2. 程式人生 > >一道簡單的SQL注入題

一道簡單的SQL注入題

阿新 發佈:2020-04-22

這是我真正意義上來說做的第一道SQL題目,感覺從這個題目裡還是能學到好多東西的,這裡記錄一下這個題目的writeup和在其中學到的東西
link:https://www.ichunqiu.com/battalion Web分類下的SQL

嘗試SQL注入

進入這個模擬環境之後,會得到一個提示為flag在資料庫中,這時候檢視url欄可以發現

嗯這個就有SQL注入內味了,然後試一下id=2或者id=3,發現id=2時候可以出來提示為test,然後再往後就什麼都不出來了,這時候我先假裝id後面的東西是一個數字變數,輸入id=1 and 1=1,發現網頁給出提示是這是SQL注入程式碼,這說明這個網站是有對SQL注入做基本的防護的,所以現在的問題就變成了如何繞過伺服器的過濾規則。

對過濾or、and、xor、not的繞過

對這些的繞過一般的操作是

  • and = &&
  • or = ||
  • xor = | # 異或
  • not = !
    現在我們換一下把輸入變成id=1 && 1=1,發現並沒有報錯,這說明我們成功進行了注入的第一步。這時候我們可以發現,很有可能該資料庫僅對我們展示了表中某一列的資料,所以現在就要判斷這個表到底有幾列,這裡使用的方法是order by。url裡輸入id=1 order by 1,報錯提示這是sql注入程式碼,所以現在要進行進一步的繞過

SQL關鍵字過濾繞過

  • 改變大小寫:例如select變為SELect(本題中沒用)
  • 新增內聯註釋:把一些MYSQL的語句放在/*!...*/中,例如/*!order*/(本題中沒用)
  • 雙寫關鍵字:一些waf中替換使用的是replace()函式,因此可以輸入selselectect,在經過waf處理後變為select(本題中沒用)
  • 空格過濾繞過:有些waf會過濾掉注入中的空格導致無法正常允許,這裡可以把空格用/**/,反單引號,(),回車等進行代替(本題中暫時不用考慮)
  • 等號繞過:使用like和rlike模擬=的功能,在不新增萬用字元%時候,like xxxrlike xxx= xxx是等價的(本題中暫不用考慮)
  • 新增<>或者//:因為有的waf會對<>或//進行過濾,所裡可以利用這一點,使用sel<>ect
    進行繞過(本題有用)
    現在進行分割,注意分割時候order不要分割為了or<>der因為這樣又會引入or,現在我們輸入ord<>er by x進行嘗試,發現最多到order by 3就停止了,這說明這個表只有3列。現在我們就需要找出具體的flag位置,這就涉及到對mysql資料庫結構的瞭解。

查詢flag

MYSQL資料庫

Mysql資料庫裡面有一個數據庫叫information_schema,這個資料庫中很多有用的資訊都存在這個裡面

  • schemata表裡面儲存了不同資料庫的資訊,如下所示:
  • tables表裡面儲存著每個資料庫中包含的所有的表的資訊,如下所示:
  • columns表裡面儲存著每個資料庫中列的資訊,如下所示:

檢視資料庫資訊

知道這些東西之後,我們現在要找flag,我認為flag多半是在這個資料庫裡面,首先我們檢視一下當先資料庫的名稱,因為已知查詢到的資料是3列,現在我們要計算,輸出在前端的到底是哪一列的資料,這裡我們構造一個payload為?id=1 un<>ion sel<>ect 1,2,3,發現輸出的有2,那麼可以肯定輸出在前端的就是第二列。
現在我們想要知道這個表在哪個資料庫,所以就可以構造一個payload為?id=1 un<>ion sel<>ect 1,database(),3,得到前端的返回結果為

現在我們就要查詢這個sqli資料庫中存在哪些表,在前面我們說過,表的資訊存在tables中,所以這裡構造一個payload為?id=1 un<>ion sel<>ect 1,table_name,3 from information_schema.tables whe<>re table_schema='sqli',然後可以得到該資料庫中有兩張表,一個是info,一個是users

