一文了解pikachu的SQL注入

最新推荐文章于 2024-09-19 19:34:51 发布
最新推荐文章于 2024-09-19 19:34:51 发布
阅读量2.8k 收藏 19
点赞数 3
分类专栏: SQL注入 web安全 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allintao/article/details/129288675
版权
本文详细介绍了在Pikachu靶场中遇到的各种SQL注入方式,包括数字型注入、字符型注入、搜索型注入、XX型注入、INSERT/UPDATE注入、DELETE注入、HTTPHeader注入以及两种盲注技术。通过实例展示了如何利用注入点进行测试和利用,强调了理解SQL语句和尝试不同注入方法的重要性。
摘要由CSDN通过智能技术生成

前言:

本文章主要讲解关于pikachu的注入方式。

目录

前言:

一、数字型注入(post)

二、字符型注入(get)

三、搜索型注入

四、xx型注入

五、"insert/update"注入

六、"delete"注入

七、"http header"注入

八、盲注(base on boolian)

九、盲注(base on time)

十、宽字节注入

一、数字型注入(post)

        首先进入靶场

这里界面很简单,我们勾选复选框任意数值点查询用Brupsuite尝试抓包 

 因为POST型会把传参放在请求正文里,所以我们一眼就可以看见当前使用的是id进行传参,由于提示该题为数字型,所以我们可以使用and1=1,and1=2进行测试是否注入

 当and1=1时

当and1=2时

 这时候知道已经注入成功了,就可以使用union联合查询了,是不是非常简单,既然注入成功了,就是老一套的order by爆裂,然后联合查询union select看回显位,version()看版本,database()看数据库,爆数据了,这里就不再演示了。

二、字符型注入(get)

 进入字符型注入还是老规矩,既然是字符那肯定闭合是必不可少的,所以首先我们测闭合,先尝试输入单引号'测试闭合,然后点击查询

 

 这里提示我们语法有错误,通过url可以得知这个是GET型并且通过name传参的,我们可以尝试着在后面输入 -- a完成闭合,看看是否注入成功,由于我们并不知道该数据库里面究竟有什么username,为了方便测试,我们直接在里面输入order by 5来判断是否注入成功

 

 这里显示找不到5列,这里比较幸运一次就尝试成功了,一般碰到字符型,刚接触的话就多多尝试,这里url里面的+号在url里面代表的空格的意思

三、搜索型注入

 这里还是尝试输入单引号'测试一下闭合

 

 这里看着跟上一关好像是一样的,都是GET型通过name进行传参的,我们直接把上一关的传参拿来用一下好了,直接复制在url里面输入

 这里居然轻松注入了,我也是没有想到

四、xx型注入

 这里还是一样的框,既然是xx型,就说明字符型和数字型猜一猜,我们直接老规矩输入单引号'查找闭合

 

 语法错了提示很多很乱,但是多了个)是什么意思呢?不知道?我也不知道,反正多试试就知道了,我们尝试在单引号后面加上括号呢

 

 这次显示的居然少了很多,那我们尝试这用')注入一次试试呢

 注入成功,没什么难度

五、"insert/update"注入

 到了这关就比较有意思了,因为之前在sqli靶机的时候,没有打过这一关,所以我也是一头雾水,也是查询了一下资料,恍然大悟,其实SQL注入就是一定一定要对SQL语句有很深刻的了解,你才能懂原理是什么,通过什么方式注入的,等你知道了之后你会发现真的挺有趣的。这里上来肯定都是对着这个登录界面一顿操作,这边我建议你先试一遍,然后再看答案。不过想必大家都是试过了不懂了才来查阅资料的,那我就废话不多说了,首先右上角有个小小的tips,大家都是知道的。

这里告诉我们注册账号试一试,说明本道题演示的注入地方是在注册里面,我们直接进入注册界面

 

 这里一共有6个框框,题目提示了这是一个insert方式的注入,那我们要弄明白这道题的话,我们首先就得知道SQL语句中,insert的语法,再Mysql中,插入数据最常见的语句就是:

insert into 表名 values(1,1,1,1),这里为了方便数据我用1来代替

这里没看懂的,我建议重新看一看SQL语句,我们都知道再Mysql数据中values里面的值有INT,VARCHAR等类型对吧,那么上面的注册信息,很明显我们能看到前3个,用户,密码,性别里面的值怎么说也是要字符的吧,字符是不是就得用到VARCHAR类型呢。

那么我们是不是可以猜测到这道题背后的SQL语句是

insert into 表名 values('1','1','1',1,'1','1')也就是

insert into 表名 values('$_用户','$_密码','$_性别',$_手机,'$_地址','$_住址')

