windows下sqli-labs的搭建及學習（GET篇）：

Less-11：基於錯誤的_post_單引號_字元型注入

     post型的注入一般都是登入繞過，測試的方法與get都類似，通過檢視原始碼我們知道以post方式傳遞的兩個引數是uname和passwd，那麼首先來嘗試下單引號

     從這裡的報錯中可以知道後臺的sql語句應該是select username,password from table where username='$_GET['uname']' and password='$_GET['passwd']' limit 0,1

     而這裡之所以報錯是因為加號沒有被轉義，可以換成--%20來註釋後面的limit，然後我們可以構造永真語句繞過登入

     接著猜欄位數

     再試試3，報錯，說明用select查詢的是兩個欄位

    於是 用union來爆資料庫名

     依次爆表名，欄位

     最後的payload：

     這裡還有一個需要注意的地方，username和password的輸入框都可以作為注入點，但是在前一個引數處注入時只能註釋掉後面的語句，而在最後一個引數處注入時既可以註釋也可以閉合，閉合即uname=&passwd=' or 1='1，後一個1前的單引號會與limit前的單引號匹配（閉合）可以正常執行，之所以username那裡不能使用閉合，是因為一旦使用後語句將變成：

     select username,password from table where username='$_GET['uname']' or 1=1 and password='$_GET['passwd']' limit 0,1

     這裡的and運算子優先順序比or高，語句會先執行1=1 and password='$_GET['passwd']'，因為我們並不知道正確的password值，故該語句必為flase，且username的值也是flase，兩者進行or運算，其結果也必然是flase

Less-12：基於錯誤的_雙引號_post_字元型_變形注入

     嘗試單引號沒反應，再試試雙引號

     繞過登入：

     方法同之前一樣，payload：

Less-13：單引號_post_字元型_雙注入_變形注入

     嘗試之前的方法，可以登入但沒有返回使用者資訊

     從原始碼中可以看到，輸出被註釋了

     於是嘗試雙注入，直接上payload：

Less-14：雙引號_post_字元型_雙注入_變形注入

     把less-13改成雙引號就行了

Less-15：單引號_post_bool型/時間型盲注

     輸入單引號和雙引號出錯但都沒顯示報錯，加入永真式單引號可以登入，但也沒有使用者資訊

     嘗試雙注入，仍然沒有使用者資訊返回

     檢視原始碼發現，他將輸出和sql報錯都註釋了，less-13僅註釋了輸出所以可以用雙注入

     這裡只能考慮盲注了，因為合法輸入和非法輸入返回的是不同的頁面，所以這裡可以用bool盲注，盲注通常都是先確定資料庫名，表名，欄位名的長度，然後再匹配內容，如下測試資料庫名的長度

     由此可以確定資料庫名的長度是8，接著來匹配名字的8位字母

     於是可以確定資料庫名的第一個字母是's'，按照這個方法逐個去匹配，最好的方式還是寫個指令碼，省時省力

Less-16：雙引號_post_bool型/時間型盲注

     輸入uname=&passwd=") or 1=1%23顯示登入，其餘的和less-15沒有什麼不同，但也可以用來練下時間型盲注，可以構造如下兩種：

     uname=&passwd=") or (ascii(substr((select database()) ,1,1))) >115 or if(1=1, sleep(5), null)%23

     uname=&passwd=") or if(ascii(substr((select database()) ,1,1))>115,1,sleep(5))%23

Less-17：基於錯誤的_post_更新查詢注入

     單雙引號嘗試後，他的畫風始終是這樣子的

     注意到他的提示password reset，估計後臺會用到update，於是去翻了下原始碼，果然

     他的大概執行過程是接收到username和password後，首先根據username的值查詢資料庫返回username和password，然後再將原有的password值用接收到的值替換掉，這裡有一個問題是，username在接收時用了一個自定義的過濾函式check_input()，這個函式首先做了判空處理，合法就擷取username的前15個字元，然後是通過get_magic_quotes_gpc()的返回值判斷magic_quotes_gpc的值是on還是off：

     magic_quotes_gpc=on時， 不用對輸入和輸出資料庫的字串資料作addslashes()和stripslashes()的操作,資料也會正常顯示。

如果此時對輸入的資料作了addslashes()處理，那麼在輸出的時候就必須使用stripslashes()去掉多餘的反斜槓。      magic_quotes_gpc=off 時，必須使用addslashes()對輸入資料進行處理，但並不需要使用stripslashes()格式化輸出，因為addslashes()並未將反斜槓一起寫入資料庫，只是幫助mysql完成了sql語句的執行。
     最後，他用了ctype_digit()判斷username值的型別是否是數字，是字元就用mysql_real_escape_string對特殊字元進行轉義

