BUUCTF之EasySQL [SUCTF 2019]

最新推荐文章于 2024-07-04 10:28:30 发布
最新推荐文章于 2024-07-04 10:28:30 发布
阅读量2.8k 收藏 14
点赞数 8
分类专栏: CTFのWriteUp 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/124241585
版权
本文探讨了一次PHP网站的SQL注入挑战,通过观察字符过滤和利用管道符进行堆叠注入,逐步揭示了如何绕过限制,最终获取flag。关键步骤包括利用`setsql_mode=pipes_as_concat`进行查询操纵。
摘要由CSDN通过智能技术生成

打开连接

页面就只给了这个,没有任何提示,也没有重定向,注入点明确,随便查询了几个数,页面正常,当混入字母的时候,无回显,抓包发现是POST传参,直接开始最简单的SQL注入,随便试了几个方法,基本上都被过滤掉了,用burpsuite抓包

再用fuzz字典跑一下,看看有哪些关键字被过滤掉了,这里跑的时候注意一下设置频率线程别调那么高,不然容易出现429(访问频繁)

可以看到,有许多重要的关键字被过滤掉了,什么时间盲注,报错盲注,联合查询,但也有没被过滤掉的,比如; | ||

这时候我们就可以尝试利用堆叠注入,先试试简单的,查询

1;show databases; -- -

接着再看一下表名

1;show tables; -- - 

 

再看看表内有啥,查询

1;select * from Flag; -- - 

发现又被过滤掉了,啧,还真是easy呢,只能看看大佬的WP了

发现又两种解题方法

原查询语句猜测

根据回显猜测代码里的SQL语句

我们发现回显用的是var_dump函数,当查询语句为纯数字的时候才回显,我们来看一下数据库的特性

可以看到当select 后面是数字的时候,即使查询的字段没有也不会报错,当查询的带有英文字母的时候,就会产生报错,所以初步判断查询的内容应该不是以往那种SQL注入的题目在where后面,而这里的就是在select后面的 ,试一下查询1,2,2,3,5

果然猜想正确,注意到原本查询唯独末尾的5变为了1,猜测是用到了管道符(| ||之类的),导致5回显失败,这里先试试看查询

*,1

让1根管道符中和掉,直接查询目标表的所有内容,看看会有啥

直接得到了flag?

如果没猜错在PHP里的原SQL语句应该就是

$sql = "select ".$_POST[query]."|| xxx from Flag" ;

emmm,wp里xxx是flag,我也不知道他们咋知道的是就是吧!

预解法

上面*,1解出来的flag很巧妙,但是真正的解法并非这样,我们知道原查询语句是

$sql = "select ".$_POST[query]."|| flag from Flag" ;

