資料庫暴庫
① 黑客中的肉雞是什麼
肉雞就局轎是具有最高管理許可權的遠程電腦。簡單的說敏臘配就是受你控制的遠程電腦。肉雞可以是win、Unix/Linux……等各種系統;肉雞可以是一家公司的伺服器,一家網站的伺服器,甚至是美國白宮或軍方的電腦,只要你有這本事入侵並控制他,呵呵。萊鳥所說用的肉雞一般是開了3389埠的Win2K系統的伺服器。
要登陸肉雞,必橋指須知道3個參數:遠程電腦的IP、用戶名、密碼
肉雞的用途就不贅述了……
② 爆庫是什麼意思啊
暴庫就是利用一些代碼把你資料庫的路徑暴露出來。 這個典型就示例就是ACCESS資料庫。也是目前個人使用比較多的資料庫。很多網站管理程序免費放的都是這種類型。 另外也可以通過一些廳洞代碼,把資料庫里的帳號和密碼長度顯示出來,慢仿答慢的可以破解他的管理員扮大枯。這樣就可以進入後台,然後進行進一步操作。如傳小馬,傳大馬等達到拿下webshell的許可權。 有了webshell我們就可以利用提升許可權,拿到shell許可權!也就是伺服器許可權。 當然其中的相關技術牽扯也很多。
③ sqlmap爆庫名時選擇的注入方式
注入語句如下:Username: jonnybravo』 or 1=1; –該注入語句要做的就是從資料庫查詢用戶jonnybravo,獲取數據後立刻終止查詢(利用單引號),之後緊接著一條OR語句,由於粗此祥這是一條「if狀態」查詢語句,而且這里給出 「or 1=1」,表示該查詢永遠為真。1=1表示獲取資料庫中的所岩搏有記錄,之後的;–表示結束查詢,告訴資料庫當前語句後面沒有其它查詢扒清語句了。
④ 網路入侵包括哪些技術
這可多了。緩沖區、資料庫爆庫、埠入侵、漏洞攻擊等等。
總體流程:
首先是 掃描網路 (這類工具太多了)------尋找漏源轎洞(緩沖區、數據雹蠢肆庫爆庫、埠入侵等)---
--入侵成功就開始 種馬了---最後就是維護肉雞。
總體來說網路入侵要求 一定要有耐心,檔坦而且最少要精通一門高級語言和匯編。
拿著別人的軟體來玩的永遠成不了高手。高手都是自己編寫軟體。
⑤ 社工庫可以查什麼
個人基本信息等內容。社工庫是用各大網站用戶的資料資料庫搭建的資料庫查詢平台,可以在平台信祥上查詢到個人的基本身份信息,包括姓名、身份證以及相關職業和個人履歷信息,以及個人車牌、手機號碼以及銀行卡號等。社工庫網站的數據來自兩方面。一方面是黑客「爆庫」。「爆庫」的意思是指黑客攻擊網站後,竊取並下載網站資料庫的行為。數據來源的另一方面,就是一些不負責任的小網站出賣用戶數據。現在很多用戶在多個平台上都用的是一個密碼,所以有時候社稿拆工庫的團滑敬搏隊買下一些小網站的用戶信息後,經過加工也能去牟利。
⑥ dvwa sql injection high級怎麼破
1、設置
把安全等級先調整為low,讓自己獲得點信心,免得一來就被打臉。
2、測試和分析頁面的功能
這里有一個輸入框
根據上面的提示,輸入用戶的id。然後我們輸入之後,發現它返回了關於這個user的信息!這里我們輸入了「1」。
它返回三行數據,一行是我們輸入的用戶ID。一行是用戶名,另外一行是用戶別名。同時,看一下瀏覽器的地址欄那裡,發現url成這樣了
這里有個id=1,是不是就是我們輸入的user id呢?再輸入「2」,發現url變成了
好了,到這里,我們可以得出這里傳進去的id的值是我們可以控制的。我們在輸入框中輸入什麼,就會通過id傳進去什麼!
