BUUCTF/sqli-labs 1-23关

最新推荐文章于 2024-12-31 16:52:05 发布
最新推荐文章于 2024-12-31 16:52:05 发布
阅读量1.8k 收藏 30
点赞数 17
分类专栏: BUUCTF闯关合集 文章标签: web安全 windows 系统安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44041994/article/details/136897914
版权

题目

在这里插入图片描述

步骤

打开靶机页面,这是一个练习sql注入的专项靶场。

Less-1

提示输入参数id,我们设一个id=1并执行

在这里插入图片描述

显示了两行数据,我们更改id的值为2-1

在这里插入图片描述

发现数据变化了,id的数据类型应该是字符型,我们继续测试,输入id=2’

结果报错了

在这里插入图片描述

再次输入id=2’ and 1=1 --+ ,页面恢复正常,说明id的数据类应该是带单引号的字符

在这里插入图片描述

开始使用order by猜解当前表有多少个字段

在这里插入图片描述

当到4的时候出现了报错,所以该表应该只有3个字段

在这里插入图片描述

使用右联查发现显示在前端的数据分别是第2列和第3列,接下来就是查询出数据库的名称,使用database()函数

在这里插入图片描述

得到数据库名称是security,根据数据库名称,查询该数据库下有哪些表,通过MariaDB下的源数据库information_schema

在这里插入图片描述

group_concat函数的作用是将多个数据合并为一条

得到有四张表,分别是emails,referers,uagents,users

同样的方法可以根据表名,查询出表中的字段名,最终查询到具体数据

闯关目标为获取flag,将以上四个表字段查询了一遍未发现flag,说明flag不在当前数据库,我们查询下服务器内还有哪些数据库

在这里插入图片描述

可以看到里面有个ctftraining数据库,flag多半在这个数据库中

在这里插入图片描述

查询下flag表下有哪些字段

在这里插入图片描述

只有flag一个字段,那我们直接查询flag的值

在这里插入图片描述

得到flag值。

后续关卡将不再详细讲述以上基本sql注入方法,以获取数据库名为通关目标。

Less-2

在这里插入图片描述

通过id=3-1,但是显示的是id=2的数据可知,这次id字段的数据类型为字符型

我们直接order by获取字段数

在这里插入图片描述

结果还是只有3个字段,通过database()成功获取数据库名

在这里插入图片描述

Less-3

在这里插入图片描述

这一关通过测试发现id字段是字符型,且是带单引号的,但是后面加入命令后还是报错,说明id字段不仅带单引号可能还带括号,我们继续尝试

在这里插入图片描述

当我们加了一个反括号后数据成功显示,说明是带了单括号,剩余步骤与前面一致

在这里插入图片描述

Less-4

在这里插入图片描述

第四关,根据测试id字段应该是带双引号及单括号的字符型,剩余步骤与前面一致

在这里插入图片描述

Less-5

这一关和前面的就有很大不同了,页面回显的数据都是一致的,我们只能知道sql注入的代码执行是否成功

在这里插入图片描述

通过测试我们知道id是带单引号的字符型,所以可以采用基于字符型的错误回显注入

报错注入的方法主要有三种

1.floor报错,比较复杂

原理是利用数据库主键不能重复,使用group by分组,产生主键key冗余而报错

id=2' and (select 1 from (select count(*),concat((SELECT schema_name FROM information_schema.schemata LIMIT 5,1),floor (rand(0)*2)) as x from information_schema.tables group by x) as a) --+
通过爆库让数据库名显示到报错信息中

在这里插入图片描述

2.updatexml报错

UPDATEXML (XML_document, XPath_string, new_value)

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

第三个参数:new_value,String格式,替换查找到的符合条件的数据

作用:改变文档中符合条件的节点的值,改变XML_document中符合XPATH_string的值

当我们XPath_string语法报错时候就会报错,updatexml()报错注入和extractvalue()报错注入基本差不多。

id=2' and updatexml(1,concat(0x7e,(database()),0x7e),1) --+

在这里插入图片描述

3.extractvalue

extractvalue(XML_document,XPath_string)

