第五天：SQL盲注（下）

1.类型注入

数字型
www.xxx.com/news.php?id=1 参数值为数字

字符型
www.xxx.com/news.php?id=a 参数值为字符（英文或其他）
注入需要闭合前后单引号问题

image.png
index.png

搜索型
%通配符
比如要执行select * from admin where username like '%t%' union select 1,2,3 and '%'='%'
然后注入语句可以这样写：http://127.0.0.1/sqlin/search/index.php?u=t%' union select 1,2,3 and '%'='

image.png

提交注入
1️⃣GET注入
2️⃣Post注入

post.png
在账号框里面输入lucy' union select database(),version(),3 and '1'='1
post注入.png
3️⃣Cookie注入

（数据包）http头注入

基础：http数据包

PHP：
$_GET 接受get传递
$_POST接受post传递
$_COOKIE接受cookie传递
$_REQUEST 全部接受

image.png
利用火狐浏览器的hackbar插件来模拟post请求
image.png
拦截请求，写上cookie的值
image.png
这样Cookie就发送出去了
利用Cookie注入去注入一个网站，网站源码(asp)下载地址：https://download.csdn.net/download/qq_22690543/10369543
或者https://pan.baidu.com/s/1I_fb3gECCoEkSxDZew-Z1A
1️⃣启动小旋风，把解压出来的源码放到\wwwroot目录下即可。
2️⃣用火狐浏览器访问127.0.0.1/1/shownews.asp?id=27，用Burpsuite抓取这个数据包。
3️⃣在Repeater模块修改数据包的Cookie的值，在原有的基础上加上;id=27%20%20order%20by%20XXX，看返回值的Content-Length从什么时候开始变化，这里试出来是从12开始变化，所以字段总共有11个。
(注意这里的空格要用%20替换)
4️⃣修改Cookie的值;id=27%20union%20select%201,2,3,4,5,6,7,8,9,10,11%20from%20admin
把对应的值改成你要查询的信息即可，这样admin的账户密码都出来了。
image.png
5️⃣接下来可以根据注入点shownews.asp找源码，看看是否是这样的
Shownews.png
Check_sql.png
6️⃣站在修复者角度，如何把漏洞堵上？
加上以下代码。保存即可。

'------对Cookie值进行过滤
if request.cookie<>"" then
Chk_badword=split(Form_Badword,"∥")
FOR EACH name IN Request.cookie
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.cookie(name)),Chk_badword(i))<>0 Then
Select Case Err_Message
  Case "1"
Response.Write "<Script Language=JavaScript>alert('出错了！表单 "&name&" 的值中包含非法字符串！\n\n请不要在表单中出现： % & * # ( ) 等非法字符！');window.close();</Script>"
  Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
  Case "3"
Response.Write "<Script Language=JavaScript>alert('出错了！参数 "&name&"的值中包含非法字符串！\n\n请不要在表单中出现： % & * # ( )  等非法字符！');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
end if