現在我們分別查一下這兩個表裡面都有哪些列,資訊從columns裡面查到,這時候我們可以構造payload為?id=1 un<>ion sel<>ect 1,column_name,3 from information_schema.columns where table_schema='sqli' an<>d table_name='users'?id=1 un<>ion sel<>ect 1,column_name,3 from information_schema.columns where table_schema='sqli' an<>d table_name='info',分別如下所示:

找到flag

好吧看了一下列名稱,竟然都有flag這個東西,那隻能一個表一個表找了,首先找一下第一個表users,這時候我們可以構造payload為?id=1 un<>ion sel<>ect 1,flag_9c861b688330,3 fr<>om users,但是發現並出不來任何東西。。感到疑惑,好吧那就試下一個構造payload為?id=1 un<>ion sel<>ect 1,flAg_T5ZNdrm,3 fr<>om info,這時候出來結果了,如下所示:

然後複製這個flag交差,就ok啦!

感想

這是第一次做sql注入的題,雖然這個題比較簡單,但是總的來說我還是學到了不少東西的,比如Mysql資料庫中的表結構和sql注入的繞過等,我覺得還是很有教育意義的

相關推薦

一道簡單SQL注入

這是我真正意義上來說做的第一道SQL題目,感覺從這個題目裡還是能學到好多東西的,這裡記錄一下這個題目的writeup和在其中學到的東西 link:https://www.ichunqiu.com/battalion Web分類下的SQL 嘗試SQL注入 進入這個模擬環境之後,會得到一個提示為flag在資料庫

一道簡單的演算法:不借助第三變數來交換兩個變數的值

今天做筆試碰到一道簡單的演算法題:不借助第三變數來交換兩個變數的值,記錄一下。 交換兩個變數的值的普遍做法都是藉助第三變數,這樣具有較高的可讀性。 a = 3 b = 5 t = a a = b b = t 但是,如果記憶體有限,只允許用2個變數呢? 強大的CS當然有辦法解決

一道簡單的演算法--整數反轉的一些記錄

首先是題幹 給出一個 32 位的有符號整數,你需要將這個整數中每位上的數字進行反轉。 假設我們的環境只能儲存得下 32 位的有符號整數,則其數值範圍為 [−231, 231 − 1]。請根據這個假設,如果反轉後整數溢位那麼就返回 0。 我首先想到的就是字串的相關操作,於是頭也不回地寫

一道簡單的字元

題目:輸入一個整數(含負數),輸出3個數據: 1.位數 2.拆分輸出,空格隔開,其中 “-” 號與第一個數字一起輸出 3.輸出反轉數 例: 輸入: -12345 輸出: 5 -1 2 3 4 5 -54321 程式碼: 1 #include <iostream> 2 #include <

一道簡單的逆向的解法 baby_crack

剛開始接觸逆向的題目師傅就給啦一道題目連結:https://pan.baidu.com/s/13cR9WUr1rydFjjbM2meyug  密碼:jg3j    題目和wp都在裡面下面開始記錄首先ida大法好~一個美麗姑娘的頭像接著f5大法好~題目本身比較簡單,就先看一下第

本地搭建簡單SQL注入環境

      首先本地要有一個wamp server,因為SQL注入涉及到與資料庫互動,所以先從搭建測試資料庫開始。       開啟mysql console,輸入root賬戶密碼登陸。建立一個數據庫,並命名為fake,命令如下: create databa

一道簡單的染色(需要排序)

簡單的 targe 一道 clas getc char bit sort bool https://www.luogu.org/problemnew/show/P2919 #include <bits/stdc++.h> #define read read()

CFT每日一簡單SQL注入之二

首先,輸入1 嘗試一下 然後爆出ID 加 個 單引號 嘗試 ,出現報錯介面 然後 大概猜測程式碼是  select xx from XX where id='' 用and測試 發現了有過濾,經過多測實驗後,發現去掉空格就可以 然後開始構造,我們可以使用/**/

