BUUCTF-web类-第四题 [SUCTF 2019]EasySQL

最新推荐文章于 2024-11-25 22:57:33 发布
原创 最新推荐文章于 2024-11-25 22:57:33 发布 · 582 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #mysql #php #安全 #sql

本文详细解析了SUCTF2019比赛中的EasySQL题目,通过堆叠注入技巧,介绍了两种获取flag的方法。一种是通过设置sql_mode为PIPES_AS_CONCAT,将查询语句中的||转义为连接字符串;另一种是利用未过滤的*号直接查询Flag表的所有字段。

BUUCTF-web类-第四题 [SUCTF 2019]EasySQL在这里插入图片描述在这里插入图片描述
进入靶场,看到页面只有一个表单,结合题目EasySQL,猜测是注入
在这里插入图片描述
输入1,返回数组Array([0]=>1),于是输入1’,在这里插入图片描述
发现没有任何回显了,于是尝试各种基本测试手段,order by等等,发现回显Nonono。
在这里插入图片描述
之后发现存在堆叠注入,查看数据库
在这里插入图片描述
查看表在这里插入图片描述
查询Flag表中信息
在这里插入图片描述
发现查看不了,这时候想到估计要涉及到骚操作了,本萌新只能去看看write up了,结果发现有两种做法。
预期做法:
根据堆叠注入,数据库,表得查询回显,猜测源码中查询语句为

select ".$post['query']."||flag from Flag

说实话,我真不知道,大牛们是怎么猜出来得,或许这就是大牛吧。
猜测出了查询语句之后就好办了,很明显正是因为存在||或语句,当前面一个字段查询到数据时,就不会再执行导致我们得不到想要的结果。
所以思路就是将||或语句转义成连接字符串,将前一个字段的查询结果和后一个字段查询结果进行拼接,这样两个字段都会被查询。
正好mysql中有一个办法可以将||语句转义,
设置sql_mode为PIPES_AS_CONCAT后可改变’||'的含义为连接字符串。
构造payload:

1;set sql_mode=PIPES_AS_CONCAT;select 1

在这里插入图片描述
拿到flag。
本来做到这里我已经怀疑人生了,没想到还有另一种非预期解法。
由于猜测出来查询语句为

select ".$post['query']."||flag from Flag

正好由于本题没有过滤*号,那直接
构造payload:

*,1

是的,payload就这么简单,利用*号查询Flag表中得所有字段,得到flag
在这里插入图片描述
再一次怀疑人生了。

BUUCTF Web[极客大挑战2019] EasySQL
qq_36348811的博客
03-28 507
分析 型是Web型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了解一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
Buuctf-Web-[极客大挑战 2019]EasySQL 1 解及思路总结
热门推荐
m0_62239233的博客
09-16 2万+
SQL注入。
buuctf EasySQL [极客大挑战 2019] 刷笔记
Kavint的博客
03-03 261
如图,登陆界面的SQL注入目,首先想到的就是万能密码。万能密码的原理是利用or和and的优先级来使得后面的where子句为真。我们输入的payload放入sql完整语句如下。输入用户名'or '1'='1'# 密码随便输入,比如123。 用户名随便填一串字符加上'='例如dadawdaw'='
BUUCTF web-[SUCTF 2019]EasySQL
m0_53314778的博客
01-16 664
[SUCTF 2019]EasySQL 输入 show tables# 爆表我们发现了Flag表 1;show columns from Flag;# 查询Flag表的内容 不给我们查,应该是过滤了某些关键字。 我再试了试order by 联合联合查询,依然是返回NO,没辙,学习开始: 这关键:要想办法让 ||不是逻辑或 解法一: 直接输入 **,1就可的flag 解: 内置的sql语句为: sql=“select”.post[‘query’]."||flag from Flag"; 如果$post
BUUCTF_Web_[SUCTF 2019]EasySQL
阿刁〇的博客
07-28 369
BUUCTF_Web_[SUCTF 2019]EasySQL 本关运用到的注入方法为堆叠注入,是个新的知识点,所以本关的wp以做笔记为主。 首先打开靶机 查看源码之后未发现有可利用信息 所以我们直接尝试注入 输入1,2均有回显,而输入a,b均无回显,可发现输入数字有回显,输入字母无回显 输入1'无回显,猜测可能存在注入,但关闭了错误回显 尝试了联合注入、布尔盲注、报错注入、时间注入后,回显均为Nonono,全部排除 查看他人