第一个参数:XML_document是String格式,为XML文档对象的名称

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

作用:从XML_document中提取符合XPATH_string的值,当我们XPath_string语法报错时候就会报错。

concat和我前面说的的group_concat作用一样

2' and extractvalue(1,concat(0x7e,(database()),0x7e)) --+

在这里插入图片描述

Less-6

和关卡5类似,id是双引号字符型

在这里插入图片描述

Less-7

这关我们先测试id字段数据类型

在这里插入图片描述

经过测试,id字段为字符型且被双括号包含。

同时报错信息为静态固定,无法使用报错注入,也因为正确信息也为静态固定信息,无法使用联合查询注入。

在这里插入图片描述

上面提示让我们使用outfile,outfile是sql的语法,可以通过into outfile命令,将查询到的结果写入目标路径,在知道目标系统的绝对路径时可以使用,如

-1')) union select 1,2,database() into outfile"/tmp/1.txt"--+
可以打开1.txt,里面被写入了查询到的当前数据库名
同样也可以写入一句话木马,通过webshell管理工具连接来控制目标主机
-1')) uni
最低0.47元/天 解锁文章
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1769
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1--dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
Sqli-labs靶场第12详解[Sqli-labs-less-12]
m0_73615178的博客
03-02 1042
所以,payload分析输入一个username值然后使用单引号加小括号 ") 闭合前面的语句,然后为了使where语句条件成立,加上一个or 1=1-- 注释语句使后面的语句直接注释password不用判断。由于这题是post请求,所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。根据题目看,像一个登录页面,尝试使用布尔型盲注测试能否登录网站。输入:-admin") union select 1,2--爆出当前数据库名称及当前用户名。
BUUCTF sqli-labs 1
m0_59527104的博客
12-31 645
发现存在flag表,接着就是要看该表的信息:?id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='ctftraining' and table_name='flag'),3--+查看该数据库中都有什么表:?这里需要注意,我们要指定是ctftraining数据库的flag表,如果单纯的是flag则是查找的security.flag这时就会报错。
Sqli-Labs~1 详解
Cy610610的博客
12-04 1944
sqli-labs第一,手把手教学,包学包会!内含informations_schema数据库解释说明等相内容
【CTF WebBUUCTF SQLi-LABS Page-1(Basic Challenges) Less-1 Writeup(SQL注入+GET请求+报错注入+单引号闭合+字符型注入)
HEX9CF的技术博客
09-23 392
1点击启动靶机。
BUUCTFweb sqli-labs 1(sql注入)
weixin_45844670的博客
10-12 2085
查询闭合 http://54250e8c-3b6c-4a66-8079-9beb8d389458.node3.buuoj.cn/Less-1/?id=0' 查询数据库 http://54250e8c-3b6c-4a66-8079-9beb8d389458.node3.buuoj.cn/Less-1/?id=0' union select 1,2,group_concat(schema_name) from information_schema.schemata -- a 查询表名 http://54250e
【CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 586
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
sqli-labs buuctf平台+本地环境 全全解 不是很详解(<_<)
weixin_48083470的博客
07-12 2164
sqli-labsbuuctf平台 搜索sqli-labs 可以更加模拟线上赛的环境 less-1 less-5 ?id=0' and(select extractvalue(1,concat('~',(select database())))) %23 报错注入详细讲解:https://blog.youkuaiyun.com/silence1_/article/details/90812612 less-6 发现不报错了,用布尔盲注 写python代码来跑出内容 import requests url
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 2342
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
