数据库暴库
① 黑客中的肉鸡是什么
肉鸡就局轿是具有最高管理权限的远程电脑。简单的说敏腊配就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,呵呵。莱鸟所说用的肉鸡一般是开了3389端口的Win2K系统的服务器。
要登陆肉鸡,必桥指须知道3个参数:远程电脑的IP、用户名、密码
肉鸡的用途就不赘述了……
② 爆库是什么意思啊
暴库就是利用一些代码把你数据库的路径暴露出来。 这个典型就示例就是ACCESS数据库。也是目前个人使用比较多的数据库。很多网站管理程序免费放的都是这种类型。 另外也可以通过一些厅洞代码,把数据库里的帐号和密码长度显示出来,慢仿答慢的可以破解他的管理员扮大枯。这样就可以进入后台,然后进行进一步操作。如传小马,传大马等达到拿下webshell的权限。 有了webshell我们就可以利用提升权限,拿到shell权限!也就是服务器权限。 当然其中的相关技术牵扯也很多。
③ sqlmap爆库名时选择的注入方式
注入语句如下:Username: jonnybravo’ or 1=1; –该注入语句要做的就是从数据库查询用户jonnybravo,获取数据后立刻终止查询(利用单引号),之后紧接着一条OR语句,由于粗此祥这是一条“if状态”查询语句,而且这里给出 “or 1=1”,表示该查询永远为真。1=1表示获取数据库中的所岩搏有记录,之后的;–表示结束查询,告诉数据库当前语句后面没有其它查询扒清语句了。
④ 网络入侵包括哪些技术
这可多了。缓冲区、数据库爆库、端口入侵、漏洞攻击等等。
总体流程:
首先是 扫描网络 (这类工具太多了)------寻找漏源轿洞(缓冲区、数据雹蠢肆库爆库、端口入侵等)---
--入侵成功就开始 种马了---最后就是维护肉鸡。
总体来说网络入侵要求 一定要有耐心,档坦而且最少要精通一门高级语言和汇编。
拿着别人的软件来玩的永远成不了高手。高手都是自己编写软件。
⑤ 社工库可以查什么
个人基本信息等内容。社工库是用各大网站用户的资料数据库搭建的数据库查询平台,可以在平台信祥上查询到个人的基本身份信息,包括姓名、身份证以及相关职业和个人履历信息,以及个人车牌、手机号码以及银行卡号等。社工库网站的数据来自两方面。一方面是黑客“爆库”。“爆库”的意思是指黑客攻击网站后,窃取并下载网站数据库的行为。数据来源的另一方面,就是一些不负责任的小网站出卖用户数据。现在很多用户在多个平台上都用的是一个密码,所以有时候社稿拆工库的团滑敬搏队买下一些小网站的用户信息后,经过加工也能去牟利。
⑥ dvwa sql injection high级怎么破
1、设置
把安全等级先调整为low,让自己获得点信心,免得一来就被打脸。
2、测试和分析页面的功能
这里有一个输入框
根据上面的提示,输入用户的id。然后我们输入之后,发现它返回了关于这个user的信息!这里我们输入了“1”。
它返回三行数据,一行是我们输入的用户ID。一行是用户名,另外一行是用户别名。同时,看一下浏览器的地址栏那里,发现url成这样了
这里有个id=1,是不是就是我们输入的user id呢?再输入“2”,发现url变成了
好了,到这里,我们可以得出这里传进去的id的值是我们可以控制的。我们在输入框中输入什么,就会通过id传进去什么!
