XML中的SQL注入

已于 2023-08-18 08:57:22 修改
阅读量1.8k 收藏
点赞数
分类专栏: 从零开始的Burp赏金猎人之路 # Burp-SQL 文章标签: web安全 网络 网络安全 安全
于 2023-08-18 08:54:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61812944/article/details/132354242
版权

Portswigger练兵场之SQL注入

XML中的SQL注入-堆叠+编码绕过

Lab: SQL injection with filter bypass via XML encoding

实验前置必要知识点

注入不只在传参之中,根据代码的书写方法,可能会通过XML将代码传递给后端。

例如:


    
        123
    
    
        999 SELECT * FROM information_schema.tables

SQL注入是支持16进制编码的,存在多种绕过方法。

实验要求

此实验室的库存检查功能中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。

数据库包含一个users表,其中包含注册用户的用户名和密码。若要解决实验室,请执行 SQL 注入攻击以检索管理员用户的凭据,然后登录到其帐户。

⚡️渗透开始

  • 访问对应靶场界面
https://portswigger.net/web-security/sql-injection/lab-sql-injection-with-filter-bypass-via-xml-encoding
  • 启动靶场
  1. 分析功能点

多点点各种功能点,搜寻很可能会存在注入的地方

  1. 打开burp的历史记录,查询可能会存在XML的数据包

重点搜寻了POST的传参方式

  1. 测试POST功能点

首先分析功能点,通过提交的Id会回显对应的商品存量

通过修改Id值,发现回显情况发生了改变

修改成1+1之后,发现回显情况没发生改变,存在数学表达式

使用1+1,成功查到2的结果

追加 UNION SELECT NULL,被WAF侦测到攻击阻止

下载 Hackvertor 插件

利用 Hackvertor 插件转十六进制实体成功绕过

将用户名密码连接起来,得到用户密码

1 UNION SELECT username || ':' || password FROM users

杳若听闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
超级SQL注入工具
03-31
【超级SQL注入工具】是一种专门用于测试和诊断SQL注入漏洞的高级工具,它允许安全研究人员或渗透测试者模拟攻击者的行为,找出并修复数据库的安全弱点。SQL注入是一种常见的网络安全威胁,通过利用不安全Web应用...
sql语句放到外部xml文件里,读取操作
每天进步一点
03-31 8122
/** * Project Name:testDownload * File Name:ReadXML.java * Package Name:com.zsy.xml * Date:2016-3-31上午08:37:47 * Copyright (c) 2016, syzhao@zsy.com All Rights Reserved. * */ package com.zsy.xml; imp...
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1258
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型,列表上方的条件是动态的,是可以不传递的,也可以只传递其的1个或者2个或者全部。而在我们刚才编写的SQL语句,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。
xmlSQL注入
weixin_30846599的博客
09-01 515
大家通常知道xml大部分会导致外部实体注入,但是,xml也会出现SQL注入; 在xml正常的sql语句写法有两种: 第一: <select id="selectById" resultType="bean.user" > select * from users where id = #id#</select> 第二: <select id="selec...
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 5377
BurpSuit官方实验室靶场-SQL注入通关记录。
SQL注入-updatexml报错注入】
weixin_52613207的博客
06-11 426
同extractvalue(),输入错误的第二个参数,即更改路径符号。参数3:string格式,替换查找到的符合条件的数据。函数updatexml(参数1,参数2,参数3)参数1:string格式,为XML文档对象的名称。
mybatis的XM文件是怎么防止SQL注入的?
07-26 160
直接使用 JDBC 的场景,如果代码存在拼接 SQL 语句,那么很有可能会产生注入,如: 1 String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; 2 Statement stmt = connection.createStatement(); 3 ResultSet rs = stmt.executeQu...
sql注入Java过滤器
11-10
配置在web.xml,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
SQL注入工具
02-24
标题的“SQL注入工具”指的是专门用于检测和利用SQL注入漏洞的软件。这些工具可以帮助安全研究人员或黑客自动化发现和测试SQL注入漏洞,以便于评估和修复系统安全。 描述提及的“SQL注入工具”同样暗示了这是一...
超级SQL注入工具 V1.0 绿色免费版
04-25
SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意的SQL语句,来获取未经授权的数据访问,甚至可以篡改或删除数据库的信息。这款工具的出现,使得安全检测变得更加便捷和高效。 首先,我们来看该工具的核心...
Java代码审计之SQL注入
tpaer的博客
12-05 2354
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
Mybatis-plus在xml传入自定义的SQL语句
qq_41930336的博客
06-17 2265
Mybatis-plus在xml传入自定义的SQL语句
Mybatis 框架下 SQL 注入攻击的 3 种方式
z_ssyy的博客
01-15 582
以上就是Mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
XML注入攻击
壮乡码农
12-09 1525
一、XML攻击是什么? XML攻击和SQL注入类似,XML注入是将用户输入的数据当成节点处理。 二、攻击原理 攻击前提是使用XML作为存储数据的方式,在代码对xml进行查询或者修改时,用户输入的是节点,将攻击的节点保存到xml,从而影响到程序的运行。 例如: String xml = "<username>"+request.getParameter("username")+"</username>" ...
12、SQL注入——SQL报错注入
最新发布
qq_55202378的博客
12-05 484
通过构造特定的SQL语句,让攻击者想要查询的信息(如数据库名、版本号名、用户名等)通过页面的错误提示显示出来。
XML 外部实体注入
2201_75370376的博客
06-22 939
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
网络安全必学SQL注入
dzqxwzoe的博客
06-20 838
SQL注入漏洞可以说是在企业运营会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句。注入攻击的本质,是把用户输入的数据当做代码执行。
SQL注入详解(全网最全,万字长文)
热门推荐
m0_56691564的博客
10-23 3万+
一些概念:SQL:用于数据库的标准数据查询语言。 web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。而数据库就是存储资源的地方。而服务器获取数据的方法就是使用SQL语句进行查询获取。
mybatis mappersql注入的原理
05-05
MyBatis Mapper 防止 SQL 注入的原理与其他 ORM 框架类似,主要是通过预编译 SQL 语句和参数化查询来实现的。 具体来说,当我们在 Mapper 书写 SQL 语句时,MyBatis 会将 SQL 语句进行预编译,即将 SQL 语句的变量部分用 ? 来代替,然后将这些 ? 替换成实际的参数值,最终生成真正的 SQL 语句。这样可以避免拼接字符串时出现的 SQL 注入问题。 例如,以下是一个简单的 Mapper 接口以及对应的 XML 文件: ```java public interface UserMapper { @Select("SELECT * FROM user WHERE name = #{name} AND password = #{password}") User findUserByNameAndPassword(@Param("name") String name, @Param("password") String password); } ``` 在这个例子,我们使用了 `#{}` 语法来表示需要动态替换的变量,同时使用了 `@Param` 注解来指定参数名。在执行 SQL 语句时,MyBatis 会将 `#{}` 的变量替换成 ?,最终生成的 SQL 语句如下: ```sql SELECT * FROM user WHERE name = ? AND password = ? ``` 然后,MyBatis 会将实际的参数值填充到 ? ,这样就能够避免 SQL 注入问题。 需要注意的是,虽然 MyBatis Mapper 通过预编译 SQL 语句和参数化查询可以有效地防止 SQL 注入攻击,但也不能完全依赖于这种机制来保证数据安全。在实际开发,我们还需要注意其他安全问题,比如用户输入校验、敏感信息加密等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值