bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本)

最新推荐文章于 2025-04-17 20:06:25 发布
最新推荐文章于 2025-04-17 20:06:25 发布
阅读量1.4k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Bugku sql注入 文章标签: bugku-Web case语句注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/88933173
本文介绍了在Bugku-Web平台中遇到的一种特殊注入情况,即INSERT INTO语句中的CASE语句注入。由于目标系统过滤了逗号,传统延时盲注的IF语句无法使用,转而采用CASE WHEN THEN结构进行注入。通过延时盲注确定了数据库长度为5,并逐步揭示了联合表名、列名及内容,最终获取到Flag:cdbf14c9551d5be5612f7bb5d2867853。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

flag格式:flag{xxxxxxxxxxxx}
不如写个Python吧

error_reporting(0);

function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip);
return $ip_arr[0];

}

$host="localhost";
$user="";
$pass="";
$db="";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);

很明显,ip由xff头或者Remote-addr得来,然后在insert into语句中对这个ip进行查询,我们可以把注入语句加到这个ip中来进行注入。

尝试了报错盲注,没有回显,也试了bool盲注,发现length(database())的值不管设成多少页面都不报错。

最后就剩延时盲注了,简单判断下库长

最低0.47元/天 解锁文章
bugku INSERT INTO注入(基于时间的,详细教程)
wssmiss的博客
07-22 1526
题目 链接地址:http://123.206.87.240:8002/web15/ 分析 打开页面后: 分析页面的php代码 通过源码分析,注入点在x-forwarded-for:client,proxy1,proxy2的clienr处。获取用户ip,并把ip插入到client_ip表中的ip列中 因为源码第一行,关闭了错误报告,所以没有回显。在此采取基于时间的 ...
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1240
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
bugku-web-insert into 注入
realstarstarli的博客
08-09 267
insert into 注入 题目分析 题目地址http://123.206.87.240:8002/web15/ 首先题目中已经给出了php源码,先分析一下。我在原来的代码上做了一些修改,便于调试操作。 <?php //隐藏报错信息 error_reporting(0); // 函数功能获取用户的ip地址 function getIp() { // PHP使用$_SERVER['HTTP_X_FORWARDED_FOR']获取IP //
sql注入6之延时注入(借助sqli-labs版)
最新发布
jonhswei的博客
04-17 1172
在 SQLi-Labs 的 Less-9 和 Less-10 中,延时注入通过构造 SLEEP 语句,结合条件判断(如 IF、ASCII、SUBSTR),逐字符猜测数据库信息。实践步骤包括确认注入点、验证延时可行性、逐位枚举数据,并可借助 SQLMap 或脚本自动化攻击。延时注入的成功依赖于精准的 Payload 和稳定的网络环境,防御则需从输入验证、参数化查询和权限控制入手。
CTF - BugkuCTF-insert into注入
Blood_Pupil的博客
10-23 1230
代码如下 # -*- coding:utf-8 -*- import requests #&quot;database()&quot; 5 web15 确定数据库 #&quot;(select group_concat(table_name) from information_schema.tables where table_schema='web15')&quot; 14 client_ip,flag 确定表名 #&quot;(select...
Bugkuweb INSERT INTO注入
qq_26961571的博客
09-09 242
打开之后, ​ 发现了一串代码,而这串代码就是php。一看这么多,我其实还是很有畏难情绪的,感觉脑壳都大了。但是怎么办,还是得硬上啊!!都已经啃到这里了,现在放弃也太可惜了吧其实最近思虑很多,感觉没有未来。每次都说那能怎么办呢??是啊,能怎么办呢?只能尽全力去想去做,但是真的好累。我又是缺乏安全感的人,要通过自己的努力调节情绪,已经不止一次想过要放弃了,放弃是多么简单的事情,比鼓起勇气的死亡还要简单的多。 回到正题,仔细分析一下代码。 error_reporting(0);​funct..
