碼上快樂

相關內容    簡體    繁體

一道簡單的SQL注入題

本文轉載自   查看原文   2020-04-22 00:12   1874    web

這是我真正意義上來說做的第一道SQL題目,感覺從這個題目里還是能學到好多東西的,這里記錄一下這個題目的writeup和在其中學到的東西
link:https://www.ichunqiu.com/battalion Web分類下的SQL

嘗試SQL注入

進入這個模擬環境之后,會得到一個提示為flag在數據庫中,這時候查看url欄可以發現

嗯這個就有SQL注入內味了,然后試一下id=2或者id=3,發現id=2時候可以出來提示為test,然后再往后就什么都不出來了,這時候我先假裝id后面的東西是一個數字變量,輸入id=1 and 1=1,發現網頁給出提示是這是SQL注入代碼,這說明這個網站是有對SQL注入做基本的防護的,所以現在的問題就變成了如何繞過服務器的過濾規則。

對過濾or、and、xor、not的繞過

對這些的繞過一般的操作是

  • and = &&
  • or = ||
  • xor = | # 異或
  • not = !
    現在我們換一下把輸入變成id=1 && 1=1,發現並沒有報錯,這說明我們成功進行了注入的第一步。這時候我們可以發現,很有可能該數據庫僅對我們展示了表中某一列的數據,所以現在就要判斷這個表到底有幾列,這里使用的方法是order by。url里輸入id=1 order by 1,報錯提示這是sql注入代碼,所以現在要進行進一步的繞過

SQL關鍵字過濾繞過

  • 改變大小寫:例如select變為SELect(本題中沒用)
  • 添加內聯注釋:把一些MYSQL的語句放在/*!...*/中,例如/*!order*/(本題中沒用)
  • 雙寫關鍵字:一些waf中替換使用的是replace()函數,因此可以輸入selselectect,在經過waf處理后變為select(本題中沒用)
  • 空格過濾繞過:有些waf會過濾掉注入中的空格導致無法正常允許,這里可以把空格用/**/,反單引號,(),回車等進行代替(本題中暫時不用考慮)
  • 等號繞過:使用like和rlike模擬=的功能,在不添加通配符%時候,like xxxrlike xxx= xxx是等價的(本題中暫不用考慮)
  • 添加<>或者//:因為有的waf會對<>或//進行過濾,所里可以利用這一點,使用sel<>ect進行繞過(本題有用)
    現在進行分割,注意分割時候order不要分割為了or<>der因為這樣又會引入or,現在我們輸入ord<>er by x進行嘗試,發現最多到order by 3就停止了,這說明這個表只有3列。現在我們就需要找出具體的flag位置,這就涉及到對mysql數據庫結構的了解。

查找flag

MYSQL數據庫

Mysql數據庫里面有一個數據庫叫information_schema,這個數據庫中很多有用的信息都存在這個里面

  • schemata表里面存儲了不同數據庫的信息,如下所示:
  • tables表里面存儲着每個數據庫中包含的所有的表的信息,如下所示:
  • columns表里面存儲着每個數據庫中列的信息,如下所示:

查看數據庫信息

知道這些東西之后,我們現在要找flag,我認為flag多半是在這個數據庫里面,首先我們查看一下當先數據庫的名稱,因為已知查詢到的數據是3列,現在我們要計算,輸出在前端的到底是哪一列的數據,這里我們構造一個payload為?id=1 un<>ion sel<>ect 1,2,3,發現輸出的有2,那么可以肯定輸出在前端的就是第二列。
現在我們想要知道這個表在哪個數據庫,所以就可以構造一個payload為?id=1 un<>ion sel<>ect 1,database(),3,得到前端的返回結果為

現在我們就要查找這個sqli數據庫中存在哪些表,在前面我們說過,表的信息存在tables中,所以這里構造一個payload為?id=1 un<>ion sel<>ect 1,table_name,3 from information_schema.tables whe<>re table_schema='sqli',然后可以得到該數據庫中有兩張表,一個是info,一個是users

現在我們分別查一下這兩個表里面都有哪些列,信息從columns里面查到,這時候我們可以構造payload為?id=1 un<>ion sel<>ect 1,column_name,3 from information_schema.columns where table_schema='sqli' an<>d table_name='users'?id=1 un<>ion sel<>ect 1,column_name,3 from information_schema.columns where table_schema='sqli' an<>d table_name='info',分別如下所示:

找到flag

好吧看了一下列名稱,竟然都有flag這個東西,那只能一個表一個表找了,首先找一下第一個表users,這時候我們可以構造payload為?id=1 un<>ion sel<>ect 1,flag_9c861b688330,3 fr<>om users,但是發現並出不來任何東西。。感到疑惑,好吧那就試下一個構造payload為?id=1 un<>ion sel<>ect 1,flAg_T5ZNdrm,3 fr<>om info,這時候出來結果了,如下所示:

然后復制這個flag交差,就ok啦!

感想

這是第一次做sql注入的題,雖然這個題比較簡單,但是總的來說我還是學到了不少東西的,比如Mysql數據庫中的表結構和sql注入的繞過等,我覺得還是很有教育意義的。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 碼南郵CTF一道簡單的sql注入題目 一道題講懂SQL盲注 / [第一章 web入門]SQL注入-2 第6屆藍橋杯javaA組第7題,牌型種數,一道簡單的題帶來的思考 一道關於概率的例題(考研題) 一道初二幾何題的幾種解法 某CTF平台一道PHP代碼注入 三道簡單算法題(一) 一道簡單的CTFpython沙箱逃逸題目 一道hive SQL面試題 一道SQL的面試題之聯想
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM