ctfshow-WEB-web10( with rollup注入绕过)

已于 2024-06-23 20:15:42 修改
阅读量1.4w 收藏 16
点赞数 10
分类专栏: 《靶场实战》 文章标签: sql 网络安全 渗透测试 web安全 安全
于 2021-09-05 18:29:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/120118721
版权

SQL注入 withrollup 安全防护 漏洞利用 密码绕过
关键词由CSDN通过智能技术生成

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

ctf.show WEB模块第10关是一个SQL注入漏洞, 点击取消按钮可以获取源码, 审计代码可以发现源码中存在漏洞, 推荐使用with rollup注入进行绕过, 此关卡过滤了空格,and等关键字

1. 过滤空格, 可以使用括号()或者注释/**/绕过
2. 过滤and, 可以使用or来代替

 进来以后是一个登录界面, 盲猜是SQL注入漏洞

点击取消按钮可以获取这一关的源码, 下载到本地即可

源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我们绕过用户名的过滤条件, 在使用 with rollup注入绕过密码

with rollup 可以对 group by 分组结果再次进行分组,并在最后添加一行数据用于展示结果( 对group by未指定的字段进行求和汇总, 而group by指定的分组字段则用null占位)

我们使用万能用户名 a'/**/or/**/true/**/# 使SQL成立绕过用户名之后, 后台的SQL会查询出所有的用户信息, 然后依次判断查询处的用户名对应的密码和我们输入的密码是否相同, 这时候我们使用with rollup 对 group by 分组的结果再次进行求和统计, 由于with rollup 不会对group by 分组的字段( password)进行统计, 所以会在返回结果的最后一行用null来填充password, 这样一来我们的返回结果中就有了一个值为null的password , 只要我们登录的时候password输入框什么都不输, 那我么输入的password的值就是null, 跟查询出的用户密码相同( null == null), 从而登录成功

输入以下payload, 即可登录成功, 拿到flag

a'/**/or/**/true/**/group/**/by/**/password/**/with/**/rollup/**/#

士别三日wyx
关注
  • 10
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 842
任务环境说明:服务器场景:Server1。
rollup-plugin-web-components:通过汇总导入和注入Web组件样式和模板
02-06
yarn add rollup-plugin-web-components --dev 要么 npm install rollup-plugin-web-components -D 用法 该插件仅将组件模板注入到使用插件上下文方法发出且扩展名为.html资产中。 以下示例使用发出html页面以汇总...
ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11
最新发布
2301_82242964的博客
06-24 344
ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过页面中直接给了源码, 很明显是让我们进行代码审计, 源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功。
CTF.show:web10
qq_46230755的博客
01-15 705
web9一样。先查看一下源码, 右键查看源代码 进入style.css 发现有index.phps 在url处输入后,查看源码得到 <?php $flag=""; function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"
CTFshow web10
qq_52907838的博客
09-22 895
打开环境,是登录页面: 点击取消,自动下载源码文件index.phps: <?php $flag=""; function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam);//将上面字符串全替换为空 .
CTF show WEB10
羽的博客
02-17 4241
题目地址:https://ctf.show 打开页面点击取消按钮,出现源码。 $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; 从源码中可以得知几乎把注入用到的关键词过滤的差不多了。 正则表达式中的 /i 表明无法大小写和双写绕过关键词。 ...
ctf.show_web10
m0_56107268的博客
05-13 360
<?php $flag=""; function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam); } if (!$con) { die('C.
rollup-plugin-inject-process-env:使用Rollup在process.env中注入环境变量
05-02
因为通常在一种情况下用rollup-plugin-replace字符串是rollup-plugin-replace : console . log ( process . env . NODE_ENV ) ; ...但并非在所有其他情况下: console . log ( process . env [ 'NODE_ENV' ] ) ...
rollup-plugin-web-worker-loader:汇总插件可加载Workers。 支持内联,依赖项,源映射,NodeJS和浏览器
05-06
支持Node.js环境的捆绑工人入门yarn add rollup-plugin-web-worker-loader --dev将插件添加到汇总配置中: import webWorkerLoader from 'rollup-plugin-web-worker-loader' ;export default { entry : 'src/index....
rollup-plugin-postcss:Rollup和PostCSS之间的无缝集成
02-05
yarn add postcss rollup-plugin-postcss --dev 用法 v2.0支持汇总v1或更高版本,但它会打印汇总v2中已弃用的警告。 重大变化: v3.0仅支持汇总v2,并且基于捆绑的提取路径将根目录中生成文件的位置定位在汇总v2中...
rollup-plugin-copy:使用汇总复制文件和文件夹
05-10
yarn add rollup-plugin-copy -D # npm npm install rollup-plugin-copy -D 用法 // rollup.config.js import copy from 'rollup-plugin-copy' export default { input : 'src/index.js' , output : { file : '...
ctfshow-萌新-web10( 利用命令执行漏洞获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-10 1万+
ctf.show萌新模块 web10关,这一关考察的是命令执行漏洞的利用,闯关者需要知道3个以上PHP命令执行函数的使用,推荐使用passthru() 页面中展示了部分源码,并提示我们 flag 在 config.php 文件中 源码中过滤了 system,exec,highlight 这三个常用的PHP命令执行函数,绕过过滤条件就可以使用 eval() 函数执行PHP代码了,我们使用其他的命令执行函数即可,这里使用passthru()函数即可,先查看一下当前目录 ?...
【CTFshow】Web1-Web10
weixin_51614272的博客
12-19 440
Web1-Web10Web1直接查看源代码Web2所以打不开控制台,无论按鼠标右键还是按f12,都看不了源代码查看源代码 通过在url头部添加 view-source:Web3什么都没有,抓包看看Web4robots协议Web5又是什么都没有,考察源码泄露index.php和index.phps大多数时候御剑后台扫描扫不出来。。。Web5-Web8:[学习这篇文章](https://blog.csdn.net/a597934448/article/details/105431367)Web6考察代码泄露,w
刷题之旅第30站,CTFshow web10
cc菜的一批
02-17 861
感谢ctf show平台提供题目 点击取消按钮,我们下载到了php文件。 <?php $flag=""; function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return...
ctf.show web web1-web10
qq_61993117的博客
09-17 1841
记录一些web的知识点,本人刚开始学习web很多资料都是借鉴大佬的,许多复现的过程都是大同小异的,写的菜了请大佬们下手轻点。
CTFSHOW web入门——web10
m0_74093152的博客
02-05 245
CTFSHOWweb入门——web10
ctfshow-web10 with rollup 绕过
HAI_WD的博客
08-21 231
WITH ROLLUP是一种在SQL查询结果中使用的特殊子句,它可用于生成分组列的总计行。使用WITH ROLLUP,可以在查询结果中添加一个额外的行,显示分组结果的总计值。也就是说如果通过with rollup分组后为空,那我们的输入也为空,那么此时就可以进行绕过了。看到这个源码,可以看到只能是通过满足下面的条件来拿到flag,并且很多关键字都被拦截了。这里需要介绍一下WITH ROLLUP。这里还是使用/**/进行绕过空格。
WITH ROLLUP
05-11
WITH ROLLUP是一种SQL语句中的聚合函数,它可以将结果集按照指定列进行分组,同时还会在结果集中增加一行汇总的数据。具体来说,它会将每个分组的行添加到结果集中,并且还会为每个分组列添加一行总计。这个总计行的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值