3、對參數進行測試
對id這個參數進行測試,查看一下它是否存在sql注入漏洞。我們在輸入框裡面輸入「1'」,注意1後面有一個單引號「'」。
發現這里報錯了,說我們的sql語句出現了語法錯誤。
我們可以進行這樣一個猜測:首先它這個id是被兩個「'」包住的。查詢語句可能是這樣的:
select firstname,surname from users where id = '1';
當我們在1之後加一個引號,則會導致單引號數目不平衡,那麼查詢語句會變成這樣:
select firstname,surname from users where id = '1'';
可以看到最後一個引號沒被閉合,那我們該怎麼辦呢?其實有好多種解決的辦法,下面就簡單介紹下。
方法一:可以在原來的基礎上再繼續輸入一個引號,也就是「1''」。這時我們看一下查詢語句:
select firstname,surname from users where id = '1''';
* 在where語句中,當出現多個字元串的時候,「=」將會選擇優先順序最高的一個,優先順序是從左到右,依次降低的,也就是離「=」最近的一個。
看到了么,出來的結果還是和user_id=1一樣。
方法二:使用「#」符號來注釋後面的單引號,到時查詢語句將會變成這樣:
select firstname,surname from users where id = '1'#';
方法三:使用「-- 」。這里注意了「-- 」後面有一個空格。在url當中,我們可以使用「+」來代替「--」後面的空格。到時查詢語句將會變成這樣:
select firstname,surname from users where id = '1'--+';
上面顯示出來的結果和輸入1時一樣。到這里我們就可以確定:
漏洞的參數是「id」。
漏洞的類型是字元型。
4、構造payload
好了,在我們確認漏洞之後,就可以構造payload了。什麼是payload?說白了就是一段惡意代碼,以便我們能夠獲得資料庫裡面的數據。
4.1 分析欄位數
分析欄位數的話,也是有兩種方法。
方法一:用order by 語句。
分析欄位數的原因是我們之後需要用union select語句來獲得我們需要的敏感數據。根據order by知識知道,要是後面跟著的數字超出了欄位數時,就會報錯!通過這個我們可以確定欄位數。我們構造的payload如下:
1' order by 1#
1' order by 2#
1' order by 3#
當輸入到3的時候,發現它報錯了,也就是說欄位數為2。
方法二:直接用union select來猜測欄位數。
因為當欄位數不對應的時候,它也是會發生報錯的!我們構造以下查詢語句:
1' union select 1#
1' union select 1,2#
1' union select 1,2,3#
可以發現,當union select 1,2,3的時候報錯,union select 1,2的時候沒有報錯,也就是說欄位數為2。同時,我們也注意到,好像返回的內容中多了三條數據,這是啥呢?其實這就是我們union select出來的數據。這樣通過查看頁面,我們便可以獲得資料庫裡面的信息了!
4.2 獲取信息
欄位數為2,說明數據列有兩列。我們可以通過union select語句查出兩個數據。好了,我們來獲取所需要的資料庫裡面的信息吧!
4.2.1 獲取當前資料庫名,當前用戶名
構造資料庫查詢語句如下所示:
1' union select database(),user()#
解釋一下,database()將會返回當前網站所使用的資料庫名字,user()將會返回進行當前查詢的用戶名。
好的,我們可以看到當前使用的資料庫為:dvwa,當前的用戶名:root@localhost。
有時候,後面的select語句會限制輸出的行數,一般來說,都會讓原資料庫查詢無效,也就是輸入無效的id,使得原資料庫查詢不反回結果。如下操作:
-1' union select database(),user()#
這樣就只會返回我們需要的數據了。
類似的函數還有:version() 獲取當前資料庫版本,@@version_compile_os獲取當前操作系統。
-1' union select version(),@@version_compile_os#
* 資料庫版本高於5.0就可以爆庫了,下面會具體講解。
4.2.2 獲取當前的用戶表
根據上面的信息,我們知道當前資料庫名為dvwa,可是還不夠呀,表名是什麼?內容又是什麼?是不是打算放棄了?先吃根辣條冷靜一下吧。
想想看,當你有不懂的字會怎麼辦呢?不要動不動就去網路,除了問度娘,還能怎麼做呢?對了,查字典。那麼mysql有沒有類似於字典的東西呢?答案是肯定的,就是information_schema,這是一個包含了mysql資料庫所有信息的「字典」,本質上還是一個database,存放著其他各個數據的信息。
在information_schema里,有一個表tables。有一個columns……是不是有點感覺了? tables這個表存放的是關於資料庫中所有表的信息,裡面有個欄位叫table_name,還有個欄位叫做table_schema。其中table_name是表名,table_schema表示的是這個表所在的資料庫。對於columns,它有column_name,table_schema,table_name。回想一下,我們擁有的信息是資料庫名。也就是說我們可以構造這樣的payload來從資料庫里獲取一些東西。
好的,構造的查詢語句如下:
-1' union select table_name,2 from information_schema.tables where table_schema= 'dvwa'#
爆出來兩個表,對那個感興趣呢???當然是users表啦!不是說還有一個columns表么?所以我們還需要table_name以及table_schema來查column_name。這次我們構造的payload如下:
-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#
這里簡單說一下,倘若不指定資料庫名為'dvwa',若是其他數據裡面也存在users表的話,則會出現很多混淆的數據。當然,在這里直接使用下面的語句也是可以成功的。
-1' union select column_name,2 from information_schema.columns where table_name='users'#
跟上一條結果一樣吧?
