通過註
【sqli-labs】 less19 POST - Header Injection - Referer field - Error based (基於頭部的Referer POST報錯註入)
span word form where sch select 技術 分享 less 這個和less18一樣,都是基於header的註入 這次的字段是referer Referer: 123‘ AND UpdateXml(1,concat(0x7e,database()
【sqli-labs】 less37 POST- Bypass MYSQL_real_escape_string (POST型繞過MYSQL_real_escape_string的註入)
div bsp amp img nbsp esc style 圖片 clas POST版本的less36 uname=1&passwd=1%df‘ or 1# 【sqli-labs】 less37 POST- Bypass MYSQL_real_escap
【sqli-labs】 less43 POST -Error based -String -Stacked with tiwst(POST型基於錯誤的堆疊變形字符型註入)
oot info bsp 變形 password users 註入 img int 和less42一樣 login_user=1&login_password=1‘);insert into users(id,username,password) value(1
【sqli-labs】 less46 GET -Error based -Numeric -Order By Clause(GET型基於錯誤的數字型Order By從句註入)
security 使用 tab eric and name users date for http://192.168.136.128/sqli-labs-master/Less-46/?sort=1 sort=4時出現報錯 說明參數是添加在order by 之後
【sqli-labs】Less7
pri select 輸出 labs 導出文件 secure 文件的 pst ble Less-7: 輸出文件 sql導出文件語句 select * from table_test into outfile ‘test.txt‘ 既然名字是輸出文件,那肯定是和文件有關系
【sqli-labs】 less2 GET - Error based - Intiger based (基於錯誤的GET整型註入)
format ima gpo ase rom pos mit 參數 png 與less1相同,直接走流程 提交參數,直接order by http://localhost/sqli/Less-2/?id=1 order by 1%23 http://localhos
【sqli-labs】 less10 GET - Blind - Time based. - Double quotes (基於時間的雙引號盲註)
localhost mage http labs substr blog com 刷新 單引號 這個和less9一樣,單引號改完雙引號就行了 http://localhost/sqli/Less-10/?id=1" and sleep(5)%23 5s後頁面完成刷新
【sqli-labs】 less9 GET - Blind - Time based. - Single Quotes (基於時間的GET單引號盲註)
mage 一個 sub inf .com info pre log () 加and http://localhost/sqli/Less-9/?id=1‘ and ‘1‘=‘1%23 http://localhost/sqli/Less-9/?id=1‘ and ‘1‘
【sqli-labs】 less21 Cookie Injection- Error Based- complex - string ( 基於錯誤的復雜的字符型Cookie註入)
基於 語句 inject cti mage src body 使用 技術 這個和less20是一樣的,唯一的不同在於添加了括號和使用了base64對cookie進行了編碼(因為使用了base64_decode解碼函數) admin被編碼成了YWRtaW4=但是執行的SQ
【sqli-labs】 less26 GET- Error based -All you SPACES and COMMENTS belong to us(GET型基於錯誤的去除了空格和註釋的註入)
src blog sci 字符 XML 包含 col concat image 看了下源碼 所有的註釋形式和反斜線,and,or都被了過濾掉了 單引號沒有過濾 空格也被過濾了 http://localhost/sqli-labs-master/Less-26/?id=
【sqli-labs】 less26a GET- Blind based -All you SPACES and COMMENTS belong to us -String-single quotes-Parenthesis(GET型基於盲註的去除了空格和註釋的單引號括號註入)
.com tables ng- username spa str ase space pan 這個和less26差不多,空格還是用%a0代替,26過了這個也就簡單了 ;%00 可以代替註釋,嘗試一下 order by 3 http://192.168.136.128/s
【sqli-labs】 less28a GET- Blind based -All you Union&Select Belong to us -String -Single quote-parenthesis(GET型基於盲註的去除了Union和Select的單引號帶括號字符型註入)
-s blog you .com 字符 mage 分享 pan col 和less28沒什麽區別,直接上個payload吧 http://192.168.136.128/sqli-labs-master/Less-28a/?id=0‘)%a0uNion%a0sElect
【sqli-labs】 less32 GET- Bypass custom filter adding slashes to dangrous chars (GET型轉義了'/"字符的寬字節註入)
成了 less sql ati mas nbsp ble sch com 轉義函數,針對以下字符,這樣就無法閉合引號,導致無法註入 ‘ --> \‘ " --> \" \ --> \\ 但是,當MySQL的客戶端字符集為gbk時,就可能發生
【sqli-labs】 less33 GET- Bypass AddSlashes (GET型繞過addslashes() 函數的寬字節註入)
labs http add 寬字節 添加 clas img union class 和less32一樣,對關鍵字符進行了添加\ 關於addslashes()函數 payload和less32一樣 http://192.168.136.128/sqli-labs-m
【sqli-labs】 less40 GET -Blind based -String -Stacked(GET型基於盲註的堆疊查詢字符型註入)
insert sed use less sql roo ase nbsp sqli 提交,頁面正常,說明是‘)閉合的 http://192.168.136.128/sqli-labs-master/Less-40/?id=1‘)%23 http://192.168
【sqli-labs】 less41 GET -Blind based -Intiger -Stacked(GET型基於盲註的堆疊查詢整型註入)
lin name sql info sta 整型 pos blog style 整型的不用閉合引號 http://192.168.136.128/sqli-labs-master/Less-41/?id=1;insert into users(id,username,p