CTF-Web-Sql注入-[SUCTF 2019]EasySQL

最新推荐文章于 2024-05-05 11:01:29 发布
最新推荐文章于 2024-05-05 11:01:29 发布
阅读量2k 收藏 5
点赞数 7
分类专栏: CTF竞赛 文章标签: sql web安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42566218/article/details/123048412
版权

BUUCTF-Web-Sql注入-[SUCTF 2019]EasySQL

题目链接:BUUCTF
类型:sql注入
知识点:堆叠注入、mysql异或、mysql服务器变量(sql_mode)、后端代码推测
解题方法:两种方法

这道题考的是一道堆叠注入,题目涉及到了后端代码推测和mysql的部分基础知识,代码推测意思就是构造前端输入根据后端回显信息去推测后端用到的是什么sql语句,这对我这种CTF小白来说根本没什么经验,所以咱就是说根本做不出来!,只能求助官方大大的wp才能勉强做出来

解题过程

方法1

通过html代码审计是post型传输,用hackbar工具分别传入整数和字符,大致推测是整型注入

  • query=1
    HOUYjg.png
    目标回显1
  • query=a
    2.png
    目标无回显,没什么错误信息,这个时候就可以先尝试整型注入了

通过数字型内联注入构造永真条件时发现目标存在过滤

  • query=1 or 1=1
    03.png

再次尝试order by也被过滤了,那就别谈什么联合注入和盲注了,后来尝试报错注入也是被过滤了,下次遇到这个情况直接先尝试堆叠注入,如果目标存在堆叠注入那就可以节省很多渗透的时间

尝试堆叠注入去查询库中的表,目标回显了数据库中的表说明存在堆叠注入

  • query=1;show tables#
    03.png
    发现flag表

尝试show出flag表中的字段被目标过滤了,desc查看flag表也被过滤了,这样的话目标应该是过滤了“flag”字符串

  • query=1;show columns from flag #
    04
  • query=1;desc flag#
    05

因为表名也叫做flag再加上from后面的语句不好去编码绕过,所以到这边就不会做了,然后看了官方大大的wp,官方的意思是根据输入0和1推测目标sql代码包含"||"操作,目标sql原语句如下

select $_POST['query'] || flag from flag

说实话,这没点做题经验还真推不出来,因为输入1或0的回显信息太少了,我严重怀疑这是给东道主的题!

有了原sql语句就好做很多了,先构造*号再加上一个数字来补全后面"||"运算缺少的操作符就可以查出flag表中的所有数据了

  • query=*,1
    06

注意这边查出flag表中的数据还多了一列1的数据,原理其实很容易理解
先来了解一下mysql的逻辑操作符知识点,也就是mysql如何处理逻辑运算的,官网其实有详细的解释,mysql的操作符运算对象是操作数也就是整数,那种字符串数据都视为0也就是假,"||“操作符也就是是或运算,格式为支持操作符的sql关键字+操作数对象1+||+操作数对象2,运算规则为两个操作数中只要一个结果为真就返回真,就返回1,下面直接通过实验来理解,使用select来进行”||"运算,`先来看为真的结果

  • select 1 || 1;select 1 || 0;
    07
    再来看看当||运算符返回假的结果
  • select 0 || 0;
    08
    因为||操作符两边的操作数都为0,即两者都为假所以返回0
    这时我们将右边的操作数0换成一个字符"a"
    注意操作符会将双引号中的数字当成整型,也就是说"1"相当于整型1
  • select 0 || "a";
    09
    可以看到"||“操作符将string数据视为假,即"字符/字符串”
    了解这些后再配合完整的查询语句来看看
  • select 1 || flag from flag;
    10
    在解释之前先来看看这条sql语句的执行顺序
  1. mysql先执行from语句将flag表中的数据零时存放到内存中
  2. 然后mysql执行select语句选择指定的数据,这时select发现有操作符运算先执行操作符运算
  3. 操作符||在对两边的操作数进行运算时发现右边的操作数对象既不是字符串又不是整型,于是又交给select
  4. select从内存中找出关于flag列名的内容,这时"1||flag"就变成了"1 || flag字符串",然后交给操作符||
  5. 操作符进行运算发现左边是真右边是假,或运算一真一假即为真,所以"1 || flag字符串"返回结果为1
  6. 最后select将最终结果"1"创建一个虚拟表打印出来

相信理解执行顺序后就应该这道为什么返回结果为1了吧!,至于为什么会将flag信息查出来是因为select在选择||操作符返回的数据以外还要选择"*"包含的数据也就是flag表中的所有内容,所以flag内容就直接被查出来了

方法2

网上搜了大佬的wp后还可以使用另外一种方法获取flag表中的内容,payload如下

  • query=1;set sql_mode=pipes_as_concat;select 1
    11

原理很简单,就是通过堆叠注入修改sql服务器模式让操作符"||“变成连接符(和concat函数一样),这样原本的sql语句就变成了select concat($_POST['query'],flag) from flag
mysql的模式模式可以通过修改系统变量sql_mode来改变服务模式,通过查询官网手册,发现这个服务模式主要是用于兼容不同mysql版本的sql语句能正常执行,而"pipes_as_concat"作用就是将操作符”||"变为连接符,官方解释如下
12
至于concat函数就不解释了后面的sql注入基础中会讲到