     顯然，username這裡並不好注入，只有通過弱口令爆破，像是admin之類的，但是他對password的接收沒有做過濾的處理，於是我們可以在這裡動手腳

     對於update的注入有幾種思路，我們將他連同insert和delete一起來總結一下：
     1、子查詢注入
     子查詢注入原理即雙注入，對於dateup、delete和insert通常都是結合or的邏輯判斷，本題為例我們對update可以構造如下語句
     獲取資料庫名：

     獲取表名：

     獲取欄位名：

     獲取使用者資訊;

    這裡就 直接放insert和delete的後臺語句了，利用原理和構造的語句與update都是一樣的：

INSERT INTO users (username, password) VALUES ('admin',' or (SELECT 1 FROM(SELECT count(*),concat((SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e) FROM information_schema.tables),floor(rand()*2))x FROM information_schema.tables group by x)a)%23);

DELETE FROM users WHERE id=1 or (SELECT 1 FROM(SELECT count(*),concat((SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e) FROM information_schema.tables),floor(rand()*2))x FROM information_schema.tables group by x)a)%23;

     2、通過name_const()：    
     name_const(name,value)：返回給定值，當用來產生一個結果集合列時， name_const()促使該列使用給定名稱
     但他的使用範圍受限，只適用於一些資料庫版本高於5.0.12，但又稍舊的版本，像現在的5.7版本就不用想了...然而我用的就是較新的版本，注入只能顯示資料庫的版本資訊，想要查詢其他的資訊，會顯示Incorrect arguments to NAME_CONST，所以，這裡我就不截圖了，直接放payload：
     獲取資料庫：

' or (SELECT * FROM (SELECT(name_const(database(),1)),name_const(database(),1))a) where username='admin'%23

     獲取表名：

' or (SELECT * FROM(SELECT name_const((SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='security'),1),name_const(( SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='security'),1))a)%23

     總的來說，對於update，insert和delete都有一個固定的結構：... or (select * from(select name_const((select ...),1),name_const((select...),1))a) ...
     3、通過updatexml()：
     updatexml(xml_target,xpath_expr,new_xml)函式是MYSQL對XML文件資料進行查詢和修改的XPATH函式，xml_target是目標xml，形式類似於節點目錄，xpath_expr是xml的表示式，new_xml是用來替換的xml，簡單來說就是，用new_xml把xml_target中包含xpath_expr的部分節點（包括xml_target）替換掉，比如，updatexml(<a><b><c>asd</c></b><e></e></a>,'//b',<f>abc</f>)執行結果是<a><f>abc</f><e></e></a>，其中'//b'的斜槓表示不管b節點在哪一層都替換掉，而'/b'則是指在根目錄下替換，此處xml_target的根目錄節點是a
     利用updatexml()獲取資料的固定payload是：... or updatexml(1,concat(0x7e,(...)),0) ....updatexml()的xml_target和new_xml引數隨便設定一個數就行，這裡主要讓他報錯
     首先獲取資料庫名：

     獲取表名：

     獲取欄位名：

     獲取使用者資訊：

     報錯了，百度一下，說是不能先select出同一表中的某些值，再update這個表(在同一語句中)，也就是說將select出的結果再通過中間表select一遍，這樣就規避了錯誤，其實之前在子查詢注入中也有用到此方法，同時，還要給多加的一重select賦一個別名
     注意，這個問題只出現於mysql，mssql和Oracle不會出現此問題

     最後總結一下payload：or updatexml(1,concat(0x7e,(select * from(select ....)a),0x7e),0)%23
     4、通過extractvalue()：
     extractvalue(xml,value)函式也是MYSQL5.1以後推出的對XML文件資料進行查詢和修改的XPATH函式，注入時第一個引數隨便給一個數字
     直接上payload：

     payload：or extractvalue(1,concat(0x7e,(select * from(select ....)a),0x7e))%23

Less-18：基於錯誤的_post_使用者代理_頭部注入
    




參考文獻：
http://blog.csdn.net/ysynhtt/article/details/45115849
http://blog.csdn.net/priestmoon/article/details/8016121