实验吧ctf-web题:简单的sql注入

最新推荐文章于 2024-03-14 10:36:16 发布
VIP文章 最新推荐文章于 2024-03-14 10:36:16 发布
阅读量1w 收藏 20
点赞数 6
分类专栏: CTF习题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jia304349145/article/details/77542995
版权

这两天做了实验吧的简单的sql注入这个题,对sql注入有了初步的认识。
进入题目之后,首先测试是否存在注入点:

检测是否存在注入点的两种常用方法:
1. 基于报错的检测方法
一般这种方法是输入单引号’,看是否报错,如果数据库报错,说明后台数据库处理了我们输入的数据,那么有可能存在注入点。
2. 基于布尔的检测方法
这种方法是输入:

  • 1 and 1=1,通常这种情况会正常返回数据
  • 1 and 1=2,通常这种情况不会返回数据或者直接报错

或者

  • 1’ and ‘1’=’1,通常这种情况会正常返回数据
  • 1’ and ‘1’=’2,通常这种情况不会返回数据或者直接报错

分析:
假如后台处理数据的sql语句(后台在输入上加了单引号)是:
select name from user where id='our_input'
我们输入1’ and ‘1’=’1,sql语句变为:
select name from user where id='1' and '1'='1'
后台数据库仍然正常读取数据
我们输入1’ and ‘1’=’2,sql语句变为:
select n