3、对参数进行测试
对id这个参数进行测试,查看一下它是否存在sql注入漏洞。我们在输入框里面输入“1'”,注意1后面有一个单引号“'”。
发现这里报错了,说我们的sql语句出现了语法错误。
我们可以进行这样一个猜测:首先它这个id是被两个“'”包住的。查询语句可能是这样的:
select firstname,surname from users where id = '1';
当我们在1之后加一个引号,则会导致单引号数目不平衡,那么查询语句会变成这样:
select firstname,surname from users where id = '1'';
可以看到最后一个引号没被闭合,那我们该怎么办呢?其实有好多种解决的办法,下面就简单介绍下。
方法一:可以在原来的基础上再继续输入一个引号,也就是“1''”。这时我们看一下查询语句:
select firstname,surname from users where id = '1''';
* 在where语句中,当出现多个字符串的时候,“=”将会选择优先级最高的一个,优先级是从左到右,依次降低的,也就是离“=”最近的一个。
看到了么,出来的结果还是和user_id=1一样。
方法二:使用“#”符号来注释后面的单引号,到时查询语句将会变成这样:
select firstname,surname from users where id = '1'#';
方法三:使用“-- ”。这里注意了“-- ”后面有一个空格。在url当中,我们可以使用“+”来代替“--”后面的空格。到时查询语句将会变成这样:
select firstname,surname from users where id = '1'--+';
上面显示出来的结果和输入1时一样。到这里我们就可以确定:
漏洞的参数是“id”。
漏洞的类型是字符型。
4、构造payload
好了,在我们确认漏洞之后,就可以构造payload了。什么是payload?说白了就是一段恶意代码,以便我们能够获得数据库里面的数据。
4.1 分析字段数
分析字段数的话,也是有两种方法。
方法一:用order by 语句。
分析字段数的原因是我们之后需要用union select语句来获得我们需要的敏感数据。根据order by知识知道,要是后面跟着的数字超出了字段数时,就会报错!通过这个我们可以确定字段数。我们构造的payload如下:
1' order by 1#
1' order by 2#
1' order by 3#
当输入到3的时候,发现它报错了,也就是说字段数为2。
方法二:直接用union select来猜测字段数。
因为当字段数不对应的时候,它也是会发生报错的!我们构造以下查询语句:
1' union select 1#
1' union select 1,2#
1' union select 1,2,3#
可以发现,当union select 1,2,3的时候报错,union select 1,2的时候没有报错,也就是说字段数为2。同时,我们也注意到,好像返回的内容中多了三条数据,这是啥呢?其实这就是我们union select出来的数据。这样通过查看页面,我们便可以获得数据库里面的信息了!
4.2 获取信息
字段数为2,说明数据列有两列。我们可以通过union select语句查出两个数据。好了,我们来获取所需要的数据库里面的信息吧!
4.2.1 获取当前数据库名,当前用户名
构造数据库查询语句如下所示:
1' union select database(),user()#
解释一下,database()将会返回当前网站所使用的数据库名字,user()将会返回进行当前查询的用户名。
好的,我们可以看到当前使用的数据库为:dvwa,当前的用户名:root@localhost。
有时候,后面的select语句会限制输出的行数,一般来说,都会让原数据库查询无效,也就是输入无效的id,使得原数据库查询不反回结果。如下操作:
-1' union select database(),user()#
这样就只会返回我们需要的数据了。
类似的函数还有:version() 获取当前数据库版本,@@version_compile_os获取当前操作系统。
-1' union select version(),@@version_compile_os#
* 数据库版本高于5.0就可以爆库了,下面会具体讲解。
4.2.2 获取当前的用户表
根据上面的信息,我们知道当前数据库名为dvwa,可是还不够呀,表名是什么?内容又是什么?是不是打算放弃了?先吃根辣条冷静一下吧。
想想看,当你有不懂的字会怎么办呢?不要动不动就去网络,除了问度娘,还能怎么做呢?对了,查字典。那么mysql有没有类似于字典的东西呢?答案是肯定的,就是information_schema,这是一个包含了mysql数据库所有信息的“字典”,本质上还是一个database,存放着其他各个数据的信息。
在information_schema里,有一个表tables。有一个columns……是不是有点感觉了? tables这个表存放的是关于数据库中所有表的信息,里面有个字段叫table_name,还有个字段叫做table_schema。其中table_name是表名,table_schema表示的是这个表所在的数据库。对于columns,它有column_name,table_schema,table_name。回想一下,我们拥有的信息是数据库名。也就是说我们可以构造这样的payload来从数据库里获取一些东西。
好的,构造的查询语句如下:
-1' union select table_name,2 from information_schema.tables where table_schema= 'dvwa'#
爆出来两个表,对那个感兴趣呢???当然是users表啦!不是说还有一个columns表么?所以我们还需要table_name以及table_schema来查column_name。这次我们构造的payload如下:
-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#
这里简单说一下,倘若不指定数据库名为'dvwa',若是其他数据里面也存在users表的话,则会出现很多混淆的数据。当然,在这里直接使用下面的语句也是可以成功的。
-1' union select column_name,2 from information_schema.columns where table_name='users'#
跟上一条结果一样吧?
