[GXYCTF2019]BabySQli

已于 2024-04-08 11:50:27 修改
阅读量25 收藏
点赞数
分类专栏: buuctf 文章标签: 网络安全
于 2023-11-20 15:00:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76723924/article/details/134499340
版权

进来只有一个登录框

查看页面源代码,没重要东西

看题目BabySqli,应该是sql注入的问题

尝试一下登录框,发现username内容是可见的,password内容是不可见的

为了方便,就注入username,因为输入的内容可见

先用sql万能密码注入试试

1' or 1=1 #

密码随便输.

提交登录

提示不给万能密码登录

观察这是一个新的页面,显示是search.php

养成习惯,查看页面源代码(每个页面的页面源代码都不同)

这回发现了有用的

有时候有用的甚至关键的信息就是放在页面源代码里的,不是第一个页面,就是进一步的第二,第三个页面,容易被忽视,让我们被卡死,解决这个问题的办法就是养成习惯用bp抓包,bp里面Request和Response页面都会将页面源码和回显内容一起返回,不容易忽视源码中藏着的注释信息

接着看这个注释信息,

MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5

全是字母,又没有==的base64特征,那么首先猜是base32加密的

在线网站base32解密

结果是:

c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==

"=="结尾,明显的base64特征,果断拿去base64解密

结果

select * from user where username = '$name'

这是在告诉我们后端sql查询逻辑,注入点是name

因为username框注入的是name,所以我们前面注入用户名框是正确的,是注入点(带入数据库中查询)

密码框可能就不是注入点(内容不带入数据库中查询)

知道注入点在usename,知道是单引号注入,那就开始构建语句吧

先用联合查询查询字段数(列数)

1' union select 1,2,3#

回显wrong user,但是没有说字段数错误,这应该是另一个问题,用户错误的问题

先继续搞定字段数的问题,再解决这个用户的问题

加一个字段,这次查询4个字段,1' union select 1,2,3,4# 返回

Error: The used SELECT statements have a different number of columns

说明是字段数错误,说明这个数据库只有3列数据,字段数为3,

接着我们要解决wrong user的问题了,

发现当1' union select 1,2,3#改为admin' union select 1,2,3#时,这个wrong user就不会出现了,而是出现wrong pass了,也就是后端有可能会判断我们传入的sql语句,判断里面有没有admin,admin可能是正确的用户名,他只需要我们语句里面有admin就行了,

那wrong pass又是什么呢?猜测应该是指pw的值错误,尝试数组绕过pw的值

pw[]=1

还是提示wrong pass,此外还提示了md5(),应该是指pass的值得是md5值?

到这里实在不会了,没思路

正解:
利用sqli的特性:当联合查询并不存在的数据时,联合查询会构造一个虚拟的数据在数据库当中

比如联合查询之前,数据库是这样子的

执行联合查询:

select * from 'users' where name='person' union select 1,'admin','e10adc3949ba59abbe56057f20f883e',4,5

执行后数据库:

按照我们的输入,sqli在数据库中写入数据,相当于伪造了一个身份,就可以用这个身份登录了

相当于我们伪造了一条数据

id=1,name=admin,password=e10adc3949ba59abbe56057f20f883e,photo=4,money=5

当数据库中没有这条数据时,执行联合查询,就会将查询的值用来创建这条数据

我们现在知道对方数据库里的字段数是3,即只有3列数据

那根据刚刚的wrong user和wrong pass,猜测其中有两列分别是user和pass,即用户名和密码,剩下一列可能是id,或者其他,反正影响也不大,最重要的是user和pass这两列,因为这两列的值会检测,不对的时候会报错

那就猜测3个字段是id,user,pass先吧

但是我们不知道他们的顺序,即有可能是user,pass,id

可以通过测试来判断顺序

返回wrong user,说明第一个字段(第一列)不是放用户名的地方,即不是user

放第二列看看

报错变为wrong pass,说明第二列放的是user,只不过pass有误

pass的值是我们可以控制的,传入md5值就好

将123的md5值202CB962AC59075B964B07152D234B70传进去,

后面试了下发现他后台对md5值的大小写敏感,大写不能过,小写才能过

用小写吧 ,123的小写md5 32位加密是202cb962ac59075b964b07152d234b70

当我们联合查询注入1' union select 1,'admin','202cb962ac59075b964b07152d234b70'#的时候,对方数据库就已经产生了以下的数据了

iduserpass
1admin202cb962ac59075b964b07152d234b70

这个时候再与运算这个密码123,即&pw=123,就能登陆这个新创建的用户admin了,

这道题登陆成功后就会回显flag 像这样

疑问解决:

为什么#后面的内容pw=1不会被注释?

