SQLI LABS | Less-39 GET-Stacked Query Injection-Intiger Based

SRC_BLUE_172024-11-13 3:06

关注这个靶场的其它相关笔记:SQLI LABS ------ 靶场笔记合集-CSDN博客

0x01:过关流程

输入下面的链接进入靶场(如果你的地址和我不一样,按照你本地的环境来):

复制代码 
 http://localhost/sqli-labs/Less-39/

本关是堆叠注入,先来看一下受害者原始数据(我们的目标就是篡改信息,或者删除信息?):

首先,用 BP 抓包,然后用时间盲注的字典去爆破后端 SQL 模板:

如下,是一个可以使用的 Payload 模板:

sql 复制代码 
 1 and sleep(3)

通过上面的模板,我们可以推测出其后端的 SQL 模板为:

sql 复制代码 
 select * from users where id=$_GET["id"];

我们可以使用如下 Payload 做一个测试,进行校验,看看我们上面的推测是否正确:

sql 复制代码 
 1 and 1=1   => 若页面回显内容,则证明存在漏洞
 1 and 1=0   => 若页面回显为空,则证明存在漏洞

明确了漏洞存在,且知道 Payload 该怎么写后,就是收集数据库信息、收集数据表信息 。。。 这些笔者在这里节省时间就不说了,直接当作已知条件,下面直接开始上堆叠注入的 Payload:

sql 复制代码 
 -- 修改 id = 1 的用户密码为 HACKER
 1;update users set password='HACKER' where id=1;#

如上,我们已经能够随意篡改用户密码了。至此,SQLI LABS Less-39 GET-Stacked Query Injection-Intiger Based 成功过关。

0x02:源码分析

下面是 SQLI LABS Less-39 GET-Stacked Query Injection-Intiger Based 后端的部分源码,以及笔者做的笔记:

php 复制代码 
<?php
 // take the variables 
 if (isset($_GET['id'])) {
 $id = $_GET['id'];
 //logging the connection parameters to a file for analysis.
 $fp = fopen('result.txt', 'a');
 fwrite($fp, 'ID:' . $id . "\n");
 fclose($fp);
 ​
 // connectivity
 //mysql connections for stacked query examples.
 $con1 = mysqli_connect($host, $dbuser, $dbpass, $dbname);
 // Check connection
 if (mysqli_connect_errno($con1)) {
     echo "Failed to connect to MySQL: " . mysqli_connect_error();
 } else {
     @mysqli_select_db($con1, $dbname) or die("Unable to connect to the database: $dbname");
 }
 ​
 // 直接拼接进 SQL 模板中
 $sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
 /* execute multi query */
 // mysqli_multi_query => 执行一个或多个针对数据库的查询,多个查询用分号进行分隔。 
 if (mysqli_multi_query($con1, $sql)) {
     /* store first result set */
     // mysqli_stroe_result => 转移将上一次查询返回的结果集(多个结果)
     if ($result = mysqli_store_result($con1)) {
         if ($row = mysqli_fetch_row($result)) {
             echo '<font size = "5" color= "#00FF00">';
             printf("Your Username is : %s", $row[1]);
             echo "<br>";
             printf("Your Password is : %s", $row[2]);
             echo "<br>";
             echo "</font>";
         }
         //            mysqli_free_result($result);
     }
     /* print divider */
     // mysqli_more_results => 如果当前执行的查询存在多个结果,返回 "真",否则返回 "假"
     if (mysqli_more_results($con1)) {
         //printf("-----------------\n");
     }
     //while (mysqli_next_result($con1));
 } else {
     echo '<font size="5" color= "#FFFF00">';
     print_r(mysqli_error($con1));
     echo "</font>";
 }
 /* close connection */
 mysqli_close($con1);
 } else {
 echo "Please input the ID as parameter with numeric value";
 }
 ?>
相关推荐
阿巴斯甜12 小时前
Android 报错:Zip file '/Users/lyy/develop/repoAndroidLapp/l-app-android-ble/app/bu
android
Kapaseker13 小时前
实战 Compose 中的 IntrinsicSize
android·kotlin
xq952714 小时前
Andorid Google 登录接入文档
android
黄林晴15 小时前
告别 Modifier 地狱,Compose 样式系统要变天了
android·android jetpack
冬奇Lab1 天前
Android触摸事件分发、手势识别与输入优化实战
android·源码阅读
城东米粉儿1 天前
Android MediaPlayer 笔记
android
Jony_1 天前
Android 启动优化方案
android
阿巴斯甜1 天前
Android studio 报错:Cause: error=86, Bad CPU type in executable
android
张小潇1 天前
AOSP15 Input专题InputReader源码分析
android
_小马快跑_1 天前
Kotlin | 协程调度器选择:何时用CoroutineScope配置,何时用launch指定?
android
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09OpenClaw大龙虾机器人完整安装教程10Window 10部署openclaw报错node.exe : npm error code 128