BUUCTF-[SUCTF 2019]EasySQL1

最新推荐文章于 2024-05-04 19:57:42 发布
最新推荐文章于 2024-05-04 19:57:42 发布
阅读量2.5k 收藏 19
点赞数 15
分类专栏: BUUCTF 文章标签: 安全漏洞 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/120188186
版权

目录​​​​​​​

题目:

分析:

知识点:

其他问题:

1、select 1 from table_name的意思为:

题目:

分析:

先尝试输入。

输入非0数字的时候会有一个回显

输入大小写字母的时候没有回显 

 判断是什么闭合 :输入1#能输出,而输入 1' 和1'#没有输出,"被过滤掉,大致上可以按照数字型进行猜测。

 输入特殊字符也没有报错回显,所以报错注入基本上没戏了

输入很多关于sql语句的东西(and,or,union,if,order from )都会显示Nonono,所以联合查询也没戏

 

再尝试时间盲注 ,sleep也被ban了,时间盲注也不行

再尝试布尔盲注,因为if、and也被ban,所以布尔盲注也基本上没戏

payload:1 and length(database())>=1#

 最后看看堆叠注入:(终于!!!!)

payload:1;show tables#
payload:1;show databases#


#因为from被ban了,所以无法使用show columns from 表名

堆叠能够使用,但是因为过滤了from,handler(类似于select),所以能够查找的信息也很有限

然后想到这准备用BUUCTF-[强网杯 2019]随便注1__Monica_的博客-CSDN博客的方法:

结果:

至此sql注入绝大部分方法都不行了,还是太菜,只能看看大佬博客。

知识点:

我们知道默认情况下在MySQL中|| 运算符是逻辑或运算符(即or),但取决于PIPES_AS_CONCAT SQL模式。如果启用了set sql_mode=pipes_as_concat模式,则 || 运算符用作字符串连接,这和Oracle数据库是一样的,即用作CONCAT()函数的同义词。

插入:concat可以连接多个字符串如concat('id','name',','user')等。

例子:

 输入非零数字得到结果一直是1和而输入其余字符的数据就得不到回显=>来判断出内部的查询语句可能存在有||(即or:或运算)。

那么内置语句就可以猜测为:
sql="select post['query'] || flag from Flag";

原理:

MySQL中字符串与数字比较的坑

mysql之字符串进行运算或大小比较 

本地测试:

 

 

但是输入'1xxxx'等数字开头的字符串也不会返回1,可能是把数字开头的字符串过滤或者将post['query']进行了验证在执行sql语句,暂时还不知道原因。

然后或结果为0之后也不会输出0的原因可能为:

在执行sql语句之前进行对 post['query'] || flag 的验证,如果结果为0则不执行sql语句,返回空

方法1:

payload:*,1
1可以换成任何数字,但不能是其他(原因不知道)

这样我们执行的语句就为:
select *,1||flag from Flag
即:
select *,1 from Flag;

 后面的[1]=>1 是因为列名中有一个1;新增加了一个值为1,列名为1的列。

方法2:

payload:1;set sql_mode=pipes_as_concat;select 1

#使用set sql_mode = pipes_as_concat将||作为字符串连接函数
那么sql语句就会为:
select 1;set sql_mode=pipes_as_concat;select 1||flag from Flag;
即:
select 1;set sql_mode=pipes_as_concat;select concat(1,flag) from Flag;

意思为:
输出1;将||作为concat使用;将输出结果中的1和flag字段连接起来;

其他问题:

1、select 1 from table_name的意思为:

在这里插入图片描述

2、php中输出flase不会输出0,而是输出空,输出true时输出1。

<?php
echo true;
echo "</br>";

echo false;
echo "</br>";

echo 2>1;
echo "</br>";

echo 1>2;
echo "</br>";

echo (1>2)==false;
echo "</br>";

echo (1>2)==0;
echo "</br>";

var_dump(1>2);
echo "</br>";

var_dump(2>1);
?>

 结果:

3、mysql表名命名规则

采用26个英文字母(区分大小写)和0-9的自然数(经常不需要)加上下划线'_'组成,命名简洁明确,多个单词用下划线'_'分隔

所以:

select concat('f','lag') from Flag;
这种绕过flag的思路是不对的。
因为这种会当做先select 'f','lag' from Flag 然后在使用concat将f和lag连接起来

 