这样的结构呢,因为手机号码的话大概率可能是个INT类型。这里没看懂的,我还是建议重新看看SQL语句,不然还是理解不了。

那么通过这个猜测我们是不是可以理解,每个框里输入的值,都对应的插入对应的占位里了呢。

既然我们明白了当前我们输入的数据在后端是以什么样形式进行存储的,我们就可以尝试着去构造闭合,这里办法其实有很多种,我使用的是'#'号闭合,'#'号在Mysql里面代表这注释的作用,比方说我们在第一个用户框里输'#'号,那是不是就是下面这样的效果,这里我们加的参数我用红色标识出来更方便理解

insert into 表名 values('$_用户#','$_密码','$_性别',$_手机,'$_地址','$_住址')

这里是不是'#'号后面的都被我注释掉了呢

那么想要这个语句没有出现语法错误我们是不是该输入正确的SQL语句呢

insert into 表名 values('$_用户')#','$_密码','$_性别',$_手机,'$_地址','$_住址')

这里看不懂的话还是建议多看看SQL语句,你就懂了

这里我们尝试下思路是否正确,我们将')#输进去测试一下

 

 Column count doesn't match value count at row 1,这里翻译一下表示该错误的意思是传入表的字段数和values值的个数不一样

正常我们输入单引号测试闭合时提示的界面是这样的

 

 提示语法错误,说明我们使用')#的思路是正确的

由于我们知道这道题提示的总是错误的信息,除了错误的信息,其它的都是正常显示,那么这里就要用到报错注入了,通过报错信息注入子查询来获取我们要的数据,然后values的语句结构我们要输入第二个传参时需要用到,号,这里逗号是关键,比如

insert into 表名 values('$_用户',())#','$_密码','$_性别',$_手机,'$_地址','$_住址')

这里是我在用户框里输入的语句:a',(updatexml(0x7e,concat(0x7e,version()),0x7e)))#

这里子查询要用()括起来,知道为什么的小伙伴可以在评论区说哦

到这里我们输入的语句在后端就是

insert into 表名 values('a',(updatexml(0x7e,concat(0x7e,version()),0x7e)))#','$_密码','$_性别',$_手机,'$_地址','$_住址')

由于第二个密码框是必选项,可能这是个JS语法不能为空,我也没有继续研究,反正已经被我们给注释掉了并不重要,我们随便输入任意值就行了,就像这样

 点击提交

 得到了版本号,注入成功。这里看不懂的建议好好看看SQL报错注入的原理,这里就不多解释了,这里思路很重要,当然这道题不止我这一种办法,尝试这用or也是可以实现的,还是那句话,多多练习,多多尝试,经验都是试出来的

六、"delete"注入

 这里delete注入,顾名思义,从删除中找注入点

这里也提示删除留言存在注入点,那我们不多说直接上手

 

 这里随便输入点击提交

 提交完成点删除,这里我们要用到我们的老伙伴了Brupsuite抓包

 点击删除我们通过抓包知道GET型id传参,那么要知道什么delete注入,还是那句话,先弄明白delete在Mysql数据库中,是什么样的语句,在Mysql里面delete语句如下

delete from 表名 where 条件=什么

没毛病吧。那么我们是不是可以猜测这道题背后的数据库语句是这样的呢

delete from 表名 where id=68,(因为我抓到的包id是68)

是不是我们可以判断传参id=68时,我们留言列表里的123将会被删除,那么如果此时我们通过or语句将id不等于68,那么是不是在Mysql里面,当第一条语句没有执行成功时,会执行另一条语句呢,这里我们尝试在url里面将id=0 or version()小试一下,看看有没有回显信息

 这里显示没有version这一列,那我们尝试用order by 5试试呢

 这里显示语法错误,那会不会是用报错注入呢?尝试用报错注入试试id=0 or updatexml(0x7e,concat(0x7e,database()),0x7e)

http://127.0.0.1/pikachu/vul/sqli/sqli_del.php?id=%200%20or%20updatexml(0x7e,concat(0x7e,version()),0x7e)

 得到版本号了,这里主要是为了演示注入思路,还是要多尝试,这里没看懂的还是一样回去看看什么是报错注入

七、"http header"注入

 http头注入我们先看一下提示

账号密码都告诉我们了这不登录进去看看?当然这里老朋友先抓个包

 

 进入发现我的浏览器和操作系统,IP端口等都被获取了,这是通过什么方式获取的呢?我们看刚刚老朋友抓的包和里面告诉我们的有哪些相似之处,首先我们一眼望去就得知

可能是通过这两个传参获取的数据

那么我们做这道题的时候首先就要知道什么是User-Agent

User-Agent 即用户代理,简称“UA”,它是一个特殊字符串头。网站服务器通过识别 “UA”来确定用户所使用的操作系统版本、CPU 类型、浏览器版本等信息。而网站服务器则通过判断 UA 来给客户端发送不同的页面。

那么这里我们是不是可以先尝试在User-Agent修改数据传参来验证我们的猜测呢,还是老方法单引号测闭合

 

 

 

 

