随便填写账号密码后,有一个假的学籍查询表单,让你填一些敏感信息啥的(黑入后台后创造居然真有人写了,汗)。溘然心生一意:要不试试SQL注入看看?
过程1、剖析后台接口直接浏览器F12,点开网络,然后随便输个账号密码,点登录,就抓到登录接口了。
负载payload里可以看到要求的参数为u、p、step三个参数,此处图片就不展示了。
2、利用apipost或者postman,考试测验对后台进行SQL注入:
设置u为‘and 1=1 即涌现select的报错提示:
再设置为'and 1=1 #10086,此时涌现insert插入失落败的提示
看来后台是先select一遍数据库确定该用户此前不存在,再insert到数据库里的。从insert内容可以看出会记录ip和地址等信息,因此单ip下发送大量垃圾信息也可以轻松过滤掉。
3.既然有个select 那自然有很大的操作空间关于如何注入,可以看:(SQL注入实战之报错注入篇(updatexml extractvalue floor)_bckBCK的博客-CSDN博客_updataxml报错注入
SQL注入之PHP+Mysql - Byskkip - 博客园 (cnblogs.com)
SQL注入-攻入Apple ID钓鱼网站实录 - msp的昌伟哥哥 - 博客园 (cnblogs.com)
我利用以下SQL注入套取信息(更换用户名参数如下):
' and updatexml(1,concat(0x7e,(select database()),0x7e),1) -- 1008611
以上这条可以套取到database()的信息,套取出来结果是d149
同理更换select database()为其他语句可以套出MySQL版本信息,本人套出来为5.6
根据此前套出来的select和insert语句还可以套出来cc_users表中的其他信息,操作如下:
' and updatexml(1,concat(0x7e,(select group_concat(username) from d149.cc_users),0x7e),1) -- 1008611
须要利用concat语句连接查询结果,否则会由于子查询的row数量>1而报错。或者利用limit语句,一个一个的套出来也可以。
我考试测验利用drop table cc_users.报错。
把稳默认情形下能套出来的信息长度有限定,不能直接全部套出来,只能套一点点。
只有这些内容当然没什么用,我打算用SET语句
SET GLOBAL group_concat_max_len = 10240
修正concat语句默认的长度,但是报错。
考试测验获取information_shcema.tables或information_schema.columns,来套取其他表或其他列的信息,结果要求不相应了,看来后台有防备啊。
4.重磅的来了:群里有位大佬直接套出了全体网站的源代码怎么套的?直接原网站后面加上某个神秘数字.rar,下载下来便是源码....
构造大概如下:
个中有几个主要文件:
1.根目录login.php wap文件夹下的login.php
假造的登录页面。里面可以直接看到后台所实行的SQL语句。
2.config文件夹下的_config.php文件
包括数据库名称设置,用户名设置,密码设置,可以看到数据库表的前缀为cc_
3.重点之一:通过搜索cc_users关键字,找到了数据库备份所在的文件夹:config/sbak/bdata,其下有一个文件夹,内部居然是全部的数据库备份!
完全的数据库建表SQL赫然在内。剖析可知管理员表名称为cc_admins,内有f_userName,f_psw两个字段,分别对应账号、密码。还有一个f_userPwd,该当是密码MD5加密后的结果。
4.重点来了
通过搜索admin关键词,锁定了以下文件:d141/admin.php
这便是全体系统的后台
直接在浏览器里域名+d141/admin.php,报了404?
考虑到此前套出来数据库名字为d149,访问域名+d149/admin.php,成功进入后台登录页面!
5.套取管理员账号和密码
此前通过剖析源码已经得知管理员表名称和构造,直接通过以下SQL套取关键信息:
' and updatexml(1,concat(0x7e,(select group_concat(f_userName) from d149.cc_admins),0x7e),1) -- 1008611' and updatexml(1,concat(0x7e,(select group_concat(f_psd) from d149.cc_admins),0x7e),1) -- 1008611' and updatexml(1,concat(0x7e,(select group_concat(f_userPwd) from d149.cc_admins),0x7e),1) -- 1008611
套取出来的信息居然和前面数据库备份的信息千篇一律。(userPwd由于过长,后面有个字母f没套出来)
直策应用用户名和密码,成功进入后台:
后台可以直接看到数据库中的内容,由于此前已经被我删库过一轮,所剩信息已经不多。
但是可以看到仍旧有几位同学上当受骗,乃至填写了自己包括自己父母的真实信息,包括手机号,没删库前这样的信息大概有一百多条。
点击删除按钮,就删除了一条记录
那肯定不能这样一条一条点呀,能不能SQL注入呢?答案是可以。
F12查看网络,可以创造删除的url如下:
/users.php?act=delete&user_id=1234
GET要求,可以直接在浏览器中输入
剖析源代码中干系语句
直接后面拼接上or 1=1
变成/users.php?act=delete&user_id=1234 or 1=1
浏览器地址栏中输入,回车,可以看到全体资料已经全部被清空
(浏览器会自动把空格转为%20)后台还可以进行修正密码、设置网页标题等操作。
改密码什么的事情就不干了,就这样吧。考试测验ssh连接后台linux做事器,考试测验mysql远程连接数据库均失落败。末了决定就SQL注入删库就好了,其他事就不干了。
6.后记希望大家提升安全意识,不要在来历不明的网站随便输入自己的真实信息!
尤其是QQ群里发的一些什么教务处关照啥的,千万不要点击。纵然有这种网站,一定要检讨是否官方网站,是否https,是否境外网站(可以去站长之家等查询网站的信息),一样平常这种网站的域名都是奇奇怪怪的,并且IP都位于外洋。
盗号网站源码不放出,以免有人利用源码祸害更多人。
SQL注入这种操作在Java的ORM框架下(mybatis等)基本失落效,但是仍旧是一个值得关注的安全问题,稍有不慎就会被套出全部信息,平时一定要把稳。末了正告原作者:你用的CN域名,可以直接查到你的姓名。还能查到你名下其他的域名。请立即停滞你的行为,既然是CN域名一定备案,你该当也知道这样做的后果。希望不要等落网了才知道后悔!
本文来自https://www.cnblogs.com/6543x1/p/16047181.html