因为在网址栏中#只是单纯的字符,带入数据库中才是注释作用,但是name带入数据库,pw不带入,所以name中的#不会注释pw

q不回安定区
关注
专栏目录
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4833
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1467
[GXYCTF 2019]BabySqli
[GXYCTF2019]BabySQli1
m0_62706061的博客
10-17 1275
ctf
BUUCTF[GXYCTF2019]BabySQli
firecjh的博客
06-15 365
筛选有用的代码,发现代码赋值$result时使用了mysqli_query()函数,这个函数用于执行某个针对数据库的查询并且规定只能查询字符串,证明了上面的猜测,从代码中可以发现$arr使用了mysqli_fetch_row函数,将所有返回结果作为枚举数组,所有返回结果又是从数据库中查询出来的,说明数组的值和数据库的值相同,那么查询数据库的值时也相当于在查数组的值,由于之前返回了联合查询时返回了wrong pass!发现成功返回flag。
[GXYCTF2019]BabySQli 1
qq_44724114的博客
05-06 558
4. 用union联合注入,不知道是不是hackbar的问题,说我的sql语法有错,用bp抓包,修改就没问题(百思不得其解)。202cb962ac59075b964b07152d234b70这个是123通过MD5解密而来的数据。要注意 name=1’不能写成=admin’ 这样会查询到两个admin账户,要使只有我们现在查询的admin,只能union前面查询的数据没有显示才行。再一次进行base64解密,得到sql语句。进行一次base32解密。
GXYCTF2019 babysqli
weixin_45751765的博客
09-09 285
0x00 初试 一开始以为普通sql注入题 fuzz一下没过滤什么东西 or大小写直接绕过就行,但两个括号绕过之前倒没遇上过,尝试了各种编码好像也没用…
[GXYCTF2019]BabySQli1-BUUCTF
chinese_cabbage0的博客
02-05 970
主要是一个buuctf题目的解题过程,大家可以参考一下
BUUCTF——[GXYCTF2019]BabySQli
Ho1aAs‘s Blog
05-27 1212
文章目录利用点解题分析完 利用点 SQL字符型注入 UNION SELECT联合查询特性 解题 search.php的注释发现hint <!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5--> 先base32再base64 select * from user where username = '$name' 明白了查询语句,先试试admi
[GXYCTF2019]BabySQli 1(详解)
A86445的博客
10-16 243
e10adc3949ba59abbe56e057f20f883e为md5加密后的密码,原因是在开发过程中为了更好的保护密码。到这里有点束手无策,上网看了一下大6们的解题思路豁然开朗,以下是大佬提供的源代码。无回显,爆出字段为3,暂时猜测为 id,username,password。经过一系列测试下来发现过滤了,括号,or ,|,=发现有一处逻辑漏洞在如下。
[gxyctf2019]babysqli
03-16
"babysqli" 是一个 SQL 注入的题目,通常用于漏洞挖掘和安全测试目的。它通常包含一个网页表单,该表单将用户输入的数据插入到 SQL 查询中,如果网站没有正确地过滤和验证用户输入,那么攻击者可能能够通过注入恶意 ...
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 99
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
[GXYCTF2019]BabySQli sql注入
m0_46412682的博客
08-12 734
[GXYCTF2019]BabySQli sql注入 1、输入单引号’ 2、猜有多少字段 1’ order by 3# 看来又过滤,那就用bp抓包fuzz 导入字典 3、经测试过滤了or order =等字符,但是没有过滤union select,可以通过select猜有多少字段 1’ union select 1,2,3,4# 1’ union select 1,2,3# ,返回wrong user,说明有三个字段 但是在源代码中有一串数字 MMZFM422K5HDASKDN5TVU3S
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8492
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
【超强组合】基于淘金优化算法GRO-BP-Adaboost的数据分类预测算法Matlab实现.rar
最新发布
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
VMware Workstation Pro 和 VMware Fusion 安装与配置指南
10-08
内容概要:本文档详细指导了如何在不同的主机环境下,通过 VMWare 的两款产品——Workstation Pro 和 Fusion 进行新虚拟机的构建流程以及具体的操作要点说明。 适用人群:希望在单一机器上部署多操作系统的工作环境或学习测试场景的技术人员和学生。 使用场景及目标:旨在帮助初学者搭建属于自己的虚拟机实验平台,从而方便进行软件测试或者研究操作系统相关的新特性等任务,同时也有利于团队间的协作和资源调配。 注意事项:文中涉及的具体操作如下载源文件、配置网络参数时要注意版权合法性问题和技术安全防范。此外还需依据各自电脑的软硬件条件适当增减虚拟机的资源设定。
科研经费管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
10-08
科研经费管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
使用Python Matplotlib进行图形输出与保存详解(包含详细的完整的程序和数据)
10-08
内容概要:本文详细介绍了使用 Python 的 Matplotlib 库来输出和保存图形的方法。不仅涉及了基本流程,如生成图表并将之导出成PNG、PDF和SVG等不同格式的内容,还包括高级话题如设置透明度、分辨率以及制作包含图形元素的HTML页面等。文章通过一个具体的示例代码讲解了各个环节的关键细节和技术要点。 适用人群:对数据可视化有兴趣的初学者及具有一定基础想要深入学习 Matplotlib 使用技巧的技术人员。 使用场景及目标:适用于需要掌握 Matplotlib 不同输出选项及其特点的应用场合,尤其是当需要生成用于打印或网页展示的高质量、可自定义外观的图形时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值