 通过这个页面我们猜测可能也是insert插入闭合,在User-Agent后面输入

'or updatexml(0x7e,concat(0x7e,version()),0x7e) or '

注:此处需要修改每个post和get包的user agent来保证最后输出的user agent的参数为你输入的参数

 

 

 

 得到版本号,注入成功

八、盲注(base on boolian)

九、盲注(base on time)

十、宽字节注入

PikachuSQL注入
qq_46430168的博客
06-29 437
PikachuSQL注入 1. 数字型注入       首先发现界面只有一个下拉框和提交框,尝试选择不同下拉框中的选项,发现返回不同的值,但是url并无任何变化,初步推断出使用post传输并且后台语句可能为select xxx,xxx from xxx where id=1-6。       找列数,id=3 order by n#,当n>2时返回错误,等于2时返回正确,说明select语句查询结果有2列     &n
pikachu sql注入题解
L1ni01
07-17 485
第一关.数字型注入(post) 首先我们介绍一下数字型和字符型的sql注入 sql注入大致也可分为数字型和字符型 如何判断是数字型还是字符型呢 数字型判断: 当输入的参 x 为整型时,通常 abc.php 中 Sql 语句类型大致如下: select * from <表名> where id = x 这种类型可以使用经典的 and 1=1 和 and 1=2 来判断: Url 地址中输入 http://xxx/abc.php?id= x and 1=1 页面依旧运行正常,继续进行下一步
pikachu靶场之SQL注入
2201_75766364的博客
03-28 1111
程序员在编写web程序时,没有对客户端提交的参数进行严格的过滤和判断。用户可以修改参数或数据,并传递至服务器端,导致服务端拼接了伪造的SQL查询语句,服务端连接数据库,并将伪造的sql语句发送给数据库服务端执行,数据库sql语句的执行结 果,返回给了服务端,服务端又将结果返回给了客户端,从而获取到敏感信息,甚至执行危险的代码或 系统命令。简单来说就是:注入产生的原因是接受相关参数未经处理直接带入数据库查询操作。
pikachusql注入
最新发布
m0_74394274的博客
09-19 899
大家好
pikachuSQL注入
qq_58091216的博客
11-04 2361
SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
Pikachu-----Sql Inject(SQL注入
m0_65712192的博客
12-29 2880
Pikachu-----Sql Inject(SQL注入
Pikachu(皮卡丘)靶场中SQL注入
剁椒鱼头没剁椒的博客
12-14 5271
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
sql注入 pikachu post数字型注入
08-12
SQL 注入 Pikachu Post 数字型注入 SQL 注入是一种常见的 Web 应用安全漏洞,攻击者可以通过在输入字段中注入恶意的 SQL 语句来获取或修改敏感数据。在本文中,我们将探讨一种新的 Post 数字型注入方法,即使用 ...
SQL注入之字符型注入练习(pikachu
windStudyer的专栏
04-17 3787
SQL注入之字符型 实现目标:获取到pikachu下的表、数据信息 靶场:pikachu =》sql-inject=》字符型注入 实验步骤 第一步目标:拿到数据库名 确定请求方法类型 注:为什么需要确定请求方法??自己思考 尝试输入数据,判断请求方法类型 从上可以看出,请求的方法为get类型,注入点在url上边,我们输入的要查询的值是abc,实际被是通过url参数name带入的。而且参数是字符型。 判断注入点 从2.1知道请求方法和注入类型,因为是字符..
pikachu sql注入
08-11
如果你对pikachu SQL注入感兴趣,我建议你参考引用中的文章。这篇文章详细介绍了字符型SQL注入的过程和防范措施,可以帮助你更好地理解和应对这种类型的攻击。12<em>3 #### 引用[.reference_title...
pikachu-sql注入
Resets_的博客
04-01 617
pikachu sql数字型注入,字符型注入
pikachu-SQL注入
qq_43660551的博客
05-11 1747
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
pikachu靶场通关之sql注入
qq_74825121的博客
01-21 2957
pikachu靶场通关之sql注入
SQL注入pikachu靶场中的SQL注入通关
qq_68163788的博客
05-24 2701
SQL注入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL注入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL注入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL注入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
pikachu平台之sql注入
qq_42728977的博客
12-24 751
参考链接 原理 SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。 基本流程 1.2SQL注入攻击流程 第一步:注入点探测 自动方式:使用web漏洞扫描工具,自动进行注入点发现 手动方式:手工构造SQL注入测试语句进行注入点发现 第二步:信息获取 通过...
pikachusql注入
weixin_38720471的博客
01-07 3814
** 1原理 ** SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 2数字型注入 让id=true,从而使sql语句在查询时,id可以查询所有值 3字符型注入 3.1原理:首先用 ’ 判断是否存在字符型注入的漏洞 。因为在sql语句中 多个’会造成sql语句错误(结合sql语句),若加单引号后显示sql运行错误 ,则存在此
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值