关注这个靶场的其它相关笔记:SQLI LABS —— 靶场笔记合集-CSDN博客
0x01:过关流程
输入下面的链接进入靶场(如果你的地址和我不一样,按照你本地的环境来):
http://localhost/sqli-labs/Less-41/
本关是堆叠注入,先来看一下受害者原始数据(我们的目标就是篡改信息,或者删除信息?):
都 Less-41 了,相信强大如你,对于这种没做任何过滤的站点,测出其后端模板一定很容易:
select * from users where id=$_GET["id"];根据我们测试出来的 SQL 模板,可以使用如下 Payload 对其进行堆叠攻击(那些表名、字段名啥的,都是用我们之前的方法一个一个测试出来的):
-- 修改 id = 1 的用户密码为 HACKER
1;update users set password='HACKER' where id=1;#
如上,我们已经能够随意篡改用户密码了。至此,SQLI LABS Less-41 GET-BLIND Based-Intiger-Stacked 成功过关。
0x02:源码分析
下面是 SQLI LABS Less-41 GET-BLIND Based-Intiger-Stacked 后端的部分源码,以及笔者做的笔记:
<?php
// take the variables
if (isset($_GET['id'])) {
$id = $_GET['id'];
//logging the connection parameters to a file for analysis.
$fp = fopen('result.txt', 'a');
fwrite($fp, 'ID:' . $id . "\n");
fclose($fp);
// connectivity
//mysql connections for stacked query examples.
$con1 = mysqli_connect($host, $dbuser, $dbpass, $dbname);
// Check connection
if (mysqli_connect_errno($con1)) {
echo "Failed to connect to MySQL: " . mysqli_connect_error();
} else {
@mysqli_select_db($con1, $dbname) or die("Unable to connect to the database: $dbname");
}
// 没有任何过滤,直接拼接进 SQL 模板中,典型的数字型注入
$sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
/* execute multi query */
// mysqli_multi_query => 执行一个或多个针对数据库的查询,多个查询用分号进行分隔。
if (mysqli_multi_query($con1, $sql)) {
/* store first result set */
// mysqli_stroe_result => 转移将上一次查询返回的结果集(多个结果)
if ($result = mysqli_store_result($con1)) {
if ($row = mysqli_fetch_row($result)) {
echo '<font size = "5" color= "#00FF00">';
printf("Your Username is : %s", $row[1]);
echo "<br>";
printf("Your Password is : %s", $row[2]);
echo "<br>";
echo "</font>";
}
// mysqli_free_result($result);
}
/* print divider */
// mysqli_more_results => 如果当前执行的查询存在多个结果,返回 “真”,否则返回 “假”
if (mysqli_more_results($con1)) {
//printf("-----------------\n");
}
//while (mysqli_next_result($con1));
}
/* close connection */
mysqli_close($con1);
} else {
echo "Please input the ID as parameter with numeric value";
}
?>
![[Redis] Redis缓存机制](https://i-blog.csdnimg.cn/direct/52080f3b6d2a4954aa2ec4e70207d323.png)
