CTF之mysql数据库基础知识

已于 2023-07-07 13:41:38 修改
阅读量117 收藏 1
点赞数
文章标签: 数据库
于 2023-06-26 17:30:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62102520/article/details/131357623
版权

一、数据库基本知识

1.数据库分类

 二、SQL命令基础

配置:1.安装mysql和sqllog

2.配置mysql的bin目录到环境变量

三、数据类型

 

 数据表

insert

 drop and delete

 

 

 

 

 

 

 select group进行统计

三、常用的数据库常量

 

实践

查看版本信息

查看用户信息

 

 查看日志信息

show variables like "%log%";

 

探险者安全团队
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
mysql注入ctf_CTF比赛中SQL注入的一些经验总结
weixin_32334681的博客
01-20 700
*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载ctf中sql注入下的一些小技巧最近花了一点时间总结了各大平台中注入的trick,自己还是太菜了,多半都得看题解,就特此做了一个paper方便总结注释符以下是Mysql中可以用到的单行注释符:#-- -;%00以下是Mysql中可以用到的多行注释符(mysql下需要闭合):/*`判断当前库是否有字段名对于CTF中的题...
mysql注入ctf_CTF SQL注入
weixin_42510026的博客
01-28 641
一、宽字节注入原理:GBK编码、URL转码利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围)例如:' -> ' -> %5C%27%df' -> %df' -> %df%5C%27sql字符集特性MYSQL 中 utf8_unicode_ci 和 utf8_general...
mysql注入ctf_CTF – sql注入(2)
weixin_42487737的博客
01-28 262
环境:sql-labs-master ,且在该数据库中设置flag表并储存 flag{ victory! } 值补充知识点:union select 1,group_concat(table_name), 3 from information_schema.tables where table_schema=database()group_concat():把相同一组拼接起来,也仅限于拼接后...
mysql注入ctf_CG-CTF SQL注入
weixin_35618196的博客
01-20 431
SQL注入1题目访问题目网址先查看一下源码仔细分析一下核心源码if($_POST[user] && $_POST[pass]) { //判断user和pass两个变量不为空mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); //连接数据库m...
mysql手工注入绕过_从一个ctf简单总结下mysql手工注入
weixin_30303283的博客
01-21 296
文章最后更新时间为:2019年04月03日 15:26:470x01 先拿flag有个很不错的ctf平台jarvisoj,上面收录了一些经典的ctf题目。今天做了一个web题,借此记录一下sql手工注入的语句。hint:先找到源码再说吧~~...
ctf题库 CTF理论考核题及答案
07-05
9. **MySQL数据库操作**:A、B选项描述了正确的MySQL命令用法。DROP DATABASE删除数据库,TRUNCATE TABLE清空表,DESC显示表结构,CREATE TABLE用于创建表,但D选项描述错误,因为CREATE TABLE用来创建数据表而不是...
CTF-Challenges
06-29
5. **数据库交互**:PHP可以使用MySQLi或PDO扩展与MySQL数据库进行交互。导入`.sql`文件通常是创建数据库表或填充数据的过程,这可能需要使用`mysql_query()`或`PDO::exec()`函数。 6. **安全实践**:在处理用户...
jopraveen.github.io:CTF 网站
08-04
【标题】"jopraveen.github.io:CTF 网站" 涉及的知识点主要集中在构建一个用于网络安全竞赛(Capture The Flag, CTF)的在线平台。CTF 是一种流行的信息安全教育和竞技形式,参与者通过解决各种安全挑战来提升技能。...
sqlmap工具
06-30
### SQL注入基础知识 SQL注入是一种常见的网络安全攻击方式,通过在Web表单输入恶意构造的SQL代码,来操纵数据库查询,获取未经授权的数据,甚至篡改、删除数据库信息。SQL注入通常发生在应用没有对用户输入数据...
CTF mysql
