「Burpsuite练兵场」SQL注入及相关实验(二)

Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于SQL注入及相关实验的讲解,对实验感兴趣的小伙伴千万别错过了呦!

上期回顾

 

「Burpsuite练兵场」SQL注入及相关实验(一)

 

上节内容介绍了一些基础的SQL注入操作,这一节实验学习的内容为如何在探查到了SQL注入点后利用漏洞获取到数据库信息。

通过SQL注入获取数据库信息

获取数据库的关键信息,如数据库中的表和列需要访问保存描述各种数据库结构的表,通常将这些信息称为元数据,要想访问这些信息,一个必要条件就是执行查询的用户必须具有访问这些元数据的权限,但情况并非总是如此,关于提权的内容这里不进行详细介绍。

实验内容

这是一些常用的元数据检索语句,以及收集的一些在线练习网站:

Microsoft, MySQL:https://sqlzoo.net/

Oracle:https://livesql.oracle.com/

PostgreSQL:https://pgexercises.com/questions/basic/

 

实验一:Oracle数据库版本查询

实验要求:通过SQL注入显示后台数据库Oracle版本信息

 

探查查询列数量

 

探查查询列类型(注意Oracle数据库执行查询时必须附加表名,因此from dual不可遗漏,Oracle保证数据库中存在dual表以便于构成查询语句)

 

注入显示版本号,完成实验。

 

实验二:MySQL和Microsoft数据库版本查询

实验要求:通过SQL注入显示后台数据库版本信息

 

探查查询列数量(后面的a是因为HackBar插件会忽略最后的空格,因此需要添加一个任意字符使得注释符生效)

 

探查查询列类型

 

注入显示版本号,完成实验。

 

实验三:利用SQL注入在非Oracle数据库中检索数据内容

实验目标:检索数据库内容查找administrator账户信息并登录

 

注入列数探查

 

探查查询列类型

 

注入查询数据库表名,记录表名信息。

 

开启burpsuite监听,查询列名。

 

将proxy记录的请求信息发送到Intruder模块,配置payload。

 

设置提取信息,方便结果查找。

 

将结果显示到浏览器中:

 

记录相关列名

 

查询具体数据内容

 

成功登录以完成实验

实验四:利用SQL注入在Oracle数据库中检索数据内容

实验目标:检索数据库内容查找administrator账户信息并登录

 

注入列数探查

 

探查查询列类型

 

注入查询数据库表名,记录表名信息。

 

开启Burpsuite监听,查询列名。

 

与上一实验一样配置Intruder进行攻击,爆破结果。

 

依次查看符合要求的请求,发送请求获取最终有效账户信息。

 

成功登录以完成实验。

总 结

SQL注入中获取数据信息的技巧是很多的,本文仅仅介绍了一些基础语句,更多的内容小伙伴们可以自己进行搜集验证。

以上是今天要分享的内容,大家看懂了吗?

posted @ 2020-08-26 14:40  i春秋  阅读(577)  评论(0编辑  收藏  举报