Training: MySQL II (MySQL, Exploit, Training)

于 2021-04-10 15:40:04 发布
阅读量303 收藏
点赞数
分类专栏: WeChall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43753319/article/details/115575956
版权

Training: MySQL II (MySQL, Exploit, Training)

题目描述

This one is the same as MySQL1, but you have to come up with a more advanced injection to trick this authentication.
Your mission is again: Login yourself as admin.
Again you are given the sourcecode, also as highlighted version.

Enjoy!

这与MySQL1相同,但您必须使用更高级的注入来欺骗这种身份验证。

你的任务还是:以管理员身份登录。

同样,您会得到源代码,这是是高亮显示的版本。

享受吧!

查看源代码

<?php
/* TABLE STRUCTURE
CREATE TABLE IF NOT EXISTS users (
userid    INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,
username  VARCHAR(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
password  CHAR(32) CHARACTER SET ascii COLLATE ascii_bin NOT NULL
) ENGINE=myISAM;
*/
 
# Username and Password sent?
if ( ('' !== ($username = Common::getPostString('username'))) && (false !== ($password = Common::getPostString('password', false))) ) {
        auth2_onLogin($chall, $username, $password);
}
 
/**
 * Get the database for this challenge.
 * @return GDO_Database
 */
function auth2_db()
{
        if (false === ($db = gdo_db_instance('localhost', WCC_AUTH_BYPASS2_USER, WCC_AUTH_BYPASS2_PASS, WCC_AUTH_BYPASS2_DB))) {
                die('Database error 0815_2!');
        }
        $db->setLogging(false);
        $db->setEMailOnError(false);
        return $db;
}
 
/**
 * Exploit this! It is the same as MySQL-I, but with an additional check, marked with ###
 * @param WC_Challenge $chall
 * @param unknown_type $username
 * @param unknown_type $password
 * @return boolean
 */
function auth2_onLogin(WC_Challenge $chall, $username, $password)
{
        $db = auth2_db();
        
        $password = md5($password);
        
        $query = "SELECT * FROM users WHERE username='$username'";
        
        if (false === ($result = $db->queryFirst($query))) {
                echo GWF_HTML::error('Auth2', $chall->lang('err_unknown'), false);
                return false;
        }
        
        
        #############################
        ### This is the new check ###
        if ($result['password'] !== $password) {
                echo GWF_HTML::error('Auth2', $chall->lang('err_password'), false);
                return false;
        } #  End of the new code  ###
        #############################
        
        
        echo GWF_HTML::message('Auth2', $chall->lang('msg_welcome_back', array(htmlspecialchars($result['username']))), false);
        
        if (strtolower($result['username']) === 'admin') {
                $chall->onChallengeSolved(GWF_Session::getUserID());
        }
        
        return true;
}
?>
<form action="index.php" method="post">
<table>
<tr>
        <td><?php echo $chall->lang('username'); ?>:</td>
        <td><input type="text" name="username" value="" /></td>
</tr>
<tr>
        <td><?php echo $chall->lang('password'); ?>:</td>
        <td><input type="password" name="password" value="" /></td>
</tr>
<tr>
        <td></td>
        <td><input type="submit" name="login" value="<?php echo $chall->lang('btn_login'); ?>" /></td>
</tr>
</table>
</form>

MySQL II和MySQL I大同小异,区别在于MySQL II将password部分的内容单独进行校验。

function auth2_onLogin(WC_Challenge $chall, $username, $password)
{
        $db = auth2_db();
        
        $password = md5($password);        
        $query = "SELECT * FROM users WHERE username='$username'";
        
        if (false === ($result = $db->queryFirst($query))) {
                echo GWF_HTML::error('Auth2', $chall->lang('err_unknown'), false);                
            	return false;
        }
        
        
        #############################        
    	### This is the new check ###
        if ($result['password'] !== $password) {
                echo GWF_HTML::error('Auth2', $chall->lang('err_password'), false);
                return false;
        } #  End of the new code  ###        
    	#############################
        
        
        echo GWF_HTML::message('Auth2', $chall->lang('msg_welcome_back', array(htmlspecialchars($result['username']))), false);
                if (strtolower($result['username']) === 'admin') {
                $chall->onChallengeSolved(GWF_Session::getUserID());
        }
        
        return true;}

根据auth2_onLogin函数分析可知此次我们需要注入的sql语句是query = “SELECT * FROM users WHERE username=’$username’”,更上一次不同,这次密码的检测不能进行绕过,通过 $result = $db->queryFirst($query)) 和 $result[‘password’] !== $password 能够知道result中存储了sql查询的返回值(userid,username,password),故通过重新构造sql语句使返回的password是输入的password的md5的值即可

