墨者靶场—SQL手工注入漏洞测试(MySQL数据库)

0x00 前言

学SQL注入也有一段时间了,找了一个在线靶场,这个题目基本上学会最基本的注入原理和方法都能拿下,废话就不多说了,直接来演示吧~菜鸟渗透,大佬勿喷

0x01 过程

  • 首先我们先稍微看一下题目
    在这里插入图片描述
    在这里插入图片描述

  • 通过题目我们可以看出靶场环境是Nginx+PHP+MySQL

  • 那我们现在启动、进入靶场

  • 进入靶场后我们可以看到是一个登录界面,但可以发现登录框下面有一个轮播提示新闻
    在这里插入图片描述

  • 我们试着点进去看

  • 我们点进去后,可以看到URL栏上存在一个?id=1,这里表示存在一个GET传参
    在这里插入图片描述

  • 要知道,SQL注入得核心是用户输入得内容被当作代码去执行

  • 那我们现在来尝试一下,这里传参的是否输入可以被当作代码执行

  • 这里我输入 and 1=1 网页没变,输入 and 1=2网页变了,这里就说明存在SQL注入漏洞
    在这里插入图片描述
    在这里插入图片描述

  • 竟然知道存在SQL注入,这样思路就来了,我们直接打一套组合拳,然后顺着网线爬过去,剪掉他的网线,好了,开玩笑啦~我们接着看

  • 要知道数据库有多个字段,有的数据会显示,而有的数据不会显示,这是开发所决定的,而我们接下来要用到union联合查询(而使用联合查询的条件是两条查询语句的字段数必须相同),所以我们也要知道这个网页交互的所在数据库表里有多少个字段。

这里可以得出总结:我们要知道有多少个字段,然后显示位在哪个字段

  • 那么按照正常的SQL注入来走,就是使用 order by先获得字段数是多少,然后再使用union联合查询来找出显示位
  • 下面废话少说,直接看演示吧~

在这里插入图片描述

  • 这里我们就跳过重复的过程

  • 到了 order by 5 页面报错,这里说明有4个字段
    在这里插入图片描述

  • 好了,知道有四个字段后,我们要找出字段显示位

  • 这里要说明一下,数据库的特性是如果两条语句都为真,先执行前面的语句再执行后面的语句

  • union 和order by不同的是,使用union联合查询不管前面得语句是否为真都会执行后面的语句

  • 但是说过了,数据库特性是先执行前面的语句,所以如果前面的为真就会把显示位给占了显示前面的内容

  • 所以我们要把前面执行的弄回and 1=2 ,让前面的内容位错,而把后面的内容显示出来

  • 我们使用select 1,2,3,4来看一下显示位是哪个字段
    在这里插入图片描述

  • 这里我们就知道显示位了,那么我们就一套组合拳打过去

  • 在显示位3上使用database() 函数得到当前的数据库名(这里不管是显示位2,还是3,只要是输出位都可以)
    在这里插入图片描述

  • 这里我们就记录下,数据库名是:mozhe_Discuz_StormGroup

  • 之后,我也废话不多说了,直接看演示

  • 然后通过information_schema数据库,找到当前数据库下面的表和表中的字段
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • 得出当前数据库下有两个表,分别是:StormGroup_member 和 notice

  • 按题目要求,下面我们可以得出,我们需要的的数据就存在 StormGroup_member 表里,那么我们就要看看StormGroup_member表有什么字段
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • 我们得出表里面有4个字段,分别是: id name password status

  • 那我们可以看出,对我们有用的是 name 和 passeord 这两个字段里面的数据

  • 然后我们在显示位 2 里显示name的数据,显示位 3 里面显示password的内容
    在这里插入图片描述

  • name对应的数据是:mozhe

  • password对应的数据是:ca4f4db1e355bb45a734f52e96a0cb40

  • 我们可以看出password对应的数据是通过md5,加密了

  • 我们打开cmd5解密网站,解密一下,得出加密的数据
    在这里插入图片描述

  • 解密出的数据是:282392

  • 好了,到了这里我们就得到账号和密码了

  • 我们回到靶场的登录页面,通过得到的账号密码,尝试登录一下是否可以登录进去
    在这里插入图片描述

  • 登录成功,获得flag值
    在这里插入图片描述

  • 把flag值提交,flag值正确,至此~这次靶场之路就结束了

0x03 结论

好了,我们现在就来总结一下:我们首先是通过and 1=1 、and 1=2是来判断一下是否存在SQL注入(这里再次说一遍,SQL注入的核心是用户输入的数据被当作代码去执行),然后我们使用order by 来查看有多少个字段,得到字段数后就使用union联合查询来找出显示位,得到显示位后就通过MYSQL自带数据库information_schema数据库来得到 当前数据库得表和表里字段,然后获得数据。好了,以上都是小弟第一次发文章,也是纯手写,如有什么不好得地方的话,大佬们勿喷~

0x04 END


文章标签:

原文连接:https://blog.csdn.net/weixin_46694260/article/details/123614787

相关推荐

全链路灰度在数据库上我们是怎么做的?

MySQL约束

MongoDB安装教程

FTP服务配置

【云原生】Docker部署数据库的持久化

MySQL - 函数及约束命令

【云原生】风云暗涌的时代,DBA们的利刃出鞘了

没错,列式存储非常牛。但是,Ta还可以更高效

SpringBoot数据库管理 - 用flyway对数据库管理和迁移

Redis如何实现持久化?详细讲解RDB的三种触发机制及其优缺点,带你快速掌握RDB

效率低?响应慢?报表工具痛点及其解决方案

使用systemd,把服务装进 Linux 心脏里~

C2B模式下优惠券架构演进

《MySQL高级篇》四、索引的存储结构

学习 MySQL 需要知道的 28 个小技巧

数据库持久化+JDBC数据库连接

shell脚本实现mysql数据库双机定时备份

详解缓存穿透、缓存雪崩、缓存击穿

图文详解Redis集群与扩展

【云原生】SQL(及存储过程)跑得太慢怎么办?