pikachu靶场--SQL inject--必备补充知识

最新推荐文章于 2023-10-16 17:14:10 发布
最新推荐文章于 2023-10-16 17:14:10 发布
阅读量125 收藏
点赞数
文章标签: sql 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmei1228/article/details/131157197
版权

目录

一:sqli手动测试 基于union联合查询的信息获取

二:通过information_schema拿下数据库(手工测试)

三:基于函数报错的信息获取

updatexml()函数:

extractvalue()函数:

floor()函数:

一:sqli手动测试 基于union联合查询的信息获取

前面为一句正常的sql语句,后面通过union联合了又一条查询语句,且需要注意的是,前后查询的字段数需要一致!

演示:

可见,利用union从两张表中,共查询到了四个字段的值。这就意味着,我们在将来渗透的时候,可以采用(正常查询)union(恶意查询)的方式来获取我们想要的信息。但是,我们必须提前知道正常查询里面是几个字段,然后恶意查询才能构造好。

知晓正常查询字段数的方法:利用 order by!

Order by 数字:表示查询出来之后按第几行在最上面进行排序,如

当order by后面的数字大于前面的字段数是时,它就会报错。

在pikachu演示如下: 大于时:

 

 

刚好等于时:

 

由此可见,字段数为2。之后通过union和sql中的一些函数如 select database()

Select user() select version(),获取到目标的数据库名称,用户,版本等等。

二:通过information_schema拿下数据库(手工测试)

流程:从前面最基础的信息获取-->最终拿下整个数据库的敏感数据

MySQL数据库中有一个数据库“information_schema”,里面有两张比较重要的表:“tables”(里有字段 table_schema:里面有所有数据库名称,字段table_name有某个数据库里所有表的名字)和“columns”(里有字段 column_name:里面有某个表的所有字段名称)。

但是,当我们是一个攻击者身份的时候,有些数据就变成了未知,所以得从最基础的信息获取到最终拿下重要信息!

开始:

  1. 首先确定存在sql inject漏洞,比如输入单引号/双引号,提示有语法错误,说明后台对输入并没有过滤,输入的内容已经被拼接到sql语句中了。
  2. 猜测为什么类型的注入,并利用order by获取正常查询的字段数。
  3. 确定字段数(比如是2)后,就可以上union函数了,做联合查询。先获取基础的:select database(),user()  (其他用来构造闭合的字符已省略)。
  4. 通过上一步得知当前的数据库名称为 ‘pikachu’,然后利用 union select table_schema,table_name from information_schema.tables where table_schema=’ pikachu‘ 来获取pikachu数据库里所有表的名称。
  5. 通过上一步操作,得知在pikachu数据库里面有member这张表,然后利用union select table_name,column_name from information_schema.columns where table_name=’member’来获取member这张表中的字段名称。
  6. 通过上一步的操作,得知在member表中,有username和password这两个字段。

最后直接 union select username,password from member 获取账号密码。(用彩虹表对密码进行md5解密,攻击到此结束)(Ps:数据库里面是可以跨数据库去查询的。)

三:基于函数报错的信息获取

  • :常用的报错函数updatexml() , extractvalue(), floor()
  • 基于函数报错的信息获取(select/insert/update/delete)

在前面的案例中,注入点都是在select语句中,这儿不一样,用更为复杂一点的。

关键点在于函数在报错之前,会先把输入的内容(表达式)先去执行一次并且输出到前端。

updatexml()函数:

 

第一个参数是要操作的xml文档的名称,第二个是对xml文档进行内容更新的地点,指定一个位置,第三个就是新的值。接下来用pikachu演示:

以字符型输入为例,首先确定它有没有报错,然后用 kobe’ and updatexml(1,version(),0)#测试,函数的首尾两个值错误,所以会直接执行中间的表达式(版本信息),然后以报错的形式返回到前端。可惜信息不完整:

所以需要对payload进行改造,用MySQL里的一个方法“concat”,可以把传进去的两个参数组合成完整的字符串然后打印出来。即 kobe’ and updatexml(1,(concat(0x7e,version()) ,0)#

为什么用0x7e?

它其实是“~”的十六进制,避免返回信息被吃掉 。

后面把version()换为database(),或是select语句,即可获取自己想要的信息。

extractvalue()函数:

Xpath中可以把表达式拼进去,然后把表达式执行的结果作为错误的内容反馈回来。

同样是在字符型中做对应的测试,构造闭合 kobe' extractvalue(0,concat(0x7e,database()))#即可,在这里呢,效果和updatexml()函数是一样的。  

floor()函数:

有取整的效果。

要求:

1.运算中要有count

2.运算中要有group by

3.运算中要有随机性取值

构造payload:

 输入即可获取相关信息。

 

 

 

 

 

 