Toert_T
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
[GYCTF2020]Ezsqli(Mysql逐位比较)
D.MIND 的博客
04-23 489
前言 用到异或注入、bool盲注,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合盲注 文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结 这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的 一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想 异或注入就成了我的首选! 测试一下 id=1 ^ 1# Error
mysql漏洞函数xpath_【渗透重点】原理分析+题目实战轻松掌握SQL注入
weixin_31905417的博客
01-28 474
原标题:【渗透重点】原理分析+题目实战轻松掌握SQL注入前言:SQL注入web安全中最常见的攻击方式,SQL注入有很多方法,但如果只知道payload,不知道原理,感觉也很难掌握,这次就总结一下我所遇到的SQL注入方法,原理分析+题目实战。0 1Xpath报错注入涉及函数updatexml:对xml进行查询和修改extractvalue:对xml进行查询和修改报错语句构造selectextrac...
BUUCTF-EasySQL(sql注入题目)
m0_74167420的博客
03-10 368
为注释符,因而传入后台的是 select * from table_name where username='1' or 1=1 (因为1=1恒为真,所以SQL语句返回真值,成功绕过验证得到flag),则可返回真值。4、在该题目中,如果不匹配数据库也能返回真值那么就能绕过验证登录(万能用户名)。一般的,库验证登录注册查询数据会用到以下的句型,如果用户与密码匹配正确则返回。因为1=1恒为真,所以SQL语句返回真值,成功绕过验证得到flag。1、万能用户名/密码。2、在该题目中使用,
sql异同或注入总结
Aiwin的博客
10-12 1860
sql异同或注入总结与[NSSCTF 2022 Spring Recruit]babysql与[CISCN 2019华北Day2]Web1例题
CTF-REVERSE练习之算法分析2
ChuMeng1999的博客
11-29 1736
目录预备知识一、相关实验二、异或运算实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之算法分析1》。 二、异或运算 异或运算是一种数学运算,英文为Exclusive OR,常常缩写成XOR。异或运算针对二进制0和1而言,其数学符号为⊕,异或运算的法则如下: 0⊕0=0 1⊕0=1 0⊕1=1 1⊕1=0 除了二进制以外,异或运算可以扩展到任意数据类型。因为我们所接触的任何数据都可以使用二进制来表示,所以可以对二进制里面的所
BUUCTF [SUCTF 2019]EasySQL1 writeup(详细版)
m0_62851980的博客
04-10 1万+
考点:堆叠注入,MySQL和mssql中||运算符的区别,运算符的意义转换(操作符重置) 打开靶机,尝试输入1查看回显: 可以看到表格回显了内容:1,用其他非0数字尝试全都回显1,那我们换个数字尝试,比如0: 什么都没有。 使用Sql堆叠注入查看信息,先用show指令查看数据库:1;show databases; 再查看一下表:1;show tables; 看到Flag表,猜测flag应该在Flag中。 但是直接select flag from Flag查询是查不...
[SUCTF 2019]EasySQL
记录学习,一起进步
01-13 1626
[SUCTF 2019]EasySQL
web:[SUCTF 2019]EasySQL
sleepywin的博客
09-25 889
将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似.SELECT * 和 SELECT 所有列,两者差别几乎可忽略。所以查询所有字段(或者大多数字段)的时候,可以用select *来操作。|| 逻辑或的短路:a||b计算机发现a是真,那么输出a;如果a是假,那么输出bselect 1 from :建立一个临时列,这个列的所有初始值都被设为1。Mysql中的||0 || 1 = 13 || 4 = 10 || 0 = 0。
sql_mode详解(超详细,亲测有效)
热门推荐
lky_for_lucky的博客
11-27 4万+
写在前面:处理MySQL数据库工作中遇到关于sql_mode的情况,特学习记录一下 1.sql_mode sql_mode是一组语法校验规则 2.查询sql_mode ①命令:select @@GLOBAL.sql_mode或者select @@SESSION.sql_mode 例如:②查看my.conf配置文件 例如:3.设置sql_mode ①命令:SET GLOBAL sql_mode=‘mode’;或者SET SESSION sql_mode=‘mode’;(mode替换为实际配置)。 ②修改my.
[SUCTF 2019]EasySQL1 题目分析与详解
2302_79800344的博客
02-24 1063
EasySQL
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
CTF-WEB入门DOC-2019版1
08-03
1. 明确自己打CTF是为了娱乐,还是为了以后的工作发展 2. 如果是为了工作,那么需要一颗非常有毅力的心 3. 做好放弃周末休息时间的准备 4. 你的绝大多数
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
QSqlDatabase的数据库路径或名称问题
最新发布
sanqima的专栏
05-05 143
在Qt的数据库编程中,先是设置数据库的类型,然后是设置数据库文件的路径。这个setDatabaseName(“xxx.db”)函数,对路径的依赖比较敏感。在Windows平台上,需要将路径的分割符号斜杠,要写成2个//斜杠。
SQL Server的基本操作示例
weixin_58566539的博客
04-29 499
SQL Server的基本操作示例
常用SQL命令
wenxiaoba的博客
05-02 840
常用SQL语句使用说明和示例
攻防演练作为红方:postgresql提权之UDF提权 ,及其好用的工具
keyboard专栏
04-28 466
在 PostgreSQL 中,用户定义的函数(UDF)提权是一种常见的提升权限的方法,尤其是当你已经获得了数据库的访问权限但需要更高级别系统权限时。UDF 提权涉及在数据库中创建或使用函数,这些函数可以执行系统级别的命令,从而允许攻击者在数据库服务器上执行任意代码。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值