登录口SQL注入突破32位限制获取密码

最新推荐文章于 2024-04-24 12:00:00 发布
最新推荐文章于 2024-04-24 12:00:00 发布
阅读量237 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27278819/article/details/133281945
版权

关注微信公众号获取更多资讯,第一时间学习最新前沿渗透技术!
在这里插入图片描述

0x01 前言

虽然本文主要讲述了SQL注入,但同时也记录了在测试这个网站时的整体思考方式以及不同测试点的攻击方式。将这种方式记录下来并形成自己在渗透测试中的checklist,可以使渗透流程更加标准化,使整个测试过程更加行云流水得心应手。

0x02 分析目标

打开项目中的网站,只有一个登录页面,经典的后台
在这里插入图片描述

多次尝试登录,观察登录数据包后得出以下猜想

  1. 使用了JSP以及Servlet技术,可以尝试权限绕过:;.js /..;/ .%64%6f等等
  2. 密码加密方式略微复杂,不同于直接使用AES、DES、RSA等加密方式,可能是上述多种加密组合使用,分析加密可能需要大量时间
  3. 登录错误的返回有:用户名或密码错误、密码错误次数超限两种情况,难以爆破用户账号
  4. 没有验证码限制,在分析出密码加密后还是可以尝试爆破的
    在这里插入图片描述

汇总上面的结论
首先尝试权限绕过,常见的思路均失败,放弃。由2、3得出很难直接通过账号+密码组合进入后台,所以只爆破了TOP1000账号以及常见的123456、111111等最常见弱口令,但是并没有出结果。
在这里插入图片描述

0x03 测试

粗粗扫了一眼密码加密流程,引用的是CFCASIPInput.min.js
在这里插入图片描述

百度搜索了之后找到了开发文档,但测这个站是临时起意,不想花费太多时间去慢慢debug,除非实在挖不到其他的洞
在这里插入图片描述

最后尝试一下SQL注入,加了一个单引号后返回您发送请求中的参数含有非法字符
在这里插入图片描述

随便输入一个路径再试试,依然返回您发送请求中的参数含有非法字符,猜测极有可能是通过filter层实现的过滤,那么这就存在一个绕过此过滤的可能性
在这里插入图片描述

尝试将请求包改为multipart/form-data格式,很多filter只针对正常的POST Form-data做了过滤,忽略了multipart格式
1'返回系统异常,请联系管理员
在这里插入图片描述

1''返回用户名或密码错误!
在这里插入图片描述

妥妥的SQL注入,登录口的SQL注入,可以尝试万能密码,获取账号,获取密码等等,但是事情并没有那么简单
通过测试发现,

  1. 简单使用数据库特征函数判断,目标用的是HQL+Oracle且loginName限制32位超过会报错
  2. 密码字段是password加密方式为MD5

11111111111111111111111111111111返回用户名或密码错误
在这里插入图片描述

111111111111111111111111111111111返回系统错误请联系管理员
在这里插入图片描述

经过大量测试,有以下情况是有可能有攻击面的
payload1: admin'or password like'********%
使用payload1可以尝试去匹配TOP密码的MD5的前8位,找到一个在数据库的密码:000000(670b14728ad9902aecba32e22fa4f6bd)
说明数据库存在密码为000000的用户,后来尝试爆破这个用户,但是并没有找到
在这里插入图片描述

payload2: admin'and substr(password,1,1)='*
使用这个payload2可以直接获取admin的密码,但仔细查看payload会发现它是33位,超了1位。解决方法也有,尝试如下:

  1. 在Oracle中关于字符串函数有substr、instr、lpad、rpad等,但是都不足以在32位内构造出有效payload 失败
  2. 找到存在的用户且用户名长度小于登录4即可,爆破了TOP 1500与TOP 5000常用用户名字典,没有爆破到 失败

思绪回到payload1进行少许变形,admin'and password like'*%
当密码匹配成功后返回密码错误次数超限
在这里插入图片描述

密码匹配失败返回用户名或密码错误
在这里插入图片描述

也有攻击面,但是由于长度限制admin'and password like'*******%已经是32位极限了,只能得出密码的前7位,当尝试到第8位就会由于超出长度限制而报错
在这里插入图片描述
在这里插入图片描述

