SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

开始挑战第二十九关(Protection with WAF)

0x1查看源码

(1)login.php页面存在防护,只要检测到存在问题就跳转到hacked.php页面(其他信息看备注)

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

0x2 foreach循环

(1)第一方式 foreache($qs_array as $val)

  这里的$qs_array就是需要遍历的数组名,每次循环时,$qs_array数组的当前元素的值被赋值给$val,并且数组的会逐次向后移动一步,即下次循环得到另一个元素;

(2)第二方式 foreache($qs_array as  $key => $val)

第二种和第二种不同的是多了一个key,key代表键值也是下标(比如:name[0]='张三'中的[0]就是下标值),在这样的循环下,不仅要将当前元素赋予$val,也要把当前的键职赋值给$key

0x3小结

  来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。

根据其中代码逻辑,WAF 会检测 id 是否为数字,如果不是一律转向 hacked.php。但是程序 没有考虑当 id 多次赋值的情况,它只对第一次的 id 进行了测试,如果传入多个 id,(如id=1&id=1&id=.....)那么后 面的 id 则存在注入漏洞。

0x4开始测试

 (1) 传入多个ID参数,利用1=1进行测试(最开始已用单引号测试)

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

(2)order by 猜解字段,正确为3个

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

(4)union select联合查询

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

(5)获取数据库,表名

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

(6)获取字段名

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

(7)获取数据

SQL注入之Sqli-labs系列第二十九关(基于WAF防护的单引号报错注入)

上一篇:HBase,以及GeoMesa设计基于HBase的设计分析,从数据模型到典型查询场景,最后进行RowKey设计


下一篇:eclipse 快捷键Open Implementation 直接退出