这时候我们可以利用数据库的语句,更改||的意思,把它改为连接符,这样的话,不管输入啥都会查询到flag这个字段,构建payload

1;set sql_mode=pipes_as_concat;select 1

这样的话SQL语句就变成了

select 1;set sql_mode=pipes_as_concat;select 1 || flag from Flag

​

set sql_mode=pipes_as_concat

这里就是把

管道符||的意思换成了连接符,相当于上SQL语句直接查询

select concat(1,flag) from Flag

 拿到flag

真是不容易啊

金 帛
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf easysql
hintll的博客
05-31 1639
[极客大挑战 2019]EasySQL 今天开始做buuctf上的web题 先看这题 打开链接后是一个登陆界面 首先想到的是弱口令试一下 admin admin admin 123 …… 都不行 然后考虑用bp爆破一下试试 但是这里有两个爆破的位置,所需要的时间比较长 所以应该不大概率的会是爆破 那么就只能考虑sql注入 对于有username和password的注入口 一般情况是在第一个username的地方注入然后将后面的password用#注释掉 先用普通的万能sql语句试一下 斜体样式 结果就直接
BUUCTF [SUCTF 2019]EasySQL
qq_42158602的博客
01-10 7515
打开界面 试了一下有三种显示 还有一个没有输出 可以堆叠注入 1;show databases; 1;show tables; 可以看到有一个Flag表 测试发现from flag都被过滤不能直接读到flag 想了很久想不到 看别人wp了~ 看见听说比赛的时候原理泄漏了的 select $_GET['query'] || flag from flag 是这样 md 谁想的到啊 别...
[SUCTF 2019]EasySQL(set sql_mode=pipes_as_concat修改||)
weixin_45253573的博客
11-09 542
都被过滤,查看公开的源码 黑名单 : $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\""; 查询语句: select $_GET['query'] || flag from flag 两种方法 都是神乎其神的网友大佬想到的 1、...
BUUCTF 【加固题 Ezsql】—基于xshell工具
最新发布
s2018414的博客
07-04 885
说明:当前在学习安全加固,buuctf中的加固题成功获取到flag,以此记录,便于后续学习。
BUUCTF--Web--[SUCTF 2019]EasySQL
weixin_44866139的博客
04-30 7819
猜测后端执行SQL语句 输入1,有回显 输入2,有回显,输入非零数字都有回显,输入字母无回显 输入1’,没回显,应该存在sql注入,猜测可能关闭了错误回显,报错注入可能行不通了 用order去试探有多少个字段,返回的都是Nonono,可能order by 参数被过滤了,联合查询就行不通了 排除了报错注入和联合查询注入,试下盲注,布尔盲注 1 and length(database())>=...
BUUCTF-EasySQL
m0_47571887的博客
11-04 600
这是一道蛮基础的sql注入的题,打开题目 一个具有黑客色彩的登陆页面,emm,没有注册窗口,在用户名或密码处加个单引号发现报错。 判断是字符型注入,通过万能密码登陆注入进去, username=admin' or 1=1 --+&password=' 拿到flag ...
BUUCTF-[SUCTF 2019]EasySQL1
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的题目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了...
BUU的SUCTF 2019 Easysql
小白渣的博客
02-05 3503
呜呜呜~~ ~自己已经好久好久都没有做题和更新博客辽 加上这次的疫情,感jio整个人都要躺发霉辽!!! 下午闲着没事终于开始了做题 打开题目发现是这样的一个页面 第一步还是老样子 先看看源码是什么样子的 应该是发现不了什么东西 我们发现是post 方法传参 我们可以发现 1;show databases; #查库 1;show tables; #查表 可以发现只有一个Flag...
buuctf-web-[SUCTF 2019]EasySQL 1-wp
居上
06-22 1000
[SUCTF 2019]EasySQL 源码 网上找的源码 <?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLink = mysqli_connect("localhost",$datauser,$datapass); if(!$MysqlL
[初级]sql注入之堆叠注入、运算符干扰[SUCTF 2019]EasySQL1
BlingZeng的博客
02-11 623
一道buuctf的题目 [SUCTF 2019]EasySQL1 并不难,主要靠猜。
buuctf [SUCTF 2019]EasySQL
qq_1873822的博客
03-02 377
#这里题目也是类似于[强网杯 2019]随便注 堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM product
BUUCTF web-[SUCTF 2019]EasySQL
m0_53314778的博客
01-16 527
[SUCTF 2019]EasySQL 输入 show tables# 爆表我们发现了Flag表 1;show columns from Flag;# 查询Flag表的内容 不给我们查,应该是过滤了某些关键字。 我再试了试order by 联合联合查询,依然是返回NO,没辙,学习开始: 这题关键:要想办法让 ||不是逻辑或 解法一: 直接输入 **,1就可的flag 题解: 内置的sql语句为: sql=“select”.post[‘query’]."||flag from Flag"; 如果$post
BuuCTF _随便注_easy_sql
羽的博客
06-29 228
常规方法试试水 可以看到表内所有的内容 用联合注入到这里的时候发现了过滤, 过滤掉了很多关键字。 不过show没过滤。 换方法: 堆叠注入 堆叠注入 1、看所有的库 2、看所有的表 3、看表的内容: 1'; show columns from 表名; #(数字串为表名的表操作时要加反引号) 看不到内容 MySQL 的 show、rename 和 alter 命令: show 可以用于查看当前数据库,当前表,以及表中的...
BUUCTF[SUCTF 2019]EasySQL
weixin_45253622的博客
05-05 197
是一道SQL注入题型。 三种回显: 输入数字: 输入英文: 输入相关注入字符: 尝试了堆叠注入: 1;show databases; # 1;show tables;# 好像离答案越来越进了。 试试 1;select * from Flag; # 经测试,发现from flag 被过滤掉了。 比赛的时候源码泄露了: select $_GET['query'] || flag from flag 解法1: payload: *,1 查询语句:
buuctf(EasySQL)
qq_75005708的博客
04-12 253
发现过滤了flag,看了其它的wp,这道题是内部查询语句,想让||不是逻辑或,用sql_mode去转换它,设置。sql_mode它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查。还有就是这个模式下进行查询的时候,使用字母连接会报错,使用数字连接才会查询出数据,因为这个。然后我们接着查 1;回显为1,我们接着查看表 1;2.我们查看数据库 1;0就没有什么回显,然后我们去看看源代码。也只有看出post,其它也没有什么。回显是1,我们再看看0。然后我们先输入1看看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值