一道簡單

9*9 cst pac name urn 參考 方案 turn 組成 題目描述 輸入一個四個數字組成的整數 n,你的任務是數一數有多少種方法,恰好修改一個數字,把它 變成一個完全平方數(不能把首位修改成 0)。比如 n=7844,有兩種方法:3844=622 和 7744=

【Luogu】 P3928 SAC E#1 - 一道簡單 Sequence2

lap sed fin bit amp lowbit pac first main 【題目】洛谷10月月賽R1 提高組 【算法】遞推DP+樹狀數組 【題解】列出DP遞推方程,然後用樹狀數組維護前後綴和。 #include<cstdio> #include&l

一條SQL查詢出每門課程的成績都大於80的學生姓名是一道有歧義的嗎?

‘用一條SQL語句查詢出每門課程的成績都大於80的學生姓名’是一道歧義題嗎? name   kecheng    fenshu  張三     語文       &nbs

實驗吧 簡單SQL注入1

解題連結: http://ctf5.shiyanbar.com/423/web/ 解題思路:一,   輸入1,不報錯;輸入1',報錯;輸入1'',不報錯。 二 ,   輸入1 and 1=1,返回1 1=1,可知,and被過濾了。 三,  &n

手工sql注入簡單入門

1、判斷是否可以注入: 數字型: 1.1在引數後面加一個引號',如果頁面報數字number錯誤,則一定不是sql注入點;如果報資料庫比如mysql、oracle之類的錯誤,則是一個sql注入點。 1.2 在引數後面加上 依次加上 and 1=1 和 and 1=2,如果加上 and 1=1 還能正常顯示原

一道簡單區分String,StringBuffer類,及其簡單應用

我感覺java離我越來越遠了,嗚嗚嗚嗚,剛開始對String類 與StringBuffer類(據說StringBuilder更好),對多種類之間的方法糅合在一起應用,這很重要,下面以一道題為例子(c,java均有): 幾個基本方法: 1.char charAt(int index)返回字

PHP使用PDO簡單實現防止SQL注入的方法

方法一:execute代入引數  <?php if(count($_POST)!= 0) { $host = 'aaa'; $database = 'bbb'; $username = 'ccc'; $password = '***'; $num

一道CTF 中遇到的SQL注入新型萬能密碼問題

0x00. 引言 我們平時遇到的SQL注入萬能密碼都是形如admin' or '1'='1, 這種使用or 關鍵字使得查詢結果永真,或者形如:' UNION Select 1,1,1 FROM admin Where ''=',這種使用union使得查詢結果永真, 但是有

實驗吧Web-中-簡單sql注入之2

輸入union select、order by這些關鍵字會提示SQLi detected! 說明對於關鍵字有防護 輸入1 union也會提示SQLi detected! 但是如果去掉空格:1union,則會返回正常,1'and'1'='1(無空格)也返回正常 所以可能是過濾了空格。

實驗吧web-中-簡單sql注入

頁面顯示:到底過濾了什麼東西? 所以我們先試試到底是過濾了什麼 1 顯示正常 1' 不正常 (直接輸入的關鍵字均會被過濾) 1 union select 顯示:1 select 1 union select table_name 顯示:1 table_name 1 unionuni

實驗吧 | 簡單sql注入之3

模糊測試結果: 1)查詢成功返回 Hello ,查詢失敗無回顯。 2)查詢id = 1 ,2 ,3均有回顯。 2)再看一下現在在哪個庫裡面吧! payload3 = http://ctf5.shiyanbar.com/web/index_3.php?id=0

SQL注入的一個簡單例項

<p>很多Web應用程式都使用資料庫來儲存資訊。SQL命令就是前端Web和後端資料庫之間的介面,使得資料可以傳遞至Web應用程式。很多Web站點都會利用使用者輸入的引數動態地生成SQL查詢要求,攻擊者通過在URL、表單域,或者其他的輸入域中輸入自己的