pikachu靶场之sql注入通关教程

　　SqlInject（SQL注入）概述：SQL注入漏洞，可怕的漏洞。
　　在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。
　　SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的数据拼接到SQL语句中后，被当作SQL语句的一部分执行。从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷）。
　　在构建代码时，一般会从如下几个方面的策略来防止SQL注入漏洞：
　　1。对传进SQL语句里面的变量进行过滤，不允许危险字符传入；
　　2。使用参数化（ParameterizedQuery或ParameterizedStatement）；
　　3。还有就是，目前有很多ORM框架会自动使用参数化解决注入问题，但其也提供了拼接的方式，所以使用时需要慎重！按数据类型分类：
　　按注入提交方式分类：
　　按注入攻击支持类型：
　　1、数字型注入（POST）
　　请求携带的数据是数字，那么叫做数字型注入。
　　选中1查询，用burp抓包，在id1后面添加or11，然后放包，就可以查询所有数据：
　　2、字符型注入（GET）
　　字符串类型的输入方式；
　　直接在输入框内输入vinceor11，然后点击查询，就可以查询所有数据：
　　3、搜索型注入
　　在搜索型注入框中输入vior11，点击查询，可看到所有信息：
　　4、xx型注入
　　在xx型注入的输入框内输入XX）or11，点击查询，查看到所有信息：
　　5、insertupdate注入
　　1）insert：insert注入，就是前端注册（或者提交）的信息最终会被后台通过insert这个操作插入数据库，后台在接受前端的注册数据时没有做防SQL注入的处理，导致前端的输入可以直接拼接SQL到后端的insert相关内容中，导致了insert注入。
　　在insertupdate注入中，先点击注册账号，然后点击submit提交，用burp抓包，在注册数据后面添加数据库查询语句（orupdatexml（1，concat（0x7e，（selecttablenamefrom
　　informationschema。tableswheretableschemapikachulimit0，1）），0）or），然后放包，就可以获取查询语句要查询的内容：
　　2）update：与insert注入的方法大体相同，区别在于update用于用户登陆端（或者修改数据的地方），登录端一般说的是修改最后一次登录时间等信息，insert用于用户注册端。
　　先注册个账号登录，点击修改个人信息，点submit提交，抓取提交数据包，在提交数据报的信息后面添加数据库查询语句（orupdatexml（0，concat（0x7e，（database（））），0）or），放包就可以看到查询语句要查询的内：
　　6、delete注入
　　一般应用于前后端发贴、留言、用户等相关删除操作，点击删除按钮时可通过BrupSuite抓包，对数据包相关delete参数进行注入，一般普通的用户是没有权限删除数据的，管理员才行。
　　在delete注入中的输入框中多次输入任意内容，点击submit提交，任选一个下面内容删除，鼠标停留在图中最下面一个删除时，左下角显示一个url链接（链接中id61），直接在浏览器上的url中添加orupdatexml（2，concat（0x7e，（database（））），0），就查到指定命令内容：
　　7、HttpHeader注入
　　先在pikachu平台打开HttpHeader注入模块，点击提示查看登录帐号和密码，登陆后去使用Burp抓包，只留登录成功之后加载页面的那个get请求，把请求发送到Repeater模块中，去除UserAgent：，然后输入然后运行后观察MYSQL语法报错然后发现存在SQL注入漏洞。这时候可以设置payload。在UserAgent输入payloadMozillaorupdatexml（1，concat（0x7e，database（）），0）or，因为有些企业把useragent等请求头键值对的数据也保存在了数据库里面。
　　8、Cookie注入
　　Cookie是网站为了识别用户身份来跟踪会话的，虽然Cookie是由后端生成的，但每次页面跳转，后端都回对前端的Cookie的信息进行验证，但如果后端获取Cookie后放在数据库中进行拼接，那么这也将是一个SQL注入点。在ant〔uname〕admin后添加一个’观察反馈的MYSQL的语法报错，发现了存在SQL注入漏洞，在设置orupdatexml（1，concat（0x7e，database（）），0）or，就可以查询到命令查询内容：
　　9、布尔型盲注（baseonboolian）
　　盲注，即在SQL注入过程中，SQL语句执行选择后，选择的数据不能回显到前端，我们需要使用一些特殊的方法进行判断或尝试，这个过程称为盲注。
　　在布尔型盲注输入框中输入vinceandascii（substr（database（），1，1））112，点击查询，使用burp抓包，将数据包发送到攻击器中，攻击类型选择激束炸弹，清除原有变量，将攻击器中database（）后面第一个1设置为变量1，112设置为变量2，按图中配置变量1和变量2，然后然后点击开始攻击，就查到数据库名为7位，17位的ascii码值对应ascii中字符如下：
　　11122105310749759961047117
　　pikachupikachu
　　10、时间型盲注（baseontime）
　　在时间型盲注输入框中输入vinceandif（ascii（substr（database（），1，1））112，sleep（5），null），点击查询，使用burp抓包，其他步骤和布尔型盲注一样，（将数据包发送到攻击器中，攻击类型选择激束炸弹，清除原有变量，将攻击器中database（）后面第一个1设置为变量1，112设置为变量2，按图中配置变量1和变量2，然后然后点击开始攻击，）：
　　最终查到数据库名为7位，17位的ascii码值对应ascii中字符位pikachu；
　　11、宽字节注入
　　当我们把php。ini文件里面的magicquotesgqc参数设为ON时（php低版本才支持打开该开关，5。4版本及以上把魔法符合移除了），所有的（单引号），（双引号），（反斜杠）和null字符都会被自动加上一个反斜杠进行转义。
　　其中的URL编码是5C，当我们在单引号前面加上df的时候，最终就会变成運，如果程序的默认字符集是GBK等宽字节字符集，则MYSQL用GBK的编码时，会认为df是一个宽字符，dfdf5c27運，一个汉字占了前面两个字节，那么就剩下27了，它是单引号，有了单引号就好注入了。
　　先打开魔法符号，将php版本调到5。4以下，在宽字节对应输入框中输入字符vince，使用burp抓包，将数据包发送到重放器中，将数据中字符vince后面添加df’or11，发送就可以查看所有数据信息：