看似也要失败了,但是冥冥之中又好像能解决问题。沉思许久之后,突然想到刚刚一直在用的like特性,忽略可以在前后都加上%进行全文匹配。把密码片段夹在%%中间即可,如admin'and password like'%******%,用密码片段逐步匹配后就可获取完整的密码
举个例子123456的MD5结果是e10adc3949ba59abbe56e057f20f883e
利用admin'and password like'*%这个payload可以一直获取到前7位为e10adc3,接下来就可以利用这7位密码逐步匹配,如下:

admin'and password like'%10adc*% 得出3
admin'and password like'%0adc3*% 得出9
admin'and password like'%adc39*% 得出4
admin'and password like'%dc394*% 得出..
...
admin'and password like'%f20f8*% 得出8
admin'and password like'%20f88*% 得出3
admin'and password like'%0f883*% 得出e

最后得出e10adc3949ba59abbe56e057f20f883e

借此就可以获取到完整的admin的密码
在这里插入图片描述

渗透的艺术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
突破SQL注入攻击时输入框长度的限制
谈笑书生'BLOG
04-17 2357
作者:  czy82     前天TK研究的一个网页改COOKIE的小玩意儿给我了一点点灵感昨晚又和adam聊了聊SQL注入,今早上来就写了这篇东东.    xp_cmdshell net user abc def /add这些命令大家想必都用烂了吧,但是在实际的测试中我们常常会遇到这样的情况,服务器的asp脚本没有对用户的输入做限制,但是在网页上通过对输入框设置maxlength属性使我们的
SQL注入攻击的原理、分类和防御方法
热门推荐
Andrew的博客
02-27 1万+
一.SQL注入攻击原理 恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。   二.SQL注入攻击分类 (1)注入点的不同分类 数字类型的注入 字符串类型的注入 (2)提交方式的不同分类 GET注入 POST注入 COOKIE注入 HTTP注入 (3)获取信息的方...
web后台登录口令暴力破解及防御
最新发布
wangluoanquan111的博客
04-24 881
在实际网络安全评估测试中,前台是给用户使用,后台是给网站管理维护人员使用,前台功能相对简单,后台功能相对复杂,可能保护媒体文件上传,数据库管理等。前台用户可以自由注册,而后台是网站管理或者维护人员设定,渗透中如果能够拿到后台管理员帐号及密码,则意味着离获取webshell权限更进一步了。1.1web后台账号及密码获取思路1.通过sql注入获取后台账号及密码如果网站存在sql注入漏洞,则可以通过sqlmap等工具进行漏洞测试,通过dump命令来获取整个数据库或者某个表中的数据。
注入中表格长度限制突破
asli33的专栏
02-15 613
链接地址:http://www.5778.com/help/safe/safe2_3.htm 在表格页上加一些限制,比如maxlength等等,攻击者可以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER?我不会。网上发表了这样一篇文章: ------------len.reG-----------------   Windows R
详细的SQL注入基础到union注入获取密码实战
chen_zhangkonzhe的博客
09-10 643
SQL注入原理 参数用户可控:从前端传给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询,当用户传入参数为1'的时候在数据库执行如下方所示。字符型注入原理当我在用户可控处输入'时SQL会报错说明可能存在SQL注入
简单的SQL注入---id和万能密码
qq_74414939的博客
05-08 2133
id和万能密码
C#和sqlserver中生成新的32位GUID
weixin_34239169的博客
04-06 289
C#中用Guid.NewGuid().ToString() Sql中用NEWID() 以上方法生成的是36位的GUID,如果需要转换成32位,则需要替换掉其中的'-'字符。 Sql中的方法:replace(newid(), '-', '') ------------------------------------------   GUID(全局统一标识符)是指在一台机器上生成的数...
031 突破SQL注入限制的一点想法
hackdoors的博客
10-06 439