最低0.47元/天 解锁文章
Elvirajia
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF-Web-Challenge:使用PHP在Web进行CTF挑战
03-25
CTF-网络挑战 使用PHP在Web进行CTF挑战 链接: :
[极客大挑战 2019]EasySQL【SQL注入
weixin_38832257的博客
08-13 1243
题目名称:[极客大挑战 2019]EasySQL题目平台:BUUCTF题目类型:Web考察知识点:SQL注入
二、sql注入(CTF技巧)
最新发布
黑日里不灭的light
03-14 292
解释:在一些题目里面常常充满了各种各样的过滤,我们需要结合实际情况去进行注入,下面提供一些Payload以及适用场景。
CTF-AWD-WEB:AWD 模式下的WEB仓库
05-17
CTF-AWD-WEB AWD 模式下的WEB仓库 上传一些参加过的CTF线下赛AWD模式的WEB
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于HTTP的挑战从端口8000开始,tcp挑战从端口9000开始 如果您不熟悉Docker,则在本文档底部介绍两个用于安装docker的选项。 挑战性 现场挑战标有* 挑战名称 类别 点数 easyauth 网页 30 大号1 网页 20 尊宝2 网页 100 zumboa 3 网页 250 德尔福状态 加密/网络 250 2000年 网页 100 简单的 倒车 10 船长 倒车 75 船长2 倒车 200 撤防 倒车 400 标记接收器 移动/倒车
web安全之简单sql注入
weixin_43917429的博客
09-03 182
步骤: 1 输入1’,看是否会显示错误。(检查是否存在注入点,如果后台处理了这个单引号,说明存在sql的注入漏洞,以此推测后台代码为select name form 某表 where id=‘user_input’) 2 输入1’ and 1=1 (如果依然显示错误,说明后台进行了某些过滤,然后我们观察网页的url,发现空格都已经被换成了+号,说明对空格进行了过滤,那我们在输入时就要将空格全部变...
WEB漏洞-SQL注入之简要SQL注入
硫酸超的博客
07-27 444
@[TOC]WEB漏洞-SQL注入之简要SQL注入 前言 在本系列课程学习SQL注入漏洞是将是重点部分,其SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。 SQL注入安全测试危害 分为两类:危害数据库里的数据、直接危害到网站的权限(需要满足条件) SQL注入产生原理详细分析 见案例 SQL语句在定义的时候没有变量,就不能进行SQL注入 可控变量,带
WEB漏洞—SQL注入之简要SQL注入
qq_61861243的博客
04-12 488
SQL直接去对数据库的数据进行操作(查询,更新,删除)SQL注入不同注入点是有条件的(权限)
CTF-web简单SQL注入
qq_25046827的博客
11-24 4898
这两天闲着没事报名了学校信安和网安组织的网络安全大赛,靠着仅有的一点web知识做了几道web,现在记录一下其一道sql注入的解思路 首先面如下 首先通过语句判断有多少个字段: 1' or 1=1 order by 4 # 1' or 1=1 order by 3 # order by是按by后面的数字或字段名所在列进行排序,如果结果集只有3列,order by4则会报错,故可以用来判断结果集的字段数 第一条语句报错,第二条语句返回 admin 5ef582761f2cafceebdfc8c
攻防世界】五 --- supersqli
qq_43168364的博客
12-23 396
题目 — supersqli 一、writeup 二、知识点
XCTF攻防世界-NewsCenter-SQL简单注入-sqlmap注入
MJosek博客
03-23 1165
题目地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4686&page=1 我们进入页面 观察界面我们考虑到是sql注入 这里我们演示的是sqlmap的注入方法 首先我们页面的post请求进行抓包操作 ...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
awesome-ctf-cheatsheet:CTF备忘单
02-02
awesome-ctf-cheatsheet:CTF备忘单
web安全学习-------2.sql整数型注入
阿柠xn
03-10 317
这是作者遇到的一个题目,当然这个题目也很直白,整数型注入。 我们一次填入1,2,3会发现只有1和2有回显,3并没有回显。说明可以查询到的数据有两个。 接着我们测试一下数据有几列: 测试列数: GET:id=1 order by 3# POST:id=1’ order by 3# 我们可以看到3并没有回显,2的时候正常显示,所以数据一共两列。 接下来就是尝试联合查询了,记得把前面的查询数据置空...
SQL注入实验——web靶机第五关(报错回显)
qq_41554179的博客
03-09 551
报错回显:输入报错的函数,在报错函数里面写语句回显正确的东西 测试交互方法(此靶机为get) 判断字符类型(此靶机为字符型) 构造闭合; 用报错函数爆库名; http://192.168.96.133/sqli-labs-master/Less-5/?id=1' AND(SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(...
SQL简单注入
weixin_44300286的博客
07-20 660
题目来源:https://www.ichunqiu.com/battalion 一、SQL 题目描述: 出人就告诉你这是个注入,有种别走! 查看网页源码,发现源码有select语句的信息,这下我们省事了。 根据源码可看出,注入点无闭合符号,我们先构造payload: id=1 --+ 发现页面正常显示,那么我们的猜想是正确的。 第一步判断字段数,输入: id=1 order by 1 ...
攻防世界【NewsCenter】SQL注入方法
weixin_43923736的博客
06-20 936
攻防世界【NewsCenter】解方法
攻防世界-inget(简单SQL注入、万能密码)
Welcome To Myon'Blog !
04-14 4178
inget(简单SQL注入)、手工注入、万能密码原理、sqlmap实现、常用参数
CTF入门笔记之SQL注入
qq_37410729的博客
11-01 2878
sql注入
CTFsql注入练习
07-29
回答: CTFsql注入练习是一种用于训练和测试SQL注入技巧的题目。在这些题目,参与者需要通过注入恶意的SQL代码来绕过应用程序的安全机制,从而获取敏感信息或者执行未授权的操作。这些题目通常包含了不同的注入场景和技巧,例如基于时间的盲注、报错注入、布尔盲注、宽字节注入等等。参与者需要通过分析应用程序的行为和结构,构造合适的注入语句来实现攻击目标。在解决这些题目的过程,参与者可以提高对SQL注入漏洞的理解和掌握,并学习如何防范和修复这类漏洞。 #### 引用[.reference_title] - *1* *2* [CTF-SQL注入入门型](https://blog.csdn.net/weixin_43080961/article/details/121939366)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [i 春秋 CTF训练营 web——SQL注入 1(字符型注入)(手动注入)](https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121626527)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值