又來了,這么多數據,選哪個呢???廢話,當然是user,password啦。我們再次修改payload:
-1' union select user,password from users#
Binggo!我們爆出所有的用戶名和密碼值!等等,這密碼好像有點奇葩,數一數,32位!好吧,是經過md5加密的。好不容易爆出管理員賬號和密碼,但是密碼卻加密,這就沒有辦法了嗎?不一定!我們需要找一些破解md5值的網站來進行破解!直接網路「CMD5」,然後選擇一個網站進去破解就可以了。
我們選擇admin這個來進行破解,md5密文為:。
可以看到密碼已經被破解出來了,密碼是「admin」,好的,我們來驗證一下!
看,這個時候我們已經成功登陸了!
好的,簡單的SQL注入就說到這兒了,下次我們將進行DVWA裡面的中級SQL注入。
⑦ 爆庫是什麼
就是通過程序漏洞提交參數得到資料庫的真實路徑叫暴庫
⑧ 部分sql注入總結
本人ctf選手一名,在最近做練習時遇到了一些sql注入的題目,但是sql注入一直是我的弱項之一,所以寫一篇總結記錄一下最近學到的一些sql注入漏洞的利用。
在可以聯合查詢的題目中,一般會將資料庫查詢的數據回顯到首頁面中,這是聯合注入的前提。
適用於有回顯同時資料庫軟體版本是5.0以上的MYSQL資料庫,因為MYSQL會有一個系統資料庫information_schema, information_schema 用於存儲資料庫元數據(關於數據的數據),例如資料庫名、表名、列的數據類型、訪問許可權等
聯合注入的過程:
判斷注入點可以用and 1=1/and 1=2用於判斷注入點
當注入類型為數字型時返回頁面會不同,但都能正常執行。
sql注入通常為數字型注入和字元型注入:
1、數字型注入
數字型語句:
在這種情況下直接使用and 1=1/and 1=2是都可以正常執行的但是返回的界面是不一樣的
2、字元型注入
字元型語句:
字元型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。
所以如果我們同樣輸入and 1=1/and 1=2會發現回顯畫面是並無不同的。
在我們傳入and 1=1/and 1=2時語句變為
傳入的東西變成了字元串並不會被當做命令。
所以字元型的測試方法最簡單的就是加上單引號 ' ,出現報錯。
加上注釋符--後正常回顯界面。
這里還有的點就是sql語句的閉合也是有時候不同的,下面是一些常見的
這一步可以用到order by函數,order by 函數是對MySQL中查詢結果按照指定欄位名進行排序,除了指定字 段名還可以指定欄位的欄位進行排序,第一個查詢欄位為1,第二個為2,依次類推,所以可以利用order by就可以判斷列數。
以字元型注入為例:
在列數存在時會正常回顯
但是列數不存在時就會報錯
這步就說明了為什麼是聯合注入了,用到了UNION,UNION的作用是將兩個select查詢結果合並
但是程序在展示數據的時候通常只會取結果集的第一行數據,這就讓聯合注入有了利用的點。
當我們查詢的第一行是不存在的時候就會回顯第二行給我們。
講查詢的數據置為-1,那第一行的數據為空,第二行自然就變為了第一行
在這個基礎上進行注入
可以發現2,3都為可以利用的顯示點。
和前面一樣利用union select,加上group_concat()一次性顯示。
現在非常多的Web程序沒有正常的錯誤回顯,這樣就需要我們利用報錯注入的方式來進行SQL注入了
報錯注入的利用步驟和聯合注入一致,只是利用函數不同。
以updatexml為例。
UpdateXML(xml_target, xpath_expr, new_xml)
xml_target: 需要操作的xml片段
xpath_expr: 需要更新的xml路徑(Xpath格式)
new_xml: 更新後的內容
此函數用來更新選定XML片段的內容,將XML標記的給定片段的單個部分替換為 xml_target 新的XML片段 new_xml ,然後返回更改的XML。xml_target替換的部分 與xpath_expr 用戶提供的XPath表達式匹配。
這個函數當xpath路徑錯誤時就會報錯,而且會將路徑內容返回,這就能在報錯內容中看到我們想要的內容。
而且以~開頭的內容不是xml格式的語法,那就可以用concat函數拼接~使其報錯,當然只要是不符合格式的都可以使其報錯。
[極客大挑戰 2019]HardSQL