突破SQL注入限制的一点想法 2007-08-21 08:18:20| 分类: 思绪燃星火——技 题记:自己的一点想法,再加上网上搜集的一些资料,应该是很有价值的。 [转载请注明版权] 黑客反病毒论坛 http://bbs.hackav.com 近来技术没啥长进,竟弄些没用的了,想想真是可惜啊…… 突然想我们是否可以用什么方法绕过SQL注入限制呢?到网上考察了一下,提到的方法大多都是...
SQL注入中绕过 单引号 限制继续注入
01-02
包括我写的那篇《SQL Injection的实现与应用》也是这样的例子,因为没有碰到任何的过滤,所以使我们相当轻松就注入成功了,如下: 代码如下: //www.jb51.net/show.asp?id=1;exec master.dbo.xp_cmdshell ...
利用SQL注入漏洞登录后台的实现方法
12-15
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的...
SQL注入之万能密码.docx
06-04
什么是sql注入万能密码?用的语法是什么?用万能密码可以判断网站是否存在注入漏洞,在渗透测试中非常有用
位数不足,自动填充SQL
09-07
位数不足,自动填充SQL,数字前面自动补0
fileinput.min.js
12-28
【欢迎下载】bootstrap fileinput js jquery 上传图片 文件框
php登录页面实现-SQL注入
03-07
php登录页面实现-SQL注入
sql注入讲解ppt.pptx
08-10
二、SQL 注入基础知识: 1. PHP 语言基础:了解 PHP 语言的基础知识,熟悉 MySQL 的一些函数和语句。 2. MySQL 语句内容:熟悉 MySQL 的一些基本语句,如 SELECT、INSERT、UPDATE、DELETE 等。 3. MySQL 数据库结构...
【JDBC】----综合案例(账号密码登录SQL注入
swy2560666141的博客
12-06 2249
目录分享第二十一篇励志语录 一:账号密码登录1 创建user表1.1、创建一张用户表user,表的字段如下:1.2、向user表中插入两条数据:2 实现登录二、SQL注入2.1 SQL注入的效果的演示2.1.1 SQL注入代码2.1.2 SQL注入效果2.2 什么是SQL注入2.3 如何避免SQL注入三:PrepareStatement解决SQL注入(重要)3.1 PreparedStatement的应用3.1.1 参数标记3.1.2 动态参数绑定3.2 综合案例 id,用户编号,主键、自动增长。usern
sql长度限制_Python 之 MySql“未解之谜”16 -- sql 注入的风险
weixin_39998541的博客
12-06 143
一、Python 使用 Mysql1、Python 代码:2、Python 输出结果:3、分析① 当用户名和密码正确时,发现可以正常打印字段数据② 当用户名或密码错误时,输出“账号或密码错误”③ 当用户名输入"python' -- Python大星到此一游",密码为空,仍然可以正常打印数据④ 当用户名输入"****' or 1 = 1 -- Python大星到此一游",密码为空,打印了所有用户信息...
32位md5解密_五分钟玩通使用SQL实现MD5加密
weixin_40000430的博客
11-26 3931
我们在书写SQL脚本时,可能会碰到对字符串进行MD5加密的需要,比如存储在数据库中的用户密码需要进行MD5加密等。大部分数据库都直接提供了MD5加密函数,比如在MySQL和PostgreSQL中,都直接提供了名称就是md5的加密函数,着实方便。但在MSSQL中却并不简单!MSSQL各版本对MD5加密的处理使用SQLServer的朋友会发现,在MSSQL中,并没有名称类似md5这样的函数,如何对字符...
挖洞经验 | 命令注入突破长度限制
3569
12-03 2496
0×01 背景 http://www.freebuf.com/articles/web/154453.html 很多时候,在我们历经千辛万苦挖掘出一个漏洞或者找到一个利用点的时候,却因为一些egg hurt的限制,导致get shell或者send payload无法成功,其实很多高手都是有一些trick的,但是往往一串包含各种trick的高深payload甩得你不知所云
攻击者可以通过 SQL 注入手段获取其他用户的密码。() 对 错
06-12
对,攻击者可以通过 SQL 注入手段获取其他用户的密码SQL注入是一种常见的Web应用程序攻击方式,攻击者通过在Web应用程序的输入字段中注入恶意的SQL语句,从而获取网站数据库中的敏感信息,如用户名、密码、信用卡号等等。通过SQL注入,攻击者可以绕过程序的身份验证机制,获取其他用户的密码等敏感信息,造成用户信息泄漏和隐私侵犯。因此,在开发Web应用程序时,需要对用户输入进行严格的过滤和验证,避免SQL注入等安全漏洞的发生,保护用户的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值