查看: 12529|回复: 19

sql注入发掘

[复制链接]
  • TA的每日心情
    慵懒
    2016-9-23 08:47
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2015-3-10 09:42:36 | 显示全部楼层 |阅读模式
    本帖最后由 IversOn⑤ 于 2015-3-10 09:46 编辑

    前些日子在论坛看见这样的一句话“现在谁还手注注入”,这几日我在找注入的网站时,发现很多网站在用工具测试的时候都无法进行有效的注入,有些直接不能注入,一直在用的穿山甲(pangolin)也没有注入出来,你会说sqlmap?我也上了,sqlmap老实话,他的速度我也是不敢恭维的,有时候绕过一些waf吖,网站限制访问速度啊各种原因都需要用到手工注入的,所以,作为菜鸟的我,就发个帖子到论坛,既是对自己学习的巩固,也能给新手朋友一个指导。
    ----------------------
    作者:IversOn5

    来自:5号黯区
    ---------------------

    0x01 批量找注入

    批量找注入还是以前那个方法其实,只是现在不能百度批量找注入而已,用啊D注入工具来搞,还是非常不错的,但是搜索引擎就要换成谷歌咯,but现在www.google.com这个就进不去了,我就给一个进谷歌的地址吧。http://216.58.208.24 。
    具体视频参考:http://www.qiannao.com/file/uu1001/d32c989c/
    具体文章参考:http://r4g3s4int.blog.sohu.com/11090547.html

    0x02 手工测试注入

    这个“手工测试注入”主要是用于测试指定网站的注入,在我们不想开动大型扫描器的时候可以用到,还有就是有waf (web防火墙,如安全狗,D盾)的时候,就会用到手工了。

    第1种:
    最经典的:
    and 1=1  and 1=2 分别加在一个动态链接上就好了,记得and前面打上一个空格。
    例子:
    http://iverson5.blog.163.com/php?id=1 and 1=1  //返回正常页面
    http://iverson5.blog.163.com/php?id=1 and 1=2   //返回不一样的页面就说明有注入


    第2种:
    ‘   这个是在英文状态下的单引号,就是回车键左边的,冒号右边的那个键。直接加在动态链接后面,无需空格,如果返回的页面和之前的不一样,基本也可以断定有注入漏洞。


    第3种:
    1、打开地址,我们可以看到是一个正常的页面。
    2.、然后在地址后面加上-1,变成:http://iverson5.blog.163.com/php?id=1-1,若返回的页面和前面不同,是另一个正常的页面,则表示存在注入漏洞,而且是数字型的注入漏洞。。
    3、若在地址后面加上 -0,变成 http://iverson5.blog.163.com/php?id=1-0,返回的页面和之前的页面相同,然后加上-1,返回错误页面,则也表示存在注入漏洞,而且是数字型的。


    第4种:
    若在地址后面加上’%2B’,变为:http://iverson5.blog.163.com/php?id=1’%2B’,返回的页面和之前的相同;再加上’%2B’sb,地址变为:http://iverson5.blog.163.com/php?id=1’%2B’sb,返回另一个正常的页面,或者说未发现该条记录,或者错误,则表示存在注入漏洞,而且是文本型的。


    第5种:
    and 1 between 1 and 2  、、返回正常页面
    and 1 between 2 and 2  、、返回不一样的页面则说明是有注入漏洞的

    第6种:(和第1种同理,只不过这个是测试文本型注入的。)
    ' and '1'='1
    ' and '1'='2

    ······
    其实还有很多的,不过这些是比较常用的了。这个就需要自己去收集了、也可以从各种注入工具抓取注入语句。
    参考帖子:
    http://bbs.blackbap.org/thread-4973-1-6.html
    http://bbs.blackbap.org/thread-6168-1-1.html


    0x03工具测试注入

    1.啊D这款工具的话,我觉得还是非常适合新手朋友们的。
    作者介绍:http://blog.d99net.net/article.asp?id=13
    参考文章:http://jingyan.baidu.com/article/4d58d541ce04ae9dd4e9c0f9.html


    2. pangolin  俗称穿山甲 这个工具能注入各种数据库,我是挺喜欢用这个款工具的。该工具支持get post cookie注入的,还可以测试登陆页面的注入,非常好用。


    把待测试注入的url直接填到相应框框,点击上面那个开始就可以了,如果有时没有办法测试出来,就需要自己选择一下type或者DB咯。

    3.NBSI 这个款工具的确是非常NB的,在注入sql server的时候,准确率可以说是非常的高!由岁月联盟开发。

    4.sqlmap 这款工具是国外的人写的咯,也是非常的强大!是在命令行下使用的,需要记住很多的参数和命令。


    最后附上刚录制的各个注入工具的简单使用视频http://pan.baidu.com/s/1EWBzK
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-4-13 10:52
  • 签到天数: 63 天

    [LV.6]常住居民II

    发表于 2015-3-11 17:28:42 | 显示全部楼层
    先赞一个。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-29 20:07:37 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-6-30 05:47:45 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-1 03:42:24 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-2 21:30:11 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-3 12:49:01 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-7-3 22:49:54 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-5 06:59:37 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-7-5 12:19:40 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 00:44 , Processed in 0.043847 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部