[GXYCTF2019]BabySQli——“绕过md5比较”

最新推荐文章于 2024-02-05 14:00:03 发布
最新推荐文章于 2024-02-05 14:00:03 发布
阅读量2.2k 收藏 19
点赞数 12
分类专栏: CTF-Web 文章标签: mysql 数据库 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/107167452
版权

TMD这道题目就是脑洞真的大!!!进入题目,一个登录框,
在这里插入图片描述
随便输入后点击登录就跳转到了search.php页面,查看源码可以发现一长传编码,
在这里插入图片描述
base32再base64解密之后是 select * from user where username = '$name'。常规sql注入手段猜测后台代码中的字段数:
1' union select 1,2#
在这里插入图片描述
1' union select 1,2,3#
在这里插入图片描述
可以测出user这个表一共有三列,猜测分别为id,username,password(经验)

在这里,这道题的用户名和密码分开检验,也就是说它是先检验username,把username对应的所有字段都查出来后,再检验密码能不能和查出来的密码对上,检验密码的过程可能会有一个md5的加密。

我们在注入的时候,发现会回显“wrong user!”,但当我们是测试admin用户时却回显wrong pass!(密码错误),很明显这里绝对存在admin这个账号。此时,我们的思路就是登上admin用户或者得到admin的密码。
在这里插入图片描述
在这里插入图片描述
在用联合注入,
1' union select 1,2,3#
回显wrong user!,说明用户不在第一列
尝试将admin放在第二列的位置,
1' union select 1,'admin',3#
回显wrong pass!,得到用户名是在第二列的位置的

于是我们便可以去猜测search.php它的后端是怎么写的:

......
$name = $_POST['name'];
$password = $_POST['pw'];
$sql = "select * from user where username = '".$name."'";   
// echo $sql;
$result = mysqli_query($con, $sql);      
$arr = mysqli_fetch_row($result);
// print_r($arr);
if($arr[1] == "admin"){
	if(md5($password) == $arr[2]){
		echo $flag;
	}else{
			die("wrong pass!");
		}
}else{
		die("wrong user!");
	 }
}
......

将查询出来的passwd和输入的密码的md5值比较,相等则登录得到flag不相等则wrong pass。
就是我们的sql语句执行时,password字段中的内容要==md5(我们密码栏输入的password)。接下里就是要绕过密码的md5验证,需要把我们输入的值和数据库里面存放的用户密码的md5值进行比较,那要怎么绕过呢?可以用联合查询语句用来生成虚拟的表数据

看了web,学到了联合注入有个技巧。在联合查询并不存在的数据时,联合查询就会构造一个 虚拟的数据。 举个例子:
最初users表中只有一行数据,
在这里插入图片描述
我们通过union select查询就可以构造一行虚拟的数据,
在这里插入图片描述
如上图,我们在users表中利用联合查询创建了一行虚拟的数据。
在这里插入图片描述
那么我们的思路就来了,我们可以利用联合查询来创建一行admin账户的续集数据,混淆admin用户的密码,将我们自定义的admin用户的密码(123)加进去,这样我们不就可以登录admin用户了吗。

我们在用户名处输入1' union select 1,'admin','202cb962ac59075b964b07152d234b70'#(202cb962ac59075b964b07152d234b70为123的md5加密值,此题由于过滤了括号,所以不能用md5()函数)。在密码处输入我们自定义的密码123,即可绕过检验,成功登陆admin账户,得到flag:
在这里插入图片描述
这样,username出的内容拼接到search.php中成了这样:

$name = $_POST['name'];
$password = $_POST['pw'];
$sql = "select * from user where username = '1' union select 1,'admin','202cb962ac59075b964b07152d234b70'#";  
// echo $sql;
$result = mysqli_query($con, $sql);      
$arr = mysqli_fetch_row($result);
// print_r($arr);
if($arr[1] == "admin"){
	if(md5($password) == $arr[2]){
		echo $flag;
	}else{
			die("wrong pass!");
		}
}else{
		die("wrong user!");
	 }
}
zhang三
关注
专栏目录
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
### CTF-WEB[GXYCTF 2019]BabyUpload分析 #### 知识点一:Web安全中的文件上传漏洞 在本题目中,我们面对的是一个典型的Web安全问题——文件上传漏洞。文件上传漏洞是Web应用程序中最常见的安全漏洞之一,它允许...
[GXYCTF2019]BabySQli
weixin_74020633的博客
11-14 393
回显密码错误,说明admin在第二字段,但是要登录就需要密码,就用到前面提到的生成一个虚拟数据,这里账号知道,需要生成一个虚拟密码,前面提到是先判断用户名,所以密码应该在后一个字段,把密码进行md5加密,密码就为md5原值。这个语句说明在判断用户时,先判断用户名,按照经验,用户名一般先用admin试一下,发现用admin时,回显为密码错误,那么接下来就该到注入题的一般步骤了。通过模糊测试,发现order by,被过滤了,那么就要用联合注入来查询了,根据回显判断有3个字段。用万能密码登录看看,得到一串码。
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2784
题目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类型分别为id,username,password 1、经过题目名提示,猜测应该是SQL注入,进入题目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
[GXYCTF 2019]BabySqli
m0_70819573的博客
03-23 437
2.此时可以利用sqli的特性,当查询一个不存在的表时会创建一个虚拟的表,且当查询原题源码时发现它会将pwMD5加密与库中数据比较,在sqli中,数据库密码一般以MD5加密或明文存放。过滤了(),database(),无法进行爆库,所以只能想是否存在admin用户,发现回显wrong pass.1.打开环境,显然是sql注入。
精美网页模版,橙色政府网站建设
05-09
模板介绍: 风格清晰大气,结构规整,内置工作流,信息签收、信息签发、互动交流等常用政府网站功能,相对其他模板,此模板增加了网站常用一些参数统计和投稿统计,主要功能全部采用自定义模型,可以任意扩展字段和...
C#做的超市管理系统。
11-17
5. 报表分析:生成销售报表、库存报表,为管理层提供决策支持。 6. 系统安全:设置用户权限,确保敏感数据的安全,防止未授权访问。 在实际开发过程中,C#和SQL Server 2005的结合使用,可以实现高效的数据处理和...
GXYCTF2019--BabySQli
Oavinci的博客
06-28 766
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
[GXYCTF2019]BabySQli1-BUUCTF
最新发布
chinese_cabbage0的博客
02-05 967
主要是一个buuctf题目的解题过程,大家可以参考一下
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4832
[GXYCTF2019]BabySQli 解题思路&过程
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2779
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
BUUCTF [GXYCTF2019]BabySQli实战
永远是少年
12-14 741
今天继续给大家介绍CTF刷题,本文主要内容是BUUCTF [GXYCTF2019]BabySQli实战。 一、题目基本情况 二、解题思路 三、题目评析
BUUCTF [web专项30][GXYCTF2019]BabySQli
yanglinchiji的博客
11-07 152
我的思路是去用union select查询列数,然后尝试username在哪个列,然后再注入临时用户数据。mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5。发现这是一句用来查询 我们提交的用户名的数据(应该没什么操作空间)可以使用union select来查询列数,那就再次增加列数来尝试。经过测试解码,解码顺序是:base32解码->base64解码。注意:这里的第三列用的是123进行md5转换后的数据,因为。双写绕过也错误,那就换个联合查询看看能不能查出来。
[CTF] union select 联合查询,linux命令执行
V1040375575的博客
12-26 842
文章目录前言一、题目二、解题步骤1.使用bp抓包分析2.成功登陆后台 前言 CTF 学习记录:union select 联合查询,linux命令执行漏洞 一、题目 提  示: hint:union,命令执行 描  述: 命令执行 打开题目页面是一个login登陆 二、解题步骤 1.使用bp抓包分析 抓取登陆发送包: POST /login.php HTTP/1.1 Host: 1.1.1.1:10766 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;
[GXYCTF2019]BabySQli 1
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码的哈希值。在第三个引用中,进行了一个简单的测试,通过联合查询将用户名设置为'zhangsan'并选择了一些假数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值