要想控制sql的返回值,首先要了解sql的select查询语句,通常使用select查询语句的格式为:select [列名] from [表名] where [条件表达式] 。这里我在TEST数据库中创建了demo表,demo表中就一列数据id,使用select对表中数据进行查询结果如图(*是选取所有列的快捷方式)。

在这里插入图片描述
但如果我们不按照select的查询格式直接查询id = ‘10’ 会得到相同的结果,只不过此处的id不是demo表中的id,相当于select直接返回了id = ‘10’ 并没有对数据位置进行检查。知道了这些就可以使用select语句构造我们想要的数据,得到一个与题目的数据库user表相同格式的数据。
在这里插入图片描述在这里插入图片描述
构造出假的管理员的用户名和密码,如何才能骗过查询让它认为我们构造的数据在数据库中,这里就要用到sql中的union操作符

在这里插入图片描述
通过下图可以看到id = ‘1’ 是我们通过select直接返回的数据,并且使用unino将其和demo表中的数据合并,但id = ‘1’这个并不在demo中通过这种方法就可以使题目以为我们构造的的管理员账号和密码在user表中。
在这里插入图片描述
这里我使用123’ union select 1,‘admin’,'21232f297a57a5a743894a0e4a801fc3 使query中的sql语句变为 SELECT * FROM users WHERE username=‘123’ union select 1,‘admin’,‘21232f297a57a5a743894a0e4a801fc3’ 因为123不在users表中,故返回值只有
在这里插入图片描述
注:此处1,‘admin’,'21232f297a57a5a743894a0e4a801fc3’对应users表中userid、username、password顺序,其中21232f297a57a5a743894a0e4a801fc3是admin的md5值,即对应密码为admin。

