关于Sqli-labs-master第二十九关-三十一关答案解答(转载)

其他 2020-02-28 19:34:05 阅读次数: 0

Less 29

基于错误_GET_双服务器_单引号_字符型注入

 
 
 
 

看着真喜庆啊。

0x01. 参考教程

网上的大部分 Sqli-Labs 的教程都比较零散且很不系统,平时做题时参考的有:

  1. windows下sqli-labs的搭建及学习
    该作者只写到了 Less 17,但这些写的非常详细,所用函数也有详细介绍。我的 Less 1 到 Less 17 主要是参考此教程。
  2. 通过sqli-labs学习sql注入
    该作者只写到了 Less 28a,但同样非常详细,有的关卡提供了非常多的解题方法。我的 Less 18 到 Less 28a 主要是参考此教程。
  3. MySQL注入天书
    这是见过方向掌握最好的教程,有所用技术的背景介绍,作者提供了 pdf 版下载。我的 Less 29 及以后主要是参考此教程。
  4. 一航师傅WP
    这应该是一航的早期 WP,基本上用于参考盲注脚本,对于其他很多并没有详细介绍。

0x02. Tomcat的配置

网上大部分对 Less 29 - Less 31 的教程都是错的,只考虑了 php 服务器,而这三关实际上是两层服务器架构,在做这三关之前需要把 Tomcat 为引擎的 jsp 服务器搭好。

Tomcat 在学 JavaEE 时已经安装过,安装步骤也很简单,只是安装完需要配置一下Tomcat/conf/server.xml中的项目发布文件夹appBase

<Host name="localhost" appBase="D:/Web-jsp" unpackWARs="true" autoDeploy="true">

注意:Tomcat部署多个项目有两种方式,单端口或多端口:Tomcat下部署多个项目

然后下载mysql-connector-java.jar包,放入Tomcat/lib中,然后把它加入系统环境变量。
配置完后将Sqli-Labs文件夹中的tomcat-files.zip解压至 Tomcat 的项目发布文件夹,并修改其中index.jsp中的转发链接为自己 php 项目发布文件夹的链接,以及自己 MySQL 的用户名和密码。
至此便可以正常访问 Less 29 - Less 32 的 jsp 文件了。

0x03. 服务器(两层)架构

注:截图等来自《MySQL注入天书:Less 29》

 
 

服务器端有两个部分:第一部分为 tomcat 为引擎的 jsp 型服务器,第二部分为 apache 为引擎的 php 服务器,真正提供 web 服务的是 php 服务器。

工作流程为:client 访问服务器,能直接访问到 tomcat 服务器,然后 tomcat 服务器再向 apache 服务器请求数据。数据返回路径则相反。

接下来是参数解析的问题。
问:index.php?id=1&id=2,这时回显是id=1还是id=2呢?
答:apache (php) 解析最后一个参数,即回显id=2;tomcat (jsp) 解析第
一个参数,即回显id=1

大多数服务器对于参数解析:

 
 

这里有一个新问题。
问:index.jsp?id=1&id=2,针对这关的两层结构,客户端请求首先过 tomcat,tomcat 解析第一个参数,接下来 tomcat 请求 apache,apache 解析最后一个参数。那么最终返回客户端的是哪个参数?
答:此处应该还是id=2,因为实际上提供服务的是 apache 服务器,返回的数据也应该是 apache 处理的数据。

而在我们实际应用中,也是有两层服务器的情况,那为什么要这么做?是因为我们往往在 tomcat 服务器处做数据过滤和处理,功能类似为一个 WAF

而正因为解析参数的不同,我们此处可以利用该原理绕过 WAF 的检测。如 payload:index.jsp?id=1&id=0 or 1=1--+,tomcat 只检查第一个参数id=1,而对第二个参数id=0 or 1=1--+不做检查,直接传给了 apache,apache 恰好解析第二个参数,便达到了攻击的目的。

该用法就是 HPP(HTTP Parameter Pollution)即 HTTP 参数污染攻击的一个应用。HPP 可对服务器和客户端都能够造成一定的威胁。

0x04. 注入过程

步骤1:确定双服务器

 
 

从跳转到.jsp页面可以看出来是 Tomcat 服务器,一般来说,现在没有拿 jsp 写后台的了,大都用 php ,我们果断猜测是双服务器。

步骤2:注入点测试

http://localhost:8080/sqlilabs/Less-29/?id=1&id=2'

 
 

有正确回显和错误回显,单引号无小括号,剩下的事就好办了,可以发现没有其他任何的过滤条件,是最简单的注入之一。

Less 30

基于错误_GET_双服务器_双引号_字符型_盲注*

有正确回显但无错误回显,所以还是能叫基于错误

11'正常回显,1"无回显,双引号字符型。
2"%26%26"1"="1回显为id=2,无小括号。

其他的和 Less 29 一模一样。

Less 31

基于错误_GET_双服务器_双引号_小括号_字符型注入

有错误回显,估计是忘了注释掉了,同上面一样。

总结:在以上三关中,我们主要学习到的是不同服务器对于参数的不同处理,HPP 的应用有很多,不仅仅是我们上述列出过 WAF 一个方面,还有可以执行重复操作,可以执行非法操作等。同时针对 WAF 的绕过,我们这里也仅仅是抛砖引玉,后续的很多的有关 HPP 的方法需要共同去研究。这也是一个新的方向。

猜你喜欢

转载自www.cnblogs.com/li2019/p/12378585.html
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022