又来了,这么多数据,选哪个呢???废话,当然是user,password啦。我们再次修改payload:
-1' union select user,password from users#
Binggo!我们爆出所有的用户名和密码值!等等,这密码好像有点奇葩,数一数,32位!好吧,是经过md5加密的。好不容易爆出管理员账号和密码,但是密码却加密,这就没有办法了吗?不一定!我们需要找一些破解md5值的网站来进行破解!直接网络“CMD5”,然后选择一个网站进去破解就可以了。
我们选择admin这个来进行破解,md5密文为:。
可以看到密码已经被破解出来了,密码是“admin”,好的,我们来验证一下!
看,这个时候我们已经成功登陆了!
好的,简单的SQL注入就说到这儿了,下次我们将进行DVWA里面的中级SQL注入。
⑦ 爆库是什么
就是通过程序漏洞提交参数得到数据库的真实路径叫暴库
⑧ 部分sql注入总结
本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。
在可以联合查询的题目中,一般会将数据库查询的数据回显到首页面中,这是联合注入的前提。
适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库,因为MYSQL会有一个系统数据库information_schema, information_schema 用于存储数据库元数据(关于数据的数据),例如数据库名、表名、列的数据类型、访问权限等
联合注入的过程:
判断注入点可以用and 1=1/and 1=2用于判断注入点
当注入类型为数字型时返回页面会不同,但都能正常执行。
sql注入通常为数字型注入和字符型注入:
1、数字型注入
数字型语句:
在这种情况下直接使用and 1=1/and 1=2是都可以正常执行的但是返回的界面是不一样的
2、字符型注入
字符型语句:
字符型语句输入我们的输入会被一对单引号或这双引号闭合起来。
所以如果我们同样输入and 1=1/and 1=2会发现回显画面是并无不同的。
在我们传入and 1=1/and 1=2时语句变为
传入的东西变成了字符串并不会被当做命令。
所以字符型的测试方法最简单的就是加上单引号 ' ,出现报错。
加上注释符--后正常回显界面。
这里还有的点就是sql语句的闭合也是有时候不同的,下面是一些常见的
这一步可以用到order by函数,order by 函数是对MySQL中查询结果按照指定字段名进行排序,除了指定字 段名还可以指定字段的栏位进行排序,第一个查询字段为1,第二个为2,依次类推,所以可以利用order by就可以判断列数。
以字符型注入为例:
在列数存在时会正常回显
但是列数不存在时就会报错
这步就说明了为什么是联合注入了,用到了UNION,UNION的作用是将两个select查询结果合并
但是程序在展示数据的时候通常只会取结果集的第一行数据,这就让联合注入有了利用的点。
当我们查询的第一行是不存在的时候就会回显第二行给我们。
讲查询的数据置为-1,那第一行的数据为空,第二行自然就变为了第一行
在这个基础上进行注入
可以发现2,3都为可以利用的显示点。
和前面一样利用union select,加上group_concat()一次性显示。
现在非常多的Web程序没有正常的错误回显,这样就需要我们利用报错注入的方式来进行SQL注入了
报错注入的利用步骤和联合注入一致,只是利用函数不同。
以updatexml为例。
UpdateXML(xml_target, xpath_expr, new_xml)
xml_target: 需要操作的xml片段
xpath_expr: 需要更新的xml路径(Xpath格式)
new_xml: 更新后的内容
此函数用来更新选定XML片段的内容,将XML标记的给定片段的单个部分替换为 xml_target 新的XML片段 new_xml ,然后返回更改的XML。xml_target替换的部分 与xpath_expr 用户提供的XPath表达式匹配。
这个函数当xpath路径错误时就会报错,而且会将路径内容返回,这就能在报错内容中看到我们想要的内容。
而且以~开头的内容不是xml格式的语法,那就可以用concat函数拼接~使其报错,当然只要是不符合格式的都可以使其报错。
[极客大挑战 2019]HardSQL