用户名 123’ union select 1,‘admin’,'21232f297a57a5a743894a0e4a801fc3

密码 admin

Howy_why
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
MySQL II (MySQL, Exploit, Training)简单解法
滕青山博客
03-01 248
分析 从代码可以看到username password分开来验证。通常的利用方法是使用union构造已知MD5值的查询。 查询代码: $query = "SELECT * FROM users WHERE username='$username'"; username一栏填写123' union select 1,'admin',md5('password');# 构成sql语句: SELECT * FROM users WHERE username='123' union select
mysql ii_Training: MySQL II
weixin_29268267的博客
02-07 111
首先关于SQL的select语句SELECT * FROM users WHERE username='$username'*代表着搜索全部,fromusername为在username表中搜索,where限定username为输入的值源代码截图我们可以看到表有三个关键字,分别是userid,username和password,因此在后面的构造时,也应该构造这三个参数。首先说原理(纠结了半天在大...
MYSQL Training: MySQL I
Justesss的专栏
09-04 1082
让以admin身份登录,源码: 很简单的注入 在username输入 admin‘ OR ’1‘=’1                 OK!
Training: MySQL I (MySQL, Exploit, Training)
Howie‘s Blog
04-10 220
Training: Crypto - Digraphs (Crypto, Training) 题目描述 This one is the classic mysql injection challenge. Your mission is easy: Login yourself as admin. Again you are given the sourcecode, also as highlighted version. Enjoy! 这是经典的mysql注入挑战。 您的任务很简单:以管理员身份登
Training: MySQL I
stm32F103vc的专栏
10-12 173
MySQL_Exploit.rar_0day_C 0day_Exploit_mysql c
09-22
"MySQL_Exploit.rar_0day_C 0day_Exploit_mysql c"这个标题暗示了存在一个针对MySQL的0day攻击方法,可能是通过C语言编写的代码实现。 描述中提到"MySQL_Exploit 0day 放好久了 今天传上来",意味着这个漏洞可能...
msf攻击Mysql服务.docx
04-26
2. **exploit/multi/mysql/mysql_udf_payload**:该插件专注于利用MySQL的User Defined Function (UDF)机制,通常用于root权限启动的MySQL服务,以实现root级别的提权攻击。 3. **exploit/windows/mysql/mysql_mof*...
第八节 Mysql POST基于错误注入-01
最新发布
09-15
它可以自动化地检测和exploit SQL注入漏洞。在课程中,我们使用Sqlmap来进行POST注入测试,演示如何将Burpsuite截断的HTTP请求数据包复制到文本文件中,并使用Sqlmap来进行攻击测试。 本节课程讲解了Mysql POST基于...
Exploit:GWJ31游戏
03-25
在这个特定的场景中,我们关注的是一个名为"Exploit:GWJ31游戏"的项目,它涉及到GDScript语言的使用。GDScript是一种在Godot游戏引擎中广泛使用的高级脚本语言,它允许开发者创建游戏逻辑和交互性内容。让我们深入...
Bof-exploit:Python
02-16
**Python中的缓冲区溢出(Bof-exploit)** 缓冲区溢出(Buffer Overflow, Bof)是一种常见的软件安全漏洞,主要发生在C、C++等不进行内存安全检查的编程语言中,但在Python中,由于其解释器的特性,缓冲区溢出的...
MySQL I (MySQL, Exploit, Training) 两种解法
滕青山博客
03-01 280
分析 题目已给判断登陆成功代码,第42行定义了查询语句。 验证代码 $query = "SELECT * FROM users WHERE username='$username' AND password='$password'"; 方法一 username输入admin'#即可登录。 原理:用Mysql单行注释符号#将后半句AND语句注释掉。 $query = "SELECT * FROM users WHERE username='admin'#' AND password='..
[Wechall]Training:MySQL
空心菜的博客
04-22 1417
绕过登录MySQL I:http://www.wechall.net/challenge/training/mysql/auth_bypass1/index.php 输入“admin’#”即可绕过,没有任何的字符过滤。账号密码一起的 :$query=”SELECT * FROM users WHERE username=’$username’ and password=’$password’”;绕
Wechall刷题(二) Training: MySQL I 总结
leeham的博客
08-15 1395
Training: MySQL I 总结题目题目总结分为四个部分 解题思路及部分答案 个人疑惑以及疑惑解答 常见的SQL注入语句 收获:通过本地模拟环境测试
mysql一次性获取几十万数据_【奇技淫巧】Mysql注入时,猜不到列名,获取所有数据...
weixin_39959482的博客
12-05 377
有时候我们不知道列名,因为不能访问Information_Schema或者其他原因但是我们知道表名,我们可以在不知道列名的情况下dump出该表的全部数据我们有两个表 article、admin方案一select title from article where id = 4 and 0 union SELECT group_concat(a, 0x3a, b) FROM (SELECT ...
WeChall mysql WriteUp
Bendawang's Blog
01-27 4452
WeChall mysql WriteUp
图片分类 猫狗大战 pytorch VGG
qduljy的博客
11-22 2405
使用pytorch实现猫狗大战一.简介二.理论三.实现四.总结 一.简介     猫狗大战其实是Kaggle公司(在墨尔本创立的) 于2013年举办的比赛,判断一张输入图像是“猫”还是“狗”,并分别用0,1标识出来。   AI研习社猫狗大战赛题的要求:https://god.yanxishe.com/41 (目前比赛已经结束,但仍可做为练习赛每天提交测试结果)   在这个比赛中,有25000张标记好的猫和狗的图片用做训练,有12500张图片用做测试。这个竞赛是2013年开展的,如果你能够达到80%的准确率,
Spark Mllib里的协调过滤的概念和实现步骤、LS、ALS的原理、ALS算法优化过程的推导、隐式反馈和ALS-WR算法...
weixin_34378045的博客
09-05 867
           不多说,直接上干货!       常见的推荐算法   1、基于关系规则的推荐   2、基于内容的推荐   3、人口统计式的推荐   4、协调过滤式的推荐 (广泛采用)          协调过滤的概念   在现今的推荐技术和算法中,最被大家广泛认可和采用的就是基于协同过滤的推荐方法。   协同过滤是利用集体智慧的一个典型方法。要理解什么是协...
wechall mysql关卡题解
weixin_34195142的博客
03-08 937
蓝蓝 · 2014/03/26 18:01特别鸣谢 Random Debug Slipper 对我的无私帮助PS:虽然是一份题解,但是其中某些题目的解法还有些不尽人意。如有更好的思路欢迎留言评论 :)QQ:915910623Training: MySQL I最简单的注入情况,参数没有经过任何过滤就带入查询漏洞代码:#!php function auth1_onLogin(WC_Challenge ...
Exploit failed: An invalid argument was specified. Invalid target index.
04-01
As an AI language model, I cannot assist with exploits or hacking attempts. It is important to use technology and tools ethically and legally. Please refrain from engaging in any illegal activities.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值