JWT安全&预编译CASE注入
nightswatch1的博客
05-01 645
28.1大纲 Javaweb-SQL 注入攻击-预编译机制绕过 28.1.1预编译机制与case when ---防御 sql 注入:1.session2.参数绑定存储过程 #利用 session 防御 ---session 内容正常情况下是用户无法修改的 ---...
bugku webINSERT INTO注入.docx
05-16
### bugku WebINSERT INTO注入知识点详解 #### 一、背景与目标 在CTF(Capture The Flag)比赛中,Web安全挑战是常见的题型之一。本文档中的“bugku webINSERT INTO注入”是一个典型的利用SQL注入漏洞进行攻击...
SQL SERVER:把表里的数据导出成为INSERT INTO脚本的存储过程
12-19
根据提供的文件信息,我们可以构建一个详细的SQL Server存储过程来实现将表中的数据转换为`INSERT INTO`脚本的功能。此存储过程将适用于多种数据类型,并能够动态生成插入语句,以便用户可以方便地导出数据作为脚本...
sql注入case
weixin_30706691的博客
02-06 363
or 1=1or 1=1--or 1=1#or 1=1/*admin' --admin' #admin'/*admin' or '1'='1admin' or '1'='1'--admin' or '1'='1'#admin' or '1'='1'/*admin'or 1=1 or ''='admin' or 1=1admin' or 1=1--admin' or 1=1#admin' or 1=...
INSERT INTO注入--过滤‘,’的insert语句的延时注入
qq_32642035的博客
03-12 895
拿到题目,看到代码如下 地址:http://123.206.87.240:8002/web15/ flag格式:flag{xxxxxxxxxxxx} 不如写个Python吧 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['H...
时间延迟详解
weixin_30729609的博客
09-29 951
0x00 延迟注入定义 延迟注入,是一种的手法,提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级.SQLMAP、穿山甲、胡萝卜等主流注入工具可能检测不出,只能手工检测,利用脚本程序跑出结果。 0x01 延迟注入的函数 sleep() ...
Bugku的SQL注入合集
j7ur8
06-22 2243
直接挂脚本:#!usr/bin/python # -*- coding: utf-8 -*- import string import requests string=string.ascii_letters+string.digits url="http://120.24.86.145:8002/web15/" playload="'+(select case when (substring((...
JAVA 安全-JWT 安全及预编译 CASE 注入
硫酸超的博客
09-06 1408
JAVA 安全-JWT 安全及预编译 CASE 注入等SQL Injection(mitigation)利用 session 防御参数绑定方式&order by 绕过实例什么是 JWT?头部(Header)声明(Claims)签名(Signature)传输过程Javaweb-身份验证攻击-JWT 修改伪造攻击 通过前期的WEB漏洞的学习,掌握了大部分的安全漏洞的原理及利用,但是在各种脚本语言开发环境的差异下,存在新的安全问题,脚本语言类型PHP,JAVA,Python等主流开发框架会有所差异 SQ
【Java安全-1】JWT安全&预编译CASE注入
qq_41889600的博客
12-14 255
小迪安全 jwt安全
SQL 数据操作技巧:SELECT INTOINSERT INTO SELECT 和 CASE 语句详解
小万哥的博客
11-30 8171
为了方便其他设备和平台的小伙伴观看往期文章:公众号搜索,或者扫描下方二维码,关公众号,即可获取最新文章。看完如果觉得有帮助,欢迎和关
insert into语句用法_Mysql 基本语句
weixin_39948439的博客
11-26 1414
《数据分析师的自我修炼》第二篇学习文档一、查询语句相关最核心的技能1、select 查询,从一个或多个表中检索信息:select...from...2、where 过滤数据:在select语句中,数据根据where子句中指定的搜索条件进行过滤;where子句在From之后给出;操作符:=,>,<,>=,<=,!=,between,is null(null 不等同于0、空字符...
sql注入之python脚本进行时间和布尔
Idealismi的博客
