2. 程式人生 > >CTF中sql注入的一些知識

CTF中sql注入的一些知識

阿新 發佈:2018-11-23

最近一直在學習sql注入的知識,感覺sql注入確實是漏洞中的一大難點。首先是自己對資料庫結構的不熟悉,所以構造的一些語句總是不能理解。其次是沒有對自己學習的知識做好總結,看了很多視訊、部落格、題目,每次我都感覺自己好像知道要怎麼去做了,可是再拿到一道題目,我還是隻會加單引號,甚至在單引號沒有報錯的時候就不知所措。最後是沒有好的狀態,急功近利,想要一蹴而就,但這sql注入又哪是幾天就能弄明白的,所以我還是想明白了,要多花時間去鑽研,要多做思考,不能眼高手低,真正的把原理和方法弄懂。

所以我先對最近遇到的一些問題進行總結,等慢慢學習更多以後,再對此進行補充。

1、為什麼有時候要用單引號閉合前面的引號,而有的時候卻不用閉合呢?

2、為什麼union前面搜尋的值不存在,卻還是可以把union聯合查詢的值給輸出來呢?

3、為什麼在url中不能用#號,而要用%23來表示呢?

4、在猜解列名時為什麼要在表名前後加引號,而猜解欄位內容時卻不用加呢?

5、information_schema是啥?為啥猜解的時候要一直用這個東西?

6、為什麼有時候引號輸進去也不會報錯?這個時候要怎麼做?

 

 

 

 

 

1、關於引號的問題,其實這是因為sql語句的兩種寫法

這兩種寫法都是正確的,只是安全性不同罷了,所以在你看不到原始碼的時候,也不能確定是否要加單引號去閉合,只能先加一個單引號來閉合嘗試。

這兩張圖片是來自於:http://cbb.sjtu.edu.cn/course/database/lab8.htm,這裡面對sql注入進行了很充分的解釋。

 

 

 

2、union是聯合查詢,查詢的欄位值必須要和前面查詢的相等,所以可以先用order by 語句來確認查詢的欄位值有多少個,然後再用union 查詢,查詢的值可以用數字 1 來填充,也可以查當前資料庫database(),資料庫版本 version(),使用者user(),只要後面的欄位值和前面相同就行了。

但是有的時候顯示的地方被前面查詢的值給佔用了,導致後面我們想查詢的值沒有地方顯示怎麼辦呢,就把前面要查詢的值給去掉,因為union查詢的時候,如果有一邊查詢的是不存在或錯誤的就不顯示,只顯示另一邊查詢正確的語句。

有時候頁面可以顯示資料的地方只有一個,那麼就要用union後面查詢的值來確定顯示的是哪一個欄位值。然後把想要查詢的值放在那個能顯示的欄位處。

 

 

 

 

 

3、其實這個問題之前就有考慮過,而且也在其他部落格上得到了答案,在這裡就當作記錄吧,在url中#會被當作錨鏈接,如果在url中直接提交#就會變為空,所以要用url編碼後的%23來代替,這樣url會在傳遞時解碼為#就可以把之後不需要的給註釋掉。

 

 

4、在猜解列名時,後端的查詢語句最後是 where table_name = 所以要將表名打引號,作為字串形式來查詢,不然就會報錯。而在猜解欄位內容時,後端的查詢語句最後是 from ,就可以直接填表名。

 

 

5、information_schema是一個擁有資料庫中所有資訊的庫,包含了所有的庫,表,列。所以在猜解的過程中要使用這個庫來進行猜解。猜解的過程如下:

在使用union查詢時,已經得知了當前資料庫 database(),就可以進行下一步表名的猜解了。

union select 1,2,table_name from information_schema.table where table_schema=database()

table_name就是表名,information_schema.table就是這個information_schema庫存放表資訊的表,table_schema就是表所屬的資料庫。這樣就可以得到當前資料庫中所有的表名。當然也可以使用group_concat(table_name)來將這些表名連線起來輸出。接下來再進行列名的猜解。

union select 1,2,column_name from information_schema.columns where table_name = 'XXX'

這裡和上面一個步驟是差不多的,這些單詞就不再解釋了。繼續下一步猜想要的列的欄位內容吧。

union select 1,2,YYY from XXX

最後就得到了我們想要的內容。

 

 

6、在我遇到的題目中,目前有一種情況是叫“寬位元組注入”,如果程式碼中用了addslashes()函式,這個函式會把所傳進來的引數中帶有的預定義字元前面加上轉義符'\'。那我們自己加進去想要閉合的單引號就失去了效果,但是有一種方法可以讓這個引號重新起到效果,就是寬位元組注入,因為gb2312或者gbk這種編碼方式,是兩個字元編碼一個漢字,所以我們如果在構造payload的時候在引號之前加一個 %df 讓這個%df和轉義符'\'一起編碼成一個漢字,那後面的引號就可以逃逸出來了。為什麼是%df,因為在gbk編碼裡一般第一個字元的ascii碼大於128就會認為這兩個字元組成一個漢字了。

 

因為這一篇部落格中的內容,是我先在筆記中寫好然後複製過來的,所以可能格式看起來不太舒服,見諒,sql注入中的問題遠不止這些,這裡只是記錄了一些我作為新手時遇到的問題,希望如果有其他和我一樣有這樣困惑的人可以得到大致的答案。我還會繼續補充的,寫的不好多多包涵。如果有朋友願意和我交朋友討論技術等等的話,可以加我的qq:1013024906 備註CSDN+名字。。。謝謝

相關推薦

CTFsql注入一些知識

最近一直在學習sql注入的知識,感覺sql注入確實是漏洞中的一大難點。首先是自己對資料庫結構的不熟悉,所以構造的一些語句總是不能理解。其次是沒有對自己學習的知識做好總結,看了很多視訊、部落格、題目,每次我都感覺自己好像知道要怎麼去做了,可是再拿到一道題目,我還是隻會加單引號,甚至在單引號沒有報錯的時

sql一些知識_通配符

通配符 null color div spa from weight nbsp use like操作符 通配符只能用於字符串查詢 % 指任意字符出現任意次數,包括0次,不包括NULL SELECT username,weight,age FROM userinfo WH

sql一些知識_函數_匯總數據

png min -- 排列 eight lec font log com 匯總數據 avg()---------求平均數 SELECT AVG(weight) AS aveweight FROM userinfo WHERE weight>70 值得註意的是

安全測試sql注入測試思路

在找好需要測試的功能點之後,針對每種功能點(引數),sql注入測試一般遵循下面步驟: 1. 測試注入型別,數字型or字元型 如果引數中直接包含字母,那麼直接可以判斷是字元型引數,如id=4a。 若引數是數字通常可以考慮輸入表示式來判斷,如id=6,可嘗試輸入id=

cssborder的一些知識

red 劃分 itl query title nbsp 部分 火狐瀏覽器 head 在編寫頁面代碼時,經常會用到元素的邊框 括弧:border 給某個元素增加一個1px的實線黑色邊框: html代碼部分1 <!DOCTYPE html> <htm

CTF幾種通用的sql盲注手法和注入一些tips

0x00 前言 在ctf比賽中難免會遇到一些比較有(keng)趣(die)的注入題,需要我們一步步的繞過waf和過濾規則,這種情況下大多數的注入方法都是盲注。然而在盲注過程中由於這些過濾規則不太好繞過,這時候就會無從下手,下面分享一下自己在比賽中總結幾種比較通用的盲注手

記一道CTF 遇到的SQL注入新型萬能密碼問題

0x00. 引言 我們平時遇到的SQL注入萬能密碼都是形如admin' or '1'='1, 這種使用or 關鍵字使得查詢結果永真,或者形如:' UNION Select 1,1,1 FROM admin Where ''=',這種使用union使得查詢結果永真, 但是有

ctf sql注入關鍵詞繞過【積累

                寫在前面:這個部落格知識點來源於個人ctf練習比賽中積累的知識點及網路中各個部落格的總結點,這裡做測試和記錄0x00 sql注入理解    SQL注入能使攻擊者繞過認證機制,完全控制遠端伺服器上的資料庫。 SQL是結構化查詢語言的簡稱,它是訪問資料庫的事實標準。目前,大多數We

第二十二節,TensorFlowRNN實現一些其它知識補充

pre 針對 arr state nim 很多 常常 位置 代價函數 一 初始化RNN 上一節中介紹了 通過cell類構建RNN的函數,其中有一個參數initial_state,即cell初始狀態參數,TensorFlow中封裝了對其初始化的方法。 1.初始化為0 對於正向

運維工作經常用到的一些知識總結(一)

Linux Docker MFS在日常運維工作中,會有一些知識使用頻率較高,以下為個人在工作中常用的一些操作,沒有做詳細的分類,排版比較淩亂。有需要的同學們可以參考,希望能有所幫助。 1、查看當前系統所以變量 sysctl -a 2、修改Centos7 網卡為eth install centos 7 按 ta

運維工作經常用到的一些知識總結(二)

Markdown Xtraback Linux Squid DenyHost 接上篇:http://blog.51cto.com/bobo365/2125121 31、screen: screen -S xxx screen -r xxx screen -D -r <session-id

運維工作經常用到的一些知識總結(四)

Lftp SLA yourls Tomcat多實例 接上篇:http://blog.51cto.com/bobo365/2125159 54、rabbitMQ http://blog.csdn.net/lishaojun0115/article/details/53152255 用戶管理 用戶

運維工作經常用到的一些知識總結(三)

MySQL SLA Nginx tomcat 壓力測試 接上篇:http://blog.51cto.com/bobo365/2125138 48、容器導出導入: docker import 容器ID > xxx.tar cat xxx.tar | docker

nodejs查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

SQL注入常用的mysql語法

user()返回當前資料庫連線使用的使用者; database()返回當前資料庫連線使用的資料庫; version()返回當前資料庫的版本; concat-ws() 函式可以將這些函式進行組合使用並顯示出來。concat函式中,將其中的引數直接連線起來產生新的字串。而在con

SQL一些學習連結(更新

1. group by https://www.cnblogs.com/jingfengling/p/5962182.html where 子句的作用是在對查詢結果進行分組前,將不符合where條件的行去掉,即在分組之前過濾資料,where條件中不能包含聚組函式,使用where條件過濾

GLSL 著色語言一些知識筆記

Uniforms(前輟修改) Uniform前輟修飾的變數初始值由外部程式賦值。在program中具有統一訪問空間,儲存空間有限。在Shader中是隻讀的,只能由外部主機程式傳入值。 它用於儲存shader需要的各種資料,如:變換矩陣、光照引數和顏色。基本上,對於Shader是一個常

jquery一些知識

var form_el = "input[type=hidden],input[type=text],textarea,select";         $("#asss").find(form_el).each(function () {   &n

專案使用的一些基本知識(將mysql、jdk、tomcat打包放在一起供使用者使用)

專案中使用的一些基本知識(將mysql、jdk、tomcat打包放在一起供使用者使用) 目的:使用者只需要執行一個bat檔案即可啟動mysql服務和Tomcat服務,然後直接在瀏覽器訪問到專案 1.在C盤根目錄下建立一個名為Install3DModeling的資料夾。 2.找到mysql

SQL注入 web開發防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL