第十一关:
这关是一个登陆口,也是一个sql注入的漏洞,也就是常说的万能密码。
在输入框账号密码种分别输入 1' 和1' 页面会报错。
后台使用的单引符号进行的拼接。账号输入1' or '1'='1 密码输入 1' or '1'='1
其实输入任意账号 密码输入1' or '1'='1也可以进去。
这关是考验报错注入,其实我个人感觉应该是有盲注的,但是我使用1' or ascii(substr((select user()),1,1)>64 # 注入时会报错,目前不知道是什么原因。(补充:后来发现是可以盲注的,这里的语句写错了,少了一个右括号,应该是1' or ascii(substr((select user()),1,1))>64 # !!!! 好吧 ,手工就是容易出错)
这里还是先使用报错注入吧:
这里先介绍一下报错函数extractvalue(),在hackbar种输入输入如下
uname=1&passwd=1' and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1))) #&submit=Submit
-------------------------------------------------------------------------------------------------------------分割线------------------------------------------------------------------------------------------
上面说了本来想用盲注的,但是总是不成功。于是我就想文件中的报错语句注释后使用sqlmap跑了一次(这个时候应该是不存在上面所说的报错注入了)
使用sqlmap跑了一次,发现还是能抛出注入漏洞,如下图:
好吧!联合注入,第一关的类容。。。。。说明我们还是得灵活运用才行啊。。。
如下图:查询得信息会在用户信息中显示出来
第十二关:
输入' 和" 页面都没有任何变化,这里有点意思的是如果后台是'''(三个单引号),sql执行会报错,但如果是"""(三个双引号),sql执行却不会报错。如下图
所以这个时候我们最好输入'"(一个单元符号一个双引符号),来让程序报错从而判断后来sql是怎么进行拼凑的(如果有报错信息的话)
可以看到这里应该使用双引符号,然后再加上括号的形式。
后面就好办了,post数据输入uname=1") or 1=1 #&passwd=1&submit=Submit
成功登陆,后面的操作就和十一关一样了