如果去掉单引号

 就会把user和name当做users这个表中的字段使用,而users表中没有这两个字段,所以会报错。

_Monica_
关注
  • 15
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF [SUCTF 2019]EasySQL
qq_42158602的博客
01-10 7496
打开界面 试了一下有三种显示 还有一个没有输出 可以堆叠注入 1;show databases; 1;show tables; 可以看到有一个Flag表 测试发现from flag都被过滤不能直接读到flag 想了很久想不到 看别人wp了~ 看见听说比赛的时候原理泄漏了的 select $_GET['query'] || flag from flag 是这样 md 谁想的到啊 别...
BUUCTF[SUCTF 2019]EasySQL
楼阁de猫的博客
09-25 465
利用原理: (1)补充系统变量@@sql_modesql_mode:是一组mysql支持的基本语法及校验规则 PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似 猜测后台sql语句为: select 接受的变量 || flag form flag; payload: 1;set sql_mode=pipes_as_contact;select1; //闭合 //设置变量
BUU ctf [SUCTF 2019]EasySQL 1
m0_62879498的博客
03-11 2069
[SUCTF 2019]EasySQL 1 本题是 EasySQL 但是我感觉一点都不简单 。 我们打开界面发现很像上一关的随便注,但是我尝试了 联合查询 报错注入 布尔盲注 堆叠注入 发现都不能查询到 flag 。仅仅堆叠注入可以查询的 tables 一级。 查询过大佬的博客后发现本题考查的是 sql_mode sql_mode:是一组mysql支持的基本语法及校验规则 PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数
BUUCTF - [SUCTF 2019]EasySQL1
白帽子续命指南
04-26 7189
猜测后端执行语句 测试环境:BUUCTF - [SUCTF 2019]EasySQL1 通过测试发现,输入数字的时候,页面回显 输入字母页面就没有回显 而尝试执行注入语句的时候,会显示一个nonono 也就是说,没有回显,联合查询基本没戏。 好在页面会进行相应的变化,证明注入漏洞肯定是有的。而且注入点就是这个POST参数框框,就是那个inject参数。 至少我们可以把精力全部放在这个参数上。...
[SUCTF 2019]EasySQL 1
最新发布
weixin_63139305的博客
05-04 196
返回的数组,再加上给的语句Give me your flag, I will tell you if the flag is right.,推出有flag from flag,因为需要验证flag是否正确,可以猜测出sql语句可能是。根据题目的提示这是一个sql注入的题目所以我们就尝试sql注入。两个有一假,则全为假,只有全真为真。但是from被过滤了,所以戛然而止。补充 || = or的相关知识,使用短路语法就可以读出flag。解释一下这句sql语句。先输入1,发现有回显。还有一种就是堆叠注入。
[SUCTF 2019]EasySQL1
bring_coco的博客
09-22 7687
目标]Sql语句的堆叠注入[环境]Buuctf[工具]浏览器[分析]1.试试sql注入正常套路(1)先试试1有回显(2)再试试字母没有回显(3)试试单引号注入提示不一样,因此猜测这里有注入点(4)试试有多少列还是不成功,因此一般的联合查询在这里不能使用(5)基于时间的盲注和报错注入都需要嵌套联合查询语句来实现,因此可以跳过,直接试试布尔型盲注还是不成功2.利用堆叠注入(1)查找所有数据库(2)查询所有表名(3)查询Flag表中的列。
[SUCTF 2019]EasySQL1 题目分析与详解
2302_79800344的博客
02-24 1677
EasySQL
BUUCTF [SUCTF 2019]EasySQL1 writeup(详细版)
热门推荐
m0_62851980的博客
04-10 1万+
考点:堆叠注入,MySQL和mssql中||运算符的区别,运算符的意义转换(操作符重置) 打开靶机,尝试输入1查看回显: 可以看到表格回显了内容:1,用其他非0数字尝试全都回显1,那我们换个数字尝试,比如0: 什么都没有。 使用Sql堆叠注入查看信息,先用show指令查看数据库:1;show databases; 再查看一下表:1;show tables; 看到Flag表,猜测flag应该在Flag中。 但是直接select flag from Flag查询是查不...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)
Home to come
08-19 5794
(本文为个人刷题记录,不记录完整解题步骤,而是写一下自己的感悟点) 为了准备20/8/20号信安大赛,临阵磨枪刷一下题 SQL堆叠注入   这个就不再写原理了,之前也遇到很多了,就是一个sql语句";"后面可以继续执行sql查询语句。 试一下堆叠注入查询数据库 1;show databases; 查询表名 1;show tables; 这里直接用下面查询FLag表是不行的 1;show columns from Flag;# 接下来就是最迷的步骤,大佬居然可以从报错中猜出查询语句是: select $
suctf 2019 easysql怎么解
03-28
题目描述 easysql是一个基于MySQL的简单查询练习平台。在这里,你可以使用MySQL语言查询数据库中的数据。 题目链接:http://easysql.suctf2019.cn:8888/ 题解 进入网站后,可以看到一个登录页面,尝试使用常见的一些弱口令进行登录,发现均不可行。故考虑其他方式进入系统。 点击右上角的注册按钮,可以看到注册页面。试图使用SQL注入进行注册,发现不可行。 再次尝试登录,发现登录请求中带有username和password两个参数。考虑使用SQL注入进行登录。 在username参数中输入 ' or 1=1#,发现能够成功登录。进入系统后,可以看到一个名为flag的数据库。 不难猜测,flag就在这个数据库中。使用SQL语句查询flag数据库中的所有表。 SELECT table_name FROM information_schema.tables WHERE table_schema='flag'; 然后再查询每个表中的数据。 SELECT * FROM flag.table_name; 得到flag。 flag{easysql_is_so_eassssy}

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值