玄客)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pikachu靶场SQL注入.docx
09-13
pikachu靶场SQL注入章节解题
pikachu靶场 SQL-inject
Al_1的博客
10-03 913
数字型注入,字符型注入,搜索型注入,xx型注入,增改注入,删除注入,请求头注入,布尔盲注,时间盲注,宽字节盲注
Pikachu(皮卡丘)靶场SQL注入
剁椒鱼头没剁椒的博客
12-14 4960
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
SQL注入——————pikachu靶场
最新发布
qq_61579604的博客
10-16 203
修改后。
SQL注入-pikachu靶场
qq_43936524的博客
10-13 376
文章目录SQL注入概述SQL分类 SQL注入概述 SQL注入指的是通过将恶意SQL语句添加到应用的输入参数中,传递到后台被SQL服务器解析后执行的攻击。 SQL分类 数字型注入 输入查询id后抓包 改变参数1 = 1 or 1 字符型注入 ...
pikachu-master靶场
07-14
"pikachu-master靶场" 是一个专门为网络安全学习和实践设计的平台,它通常包含了一系列的挑战,旨在帮助用户提升其在黑客攻防、漏洞挖掘、安全防护等领域的技能。这个压缩包文件“pikachu-master”很可能包含了该...
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞等
pikachu-master.zip
06-25
"Pikachu-master.zip"这个压缩包文件,无疑为我们提供了一个宝贵的网络安全学习资源——Pikachu靶场靶场,是网络安全领域中的一个重要概念,它模拟真实网络环境,让学习者在可控的环境中实践和测试各种安全攻防...
sql注入——pikachu靶场
cjh12340826的博客
07-20 629
(1)先用burpsuit抓包,或使用浏览器开发者工具找到请求data。10,时间盲注,原理:如果可以注入,就延时,如果不行就立刻显示。6,detele注入使用hackbar(报错显示数据库)12,------- 基于报错信息获取---------然后使用hackbar点击post data发送请求。注册用户时注入,使用重发器(基于报错信息获取)7,http header和cookie注入。工具:burpsuit,hackbar。5,insert,update注入。在修改信息页面:提交修改,
[Pikachu靶场实战系列] SQL注入
00勇士王子的博客
07-25 358
SQL注入概述 数字型注入(post) 随便选择一个进行抓包 可以看出,传入的值赋值给了参数id. 因为是数字型注入,我们在1后面加上一个单引号看是否报错 报错了,确定漏洞存在 id=1 or 1 # 可以把所有列表爆出来,因为1为真,符合所有条件,所以输出了所有的用户 order by 判断字段长度 order by 2 正常,order by 3 报错,说明字段长度为2 然后union select 进行联合查询,右边的1和2就是回显查询结果的地方 先查一下数据库,将结果回显到2的地
pikachu靶场--SQL inject--数字型(post)/字符型(get)/搜索型/xx型注入【4.1】~【4.4】
lmei1228的博客
06-10 783
当我们输入字符的时候,正常情况下,后台会给输入的字符+单引号,把他作为一个整个的字符串来处理,所以我们如果输入的是kobe or 1 = 1,传到后台的时候,or 1 = 1就不会起作用了,因此我们要构造闭合,输入kobe’ or 1 = 1#(#用--替换也可以,都是有着注释的意思,把后面的单引号注释掉),可以看到,它也能实现遍历。首先,打开我们的mysql数据库,use pikachu,然后对表“member”做查询,可以看到当参数为“1”和“1 or 1=1”时,所查询到的结果时大不相同的。
Pikachu靶场sql注入通关
oiadkt的博客
03-07 4780
pickchusql注入通关
SQL注入-Pikachu靶场通关
rumil的博客
08-21 2485
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
pikachu靶场--SQL inject--insert/update/delete/HTTP header注入/盲注【4.5】~【4.9】
lmei1228的博客
06-11 800
substr(database(),1,1)意思是把database()的结果取值,取从第1个字符开始的第1个字符,再包裹一层ascii(),意思是将取出的字符转换成ASCII码输出,这里我们的数据库名称为apache,所以结果依次为:a ,97。因此,我们可以构造闭合xxx' or updatexml(1,concat(0x7e,database()),0) or' ,这样,返回的报错内容里就有我们所需要的信息。但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的是时间,从而确定注入。
pikachu靶场SQL,sqlmap解法
m0_62584974的博客
07-31 2504
相信大家都熟悉了pikachu靶场的手工注入方法和原理,但是对于盲注等一些复杂的注入,自己一个个试十分麻烦,此时我们就可以使用sqlmap进行注入,所以我整理了一些pikachu靶场sqlmap解法,让新手更好地适应和熟练使用sqlmap这款十分好用的工具...............
PIKACHU靶场 ——字符和数字型SQL注入练习
PICACHU+++的博客
04-03 843
进入靶场可以看见一个输入框,所以现在里面判断注入点类型,在输入框中输入了1'后,报错,并且显示到URL中,判断参数提交方式为GET传参在URL栏中输入了一下语句,判断为字符型SQL注入漏洞1' #报错1'and'1'='1 #未报错1'and'1'='2 #未报错综上为字符型SQL注入漏洞。
PikachuSQL-Inject 靶场 全 通过笔记
weixin_45619494的博客
10-13 399
kobe' and length(database())>1# 页面正常,看来确实有bool盲注,接下来用自写脚本跑,或者sqlmap吧。ant[uname]=admin'--+,发现页面改变。(因为为get型,记得url编码)!(因为为get型,记得url编码)!(因为为get型,记得url编码)!(因为为get型,记得url编码)!输入 and 1=2,提示数据库有问题?url没东西,可以判断为post,抓包看看。发现Get那行,有id值,怀疑可以注入。发现url上有变化,可能可以注入。
pikachu靶场通关之sql注入系列
qq_51902218的博客
09-16 6568
1.判断是否注入(是否严格校验)(1)可控参数(id)能否影响页面显示(2)输入的SQL语句是否能报错(能通过数据库报错,看到数据库一些语句痕迹)(selectusername,passwordfromuserwhereid=?’)后面单引号或者双引号通过在URL中修改对应的id值,值为正常数字、大数字、字符(单引号、双引号、双单引号、括号)、反斜杠\来探测URL中是否存在注入点(3)输入的SQL语句能否不报错(我们的语句能够成功闭合)(selectusername,passwordf。......
Pikachu靶场-SQL注入-搜索型注入过关步骤
weixin_44257023的博客
07-21 894
Pikachu靶场-SQL注入-搜索型注入过关步骤
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有表名:sqlmap -u ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值