登录界面尝试注入,测试后发现是单引号字符型注入,且对union和空格进行了过滤,不能用到联合注入,但是有错误信息回显,说明可以使用报错注入。
利用updatexml函数的报错原理进行注入在路径处利用concat函数拼接~和我们的注入语句
发现xpath错误并执行sql语句将错误返回。
在进行爆表这一步发现了等号也被过滤,但是可以用到like代替等号。
爆字段
爆数据
这里就出现了问题flag是不完整的,因为updatexml能查询字符串的最大长度为32,所以这里要用到left函数和right函数进行读取
报错注入有很多函数可以用不止updatexml一种,以下三种也是常用函数:
堆叠注入就是多条语句一同执行。
原理就是mysql_multi_query() 支持多条sql语句同时执行,用;分隔,成堆的执行sql语句。
比如
在权限足够的情况下甚至可以对数据库进行增删改查。但是堆叠注入的限制是很大的。但是与union联合执行不同的是它可以同时执行无数条语句而且是任何sql语句。而union执行的语句是有限的。
[强网杯 2019]随便注
判断完注入类型后尝试联合注入,发现select被过滤,且正则不区分大小写过滤。
那么就用堆叠注入,使用show就可以不用select了。
接下去获取表信息和字段信息
那一串数字十分可疑大概率flag就在里面,查看一下
这里的表名要加上反单引号,是数据库的引用符。
发现flag,但是没办法直接读取。再读取words,发现里面有个id字段,猜测数据库语句为
结合1'or 1=1#可以读取全部数据可以利用改名的方法把修改1919810931114514为words,flag修改为id,就可以把flag读取了。
最终payload:
盲注需要掌握的几个函数
在网页屏蔽了错误信息时就只能通过网页返回True或者False判断,本质上是一种暴力破解,这就是布尔盲注的利用点。
首先,判断注入点和注入类型是一样的。
但是盲注没有判断列数这一步和判断显示位这两步,这是和可回显注入的不同。
判断完注入类型后就要判断数据库的长度,这里就用到了length函数。
以[WUSTCTF2020]颜值成绩查询为例
输入参数后,发现url处有个get传入的stunum
然后用到length函数测试是否有注入点。
发现页面有明显变化
将传入变为
页面回显此学生不存在
那么就可以得出数据库名长度为3
测试发现过滤了空格
然后就是要查数据库名了,这里有两种方法
一、只用substr函数,直接对比
这种方法在写脚本时可以用于直接遍历。
二、加上ascii函数
这个payload在写脚本时直接遍历同样可以,也可用于二分法查找,二分法速度更快。
接下来的步骤就和联合注入一样,只不过使用substr函数一个一个截取字符逐个判断。但是这种盲注手工一个一个注十分麻烦所以要用到脚本。
直接遍历脚本
二分法脚本
时间盲注用于代码存在sql注入漏洞,然而页面既不会回显数据,也不会回显错误信息
语句执行后也不提示真假,我们不能通过页面的内容来判断
所以有布尔盲注就必有时间盲注,但有时间盲注不一定有布尔盲注
时间盲注主要是利用sleep函数让网页的响应时间不同从而实现注入。
sql-lab-less8:
无论输入什么都只会回显一个you are in...,这就是时间盲注的特点。
当正常输入?id=1时时间为11毫秒
判断为单引号字符型注入后,插入sleep语句
明显发现响应时间为3053毫秒。
利用时间的不同就可以利用脚本跑出数据库,后续步骤和布尔盲注一致。
爆库
爆表
爆字段
脚本
在进行SQL注入时,发现union,and,or被完全过滤掉了,就可以考虑使用异或注入
什么是异或呢
异或是一种逻辑运算,运算法则简言之就是:两个条件相同(同真或同假)即为假(0),两个条件不同即为真(1),null与任何条件做异或运算都为null,如果从数学的角度理解就是,空集与任何集合的交集都为空
即 1^1=0,0^0=0,1^0=1
利用这个原理可以在union,and,or都被过滤的情况下实现注入
[极客大挑战 2019]FinalSQL
给了五个选项但是都没什么用,在点击后都会在url处出现?id。
而且union,and,or都被过滤
测试发现?id=1^1会报错
但是?id=1^0会返回?id=1的页面,这就是前面说的原理,当1^0时是等于1的所以返回?id=1的页面。
根据原理写出payload,进而写出脚本。
爆库
爆表
爆字段
据此可以写出基于异或的布尔盲注脚本
实验推荐:课程:SQL注入初级(合天网安实验室)