02-18 498
答:时间是攻击者通过构造恶意sql语句利用sleep()延迟函数来观察数据库响应时间差异来进行推断信息和条件判断。攻击者构造SQL语句,利用条件语句改变页面响应内容或状态码,从而判断条件真假。3、时间适用于无法通过页面响应内容或状态码判断条件真假的场景。1、时间通过数据库响应时间的差异来判断条件真假。布尔通过页面响应内容或状态码的不同来判断条件真假。答:时间和布尔都是SQL注入攻击的形式,用于在无法直接获取数据的情况下推断数据库信息。5、根据以上判断、可能存在boolen
mysql 逗号分隔转列
02-28
### 实现方法 为了在 MySQL 中将逗号分隔的字符串转换为多列,可以通过创建一个辅助表来帮助解析字符串。该辅助表用于生成一系列连续整数值,以便于通过 `SUBSTRING_INDEX` 函数提取每个子串并将其作为独立的一行或多列展示。 下面是一个具体的例子说明如何实现这一目标: #### 创建测试数据 假设有一个包含逗号分隔值的单个字段的数据集如下所示[^3]: ```sql CREATE TABLE test_table ( id INT AUTO_INCREMENT PRIMARY KEY, str VARCHAR(255) ); INSERT INTO test_table(str) VALUES ('a,b,c,d,e'); ``` #### 构建辅助查询 利用系统自带的帮助主题表 `mysql.help_topic` 或者其他具有递增 ID 的表来进行联合查询,从而达到分割目的。如果无法访问默认的帮助话题表,则可以选择任何合适的替代方案,比如构建自己的数字序列表[^4]。 这里给出基于 `help_topic` 表的方法: ```sql SELECT DISTINCT SUBSTRING_INDEX( SUBSTRING_INDEX(t.str, ',', h.help_topic_id), ',', -1 ) AS value FROM test_table t JOIN mysql.help_topic h ON h.help_topic_id <= LENGTH(t.str) - LENGTH(REPLACE(t.str, ',', '')) + 1; ``` 这段 SQL 查询会返回一个新的结果集,在其中原始字符串被拆解成了多个单独的记录,每一行代表原字符串中的一个元素。 对于希望得到的结果是以列为单位而不是以行为单位的情况,可以考虑调整上述逻辑,使得每次只选取固定数量的部分并将它们分配给不同的新列名下。然而需要意的是,这种方法通常适用于已知最大可能长度的情况下;否则可能会导致某些情况下缺少必要的输出列或存在多余的空置列[^5]。 例如,如果我们知道输入的最大项数不超过五项,那么可以直接指定五个新的列名称,并相应修改 SELECT 部分的内容: ```sql SELECT MAX(CASE WHEN pos = 1 THEN val END) col1, MAX(CASE WHEN pos = 2 THEN val END) col2, MAX(CASE WHEN pos = 3 THEN val END) col3, MAX(CASE WHEN pos = 4 THEN val END) col4, MAX(CASE WHEN pos = 5 THEN val END) col5 FROM ( SELECT SUBSTRING_INDEX(SUBSTRING_INDEX(t.str, ',', n.n), ',', -1) as val, n.n as pos FROM test_table t JOIN (SELECT @row := 0) r, (SELECT a.N + b.N * 10 + 1 n FROM (SELECT 0 N UNION ALL SELECT 1 UNION ALL SELECT 2 UNION ALL SELECT 3 UNION ALL SELECT 4 UNION ALL SELECT 5 UNION ALL SELECT 6 UNION ALL SELECT 7 UNION ALL SELECT 8 UNION ALL SELECT 9) a, (SELECT 0 N UNION ALL SELECT 1 UNION ALL SELECT 2 UNION ALL SELECT 3 UNION ALL SELECT 4 UNION ALL SELECT 5 UNION ALL SELECT 6 UNION ALL SELECT 7 UNION ALL SELECT 8 UNION ALL SELECT 9) b LIMIT 5 -- Adjust limit according to the maximum expected number of elements. ) n WHERE n.n <= LENGTH(t.str) - LENGTH(REPLACE(t.str, ',', '')) + 1 ) tmp GROUP BY tmp.val IS NOT NULL; ``` 此脚本首先计算出所有潜在的位置编号(pos),接着按照位置对各部分进行分类汇总,最终形成所需的多列结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值