sqli-labs-master第23
m_ing
05-17 1454
前言:从一开始我们是GET-----POST的路线来研究sql注入,这我们在从头早来研究GET请求方式。 http://192.168.89.139/sqli-labs-master/Less-23/ 我看到这个页面很是熟悉,提示我们输入id值作为参考。 我们加个’试一下 再来利用and来测试下,加入注释符#,编码成%23同样的报错 我们感到很好奇,还是看下原本代码 对注释符等都进行了过滤 突然一懵,我查阅了一些资料,只能采用单引号闭合的方法来绕过了,我们试试看! ?id 1=1’ and ‘1’=
Sqli-labs靶场第19详解[Sqli-labs-less-19]自动化注入-SQLmap工具注入
m0_73615178的博客
03-03 899
所以先使用burp进行抓包,然后将数据包存入txt文件中打包 用-r 选择目标txt文件。尝试加上注入语句(报错注入),测试是否会执行并返回报错语句爆出想要的信息。
buuctfsqli-labs靶场的36,(宽字节注入)
DMXA的博客
10-07 424
【代码】buuctfsqli-labs靶场的36,(宽字节注入)
【CTF WebBUUCTF SQLi-LABS Page-1(Basic Challenges) Less-9 Writeup(SQL注入+GET请求+时间盲注+单引号闭合)
HEX9CF的技术博客
09-26 402
1点击启动靶机。
buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
DMXA的博客
10-07 372
【代码】buuctf---sqli-labs靶场,两种报错注入的方式(XPATH型和主键重复型)
SQLi-LABS1~10详解)
CTF小白的博客
09-22 7483
目录SQLi-LABS Less-1查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-2查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-3查看题目环境测试注入点SQL注入查找列数查询数据库查询数据库中的表查表中的字段查数据SQLi-LABS Less-4查看题目环境测试...
sqli-labs--23-37指南(详细)
weixin_44576725的博客
11-14 1915
文章目录Less-23Less-24Less-25Less-25aLess-26Less-26aLess-27Less-27aLess-28Less-28aLess-29背景知识:正题:Less-30Less-31Less-32Less-33Less-34Less-35Less-36Less-37总结Less-37总结 前言:本节开始对advanced injections卡进行通记录,23-38 在这里补充一下信息收集的命令: @@version 数据库版本 @@datadir 数据库数据路径 @
sqli-labs23
rp114514的博客
07-03 247
在本中,我们学习了如何判断是否存在SQL注入,如何利用错误信息推断数据库名称、表名和字段名。这些技巧不仅提高了我们的SQL注入攻击能力,也增强了我们对数据库安全的理解。今天的实训课我们挑战了sqli-labs23,这是一个错误型盲注的挑战,主要的目标是通过利用错误信息来推断出数据库中的数据,而不是直接显示在页面上。错误判断出以后,然后利用判断库名,列名,数据的方法进一步探索数据库中的其他表和字段,以及可能的敏感数据。我们可以看到,--%20没有生效,在后面加上#,依旧抛出错误。判断是否存在注入:?
sqli-labs 23-25a心得与思路
m0_48294281的博客
04-18 284
sqli-labs 23-25a心得与思路
SQLI-labs-第二十三
weixin_54055099的博客
05-22 1223
Sqli-labs23,注释符过滤绕过,联合查询
buuctf sqli-labs 1
最新发布
02-19
### BUUCTF SQL 注入实验室 Level 1 的解析 在探讨 BUUCTF 平台上的 `sqli-labs` 实验室中的第一个卡时,重点在于理解基本的 SQL 注入原理以及如何利用这些漏洞来绕过登录验证机制。 #### 登录表单分析 通常情况下,Level 1 是一个简单的基于 Web 表单的身份验证页面。当提交用户名和密码时,服务器端会执行如下形式的 SQL 查询: ```sql SELECT * FROM users WHERE username='输入的用户名' AND password='输入的密码'; ``` 如果存在这样的查询语句,则可以通过构造特定的输入使整个条件始终为真,从而实现未授权访问[^1]。 #### 构造恶意输入 对于此级别的挑战来说,目标是让上述 SQL 命令返回至少一条记录而不提供有效的凭证组合。一种常见的做法是在用户名字段中输入 `' OR '1'='1` ,这将改变原始查询逻辑成为: ```sql SELECT * FROM users WHERE username='' OR '1'='1' AND password=anything; ``` 由于布尔表达式 `'1'='1'` 总是真的,因此无论实际存储的数据是什么样的,这条修改后的查询都会匹配到数据库中存在的任何用户条目并允许攻击者成功登陆系统[^2]。 请注意,在真实环境中实施此类操作属于非法行为;本解释仅用于教育目的,帮助学习者了解潜在的安全风险及其防护措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值