艺博东的博客
10-05 1万+
难度系数: ★★★★★ 题目来源: XCTF 题目描述: 我们在Mysql数据库中存放了flag,但是黑客已经把它删除了。你能找回来flag吗? 题目场景: 暂无 题目附件: 附件1 1、附件1 链接:https://pan.baidu.com/s/12RPRNl7PPgNBLpLatI68Fw 提取码:q57k 2、文件 3、把文件拷贝到 kail Linux 环境 4、点击空白处,鼠标右键—>在这里打开终端 5、strings:在对象文件或二进制文件中查找可打印的字符串。 用法:strin
mysql is fashion ctf_一道CTF题引发的思考-MySQL的几个特性
weixin_39645019的博客
01-20 118
0x01 背景前天在做一道CTF题目时一道盲注题,其实盲注也有可能可以回显数据的,如使用DNS或者HTTP等日志来快速的获取数据,MYSQL可以利用LOAD_FILE()函数读取数据,并向远程DNS主机发送数据信息,此时DNS日志文件中就会有盲注语句的查询结果。这里不做这部分的讨论,只是说下有这种方法,在这道题目中我是使用常规的盲注的方式获取数据的。其中遇到有以下几个问题:过滤规则的判断与绕过...
CTF收集的Mysql爆表、爆字段语句
weixin_30696427的博客
01-11 190
Mysql特性 获取数据库名未知函数可爆数据库名 FUNCTION youcanneverfindme17.a does not exist 获取表名and linestring(pro_id) //linestring()函数可爆表名Illegal non geometric '`youcanneverfindme17`.`product_2017ctf`.`pro_id`' valu...
mysql注入ctf_CTF – sql注入(1)
weixin_30451613的博客
01-28 347
题目地址:http://chinalover.sinaapp.com/web6/index.php由图可知,此处给出了源码,源码如下:分析源码:页面中输入的参数传到php中,if()对user和pass都进行了是否为空值的判断,若都不为空,则来连接数据库。然后再把页面中的user值赋值给 $user ,把页面中的pass值md5加密后赋值给 $pass ,最后拼接sql语句并执行。而要让flag成...
南邮CTF练习题——web题
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
mysql注入ctf_CTF之SQL注入详解
weixin_29117805的博客
01-20 896
前言:最近打算玩一下CTF,玩过CTF的都知道SQL注入是CTF中最重要的题型。但是。。。。。。。。。很多大佬的WP都是一阵操作猛如虎。很多都不带解释的(大佬觉得简单所以就不解释了=_= =_= =_=)。所以这几天一直都在看关于SQL注入的文章,一直也不理解SQL注入的原理。今天刚好看到了一篇文章,自己也跟着那个博主的思路总结一下,对SQL注入有了一个大概的的理解。写这篇博文一是希望加深自己对S...
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1083
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
CTFSQL注入基础知识
最新发布
04-03
CTF(Capture The Flag)是一种网络安全竞赛,旨在考察参赛者在网络安全领域的技能和知识。CTF中的SQL注入是一种常见的攻击技术,用于利用应用程序对用户输入的不正确处理而导致的安全漏洞。下面是CTF中SQL注入的基础知识: 1. 什么是SQL注入? SQL注入是指攻击者通过在应用程序的输入中插入恶意的SQL代码,从而绕过应用程序的验证和过滤机制,进而执行非法的数据库操作。攻击者可以通过SQL注入获取敏感信息、修改数据甚至控制整个数据库。 2. SQL注入的原理: SQL注入利用了应用程序对用户输入的不正确处理。当应用程序没有对用户输入进行充分验证和过滤时,攻击者可以通过构造特定的输入来改变原始SQL查询的语义,从而执行恶意操作。 3. SQL注入的类型: - 基于错误的注入:攻击者通过构造恶意输入,触发应用程序产生错误信息,从而获取敏感信息。 - 基于布尔盲注:攻击者通过构造恶意输入,利用应用程序对布尔表达式的处理方式,逐位猜测数据内容。 - 基于时间盲注:攻击者通过构造恶意输入,利用应用程序对时间延迟的处理方式,逐位猜测数据内容。 - 基于联合查询注入:攻击者通过构造恶意输入,利用应用程序对联合查询的处理方式,执行额外的查询操作。 4. 防御SQL注入的方法: - 使用参数化查询或预编译语句,确保用户输入不会被解释为SQL代码。 - 对用户输入进行严格的验证和过滤,包括输入长度、类型、格式等。 - 最小化数据库用户的权限,避免使用具有高权限的数据库账户。 - 定期更新和修补应用程序和数据库的安全补丁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值