登錄界面嘗試注入,測試後發現是單引號字元型注入,且對union和空格進行了過濾,不能用到聯合注入,但是有錯誤信息回顯,說明可以使用報錯注入。
利用updatexml函數的報錯原理進行注入在路徑處利用concat函數拼接~和我們的注入語句
發現xpath錯誤並執行sql語句將錯誤返回。
在進行爆表這一步發現了等號也被過濾,但是可以用到like代替等號。
爆欄位
爆數據
這里就出現了問題flag是不完整的,因為updatexml能查詢字元串的最大長度為32,所以這里要用到left函數和right函數進行讀取
報錯注入有很多函數可以用不止updatexml一種,以下三種也是常用函數:
堆疊注入就是多條語句一同執行。
原理就是mysql_multi_query() 支持多條sql語句同時執行,用;分隔,成堆的執行sql語句。
比如
在許可權足夠的情況下甚至可以對資料庫進行增刪改查。但是堆疊注入的限制是很大的。但是與union聯合執行不同的是它可以同時執行無數條語句而且是任何sql語句。而union執行的語句是有限的。
[強網杯 2019]隨便注
判斷完注入類型後嘗試聯合注入,發現select被過濾,且正則不區分大小寫過濾。
那麼就用堆疊注入,使用show就可以不用select了。
接下去獲取表信息和欄位信息
那一串數字十分可疑大概率flag就在裡面,查看一下
這里的表名要加上反單引號,是資料庫的引用符。
發現flag,但是沒辦法直接讀取。再讀取words,發現裡面有個id欄位,猜測資料庫語句為
結合1'or 1=1#可以讀取全部數據可以利用改名的方法把修改1919810931114514為words,flag修改為id,就可以把flag讀取了。
最終payload:
盲注需要掌握的幾個函數
在網頁屏蔽了錯誤信息時就只能通過網頁返回True或者False判斷,本質上是一種暴力破解,這就是布爾盲注的利用點。
首先,判斷注入點和注入類型是一樣的。
但是盲注沒有判斷列數這一步和判斷顯示位這兩步,這是和可回顯注入的不同。
判斷完注入類型後就要判斷資料庫的長度,這里就用到了length函數。
以[WUSTCTF2020]顏值成績查詢為例
輸入參數後,發現url處有個get傳入的stunum
然後用到length函數測試是否有注入點。
發現頁面有明顯變化
將傳入變為
頁面回顯此學生不存在
那麼就可以得出資料庫名長度為3
測試發現過濾了空格
然後就是要查資料庫名了,這里有兩種方法
一、只用substr函數,直接對比
這種方法在寫腳本時可以用於直接遍歷。
二、加上ascii函數
這個payload在寫腳本時直接遍歷同樣可以,也可用於二分法查找,二分法速度更快。
接下來的步驟就和聯合注入一樣,只不過使用substr函數一個一個截取字元逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。
直接遍歷腳本
二分法腳本
時間盲注用於代碼存在sql注入漏洞,然而頁面既不會回顯數據,也不會回顯錯誤信息
語句執行後也不提示真假,我們不能通過頁面的內容來判斷
所以有布爾盲注就必有時間盲注,但有時間盲注不一定有布爾盲注
時間盲注主要是利用sleep函數讓網頁的響應時間不同從而實現注入。
sql-lab-less8:
無論輸入什麼都只會回顯一個you are in...,這就是時間盲注的特點。
當正常輸入?id=1時時間為11毫秒
判斷為單引號字元型注入後,插入sleep語句
明顯發現響應時間為3053毫秒。
利用時間的不同就可以利用腳本跑出資料庫,後續步驟和布爾盲注一致。
爆庫
爆表
爆欄位
腳本
在進行SQL注入時,發現union,and,or被完全過濾掉了,就可以考慮使用異或注入
什麼是異或呢
異或是一種邏輯運算,運演算法則簡言之就是:兩個條件相同(同真或同假)即為假(0),兩個條件不同即為真(1),null與任何條件做異或運算都為null,如果從數學的角度理解就是,空集與任何集合的交集都為空
即 1^1=0,0^0=0,1^0=1
利用這個原理可以在union,and,or都被過濾的情況下實現注入
[極客大挑戰 2019]FinalSQL
給了五個選項但是都沒什麼用,在點擊後都會在url處出現?id。
而且union,and,or都被過濾
測試發現?id=1^1會報錯
但是?id=1^0會返回?id=1的頁面,這就是前面說的原理,當1^0時是等於1的所以返回?id=1的頁面。
根據原理寫出payload,進而寫出腳本。
爆庫
爆表
爆欄位
據此可以寫出基於異或的布爾盲注腳本
實驗推薦:課程:SQL注入初級(合天網安實驗室)