BUUCTF:[SUCTF 2019]EasySQL

最新推荐文章于 2024-04-05 05:33:02 发布
最新推荐文章于 2024-04-05 05:33:02 发布
阅读量5.6k 收藏 20
点赞数 15
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/108937396
版权

题目地址:https://buuoj.cn/challenges#[SUCTF%202019]EasySQL

在这里插入图片描述
SQL查询,观察回显,这里应该是用var_dump()输出

在这里插入图片描述
在测试查询的时候发现有些字符能使用,有些字符被过滤了,因此查询点进行fuzz测试,看看过滤了哪些字符

在这里插入图片描述
回包长度为523的都是可以使用的,其他的字符均已被过滤
PS:这里使用Burp进行fuzz的线程不要开太高,容易报429,fuzz的字符不多可以慢慢跑

;可以使用,尝试堆叠注入

在这里插入图片描述
在这里插入图片描述
首先这里的query参数无论我们输入数字什么都只会回显Array([0]= > 1),输入字母不会显,但是也没显示是过滤的,所以query的值如果为非数字则无法正确查询得到数据回显,那么查询语句就应该长这样

$sql = "select ".$post['query']."||flag from Flag";

在这里插入图片描述
知道查询语句了就好做了,先看一个非预期解

非预期解

||在SQL语句中表示,在查询表中的字段内容时,逗号,用于查询多个字段名

在这里插入图片描述
在这里插入图片描述
payload

*,1

在这里插入图片描述
预期解

通过修改SQL配置将或运算符||设置为连接符

set sql_mode=PIPES_AS_CONCAT;

在这里插入图片描述

payload

1;set sql_mode=PIPES_AS_CONCAT;select 1

这样拼接得到的语句就应该是

select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag;

在这里插入图片描述

末 初
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF [SUCTF 2019]EasySQL
qq_42158602的博客
01-10 7494
打开界面 试了一下有三种显示 还有一个没有输出 可以堆叠注入 1;show databases; 1;show tables; 可以看到有一个Flag表 测试发现from flag都被过滤不能直接读到flag 想了很久想不到 看别人wp了~ 看见听说比赛的时候原理泄漏了的 select $_GET['query'] || flag from flag 是这样 md 谁想的到啊 别...
BUUCTF[SUCTF 2019]EasySQL
楼阁de猫的博客
09-25 464
利用原理: (1)补充系统变量@@sql_modesql_mode:是一组mysql支持的基本语法及校验规则 PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似 猜测后台sql语句为: select 接受的变量 || flag form flag; payload: 1;set sql_mode=pipes_as_contact;select1; //闭合 //设置变量
BUUCTF—Crypto大帝的秘密武器(详解,2024年网络安全网络编程总结篇
最新发布
m0_58269520的博客
04-05 1125
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
buuctfEasySQL
qq_38634097的博客
04-18 809
pyload:1’ or1=1 # (#的意思是把后面的注释掉,在这里是注释到闭合的‘,保证语句正常执行)页面报错,说明为字符型,在构造pyload时候,需要主要闭合‘。用or是因为1=1为真,则该语句执行结果为真。1、手工判断注入类型。输入1’判断注入类型,2、构造pyload。
BUUCTFEasySQL [SUCTF 2019]
金 帛的博客
04-18 2820
BUUCTF的WP
BUUCTF【Web】EasySQL
qq_70434663的博客
02-28 1040
如果我们传入的username为1' or 1=1 #,随便输入password。既然知道了是单引号闭合,现在就尝试注入,首先了解一下万能用户名和密码。会用到以下的句型,如果用户与密码匹配正确则返回真值通过验证成功登录。因为1=1恒为真,所以SQL语句返回真值,成功绕过验证得到flag。所以尝试闭合方法,随便输入1、1'、1''密码随便输入即可。但输入1'时会报错,所以语句为单引号闭合。当输入1和1''时会出现以下的提示,××,××,××为两张表查询字段的数量。一般的,库验证登录注册。
buuctf(EasySQL)
qq_75005708的博客
04-12 230
发现过滤了flag,看了其它的wp,这道题是内部查询语句,想让||不是逻辑或,用sql_mode去转换它,设置。sql_mode它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查。还有就是这个模式下进行查询的时候,使用字母连接会报错,使用数字连接才会查询出数据,因为这个。然后我们接着查 1;回显为1,我们接着查看表 1;2.我们查看数据库 1;0就没有什么回显,然后我们去看看源代码。也只有看出post,其它也没有什么。回显是1,我们再看看0。然后我们先输入1看看。
sql_mode详解(超详细,亲测有效)
热门推荐
lky_for_lucky的博客
11-27 4万+
写在前面:处理MySQL数据库工作中遇到关于sql_mode的情况,特学习记录一下 1.sql_mode sql_mode是一组语法校验规则 2.查询sql_mode ①命令:select @@GLOBAL.sql_mode或者select @@SESSION.sql_mode 例如:②查看my.conf配置文件 例如:3.设置sql_mode ①命令:SET GLOBAL sql_mode=‘mode’;或者SET SESSION sql_mode=‘mode’;(mode替换为实际配置)。 ②修改my.
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
ORACLE第2天
07-28
NULL 博文链接:https://ws694617206.iteye.com/blog/773606
BUUCTF——[SUCTF2019]EasySQL
weixin_62248541的博客
11-28 331
BUUCTF——[SUCTF2019]EasySQL
buuctf easysql
hintll的博客
05-31 1608
[极客大挑战 2019]EasySQL 今天开始做buuctf上的web题 先看这题 打开链接后是一个登陆界面 首先想到的是弱口令试一下 admin admin admin 123 …… 都不行 然后考虑用bp爆破一下试试 但是这里有两个爆破的位置,所需要的时间比较长 所以应该不大概率的会是爆破 那么就只能考虑sql注入 对于有username和password的注入口 一般情况是在第一个username的地方注入然后将后面的password用#注释掉 先用普通的万能sql语句试一下 斜体样式 结果就直接
Buuctf-Web-[极客大挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 7663
SQL注入。
BUUCTF[极客大挑战 2019] EasySQL 1
m0_75178803的博客
06-12 3965
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客大挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
BUUCTF-Easysql(另一个题目)
m0_74167420的博客
03-10 376
因而也就要满足:select 输入的内容 || 一个列名 from 表名(select 输入数据 || flag from Flag)。注:这里的逻辑是先把||转换为连接操作符,注意分号隔断了前面的命令,所以要再次添加select来进行查询,这里把1换成其他非零数字也一样会回显flag。因为mssql中||表示连接操作符,不表示或的逻辑,flag后端又存在“或” 的逻辑,因而可以把 || 的或的逻辑改成连接符的作用就可以了。(3)查看Flag,发现被过滤,所以无法直接用堆叠注入的方法直接获取到Flag。
BUUCTF-[SUCTF 2019]EasySQL1
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的题目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了查询语句中,造成了SQL注入的漏洞。而根据引用的内容,我们可以看到当查询的字段是数字时,即使查询的字段不存在也不会报错,但当查询的字段带有英文字母时,就会产生报错。因此,在这个题目中,我们可以尝试构造一个查询语句,选择一个不存在的字段(比如1,2,2,3,5),然后通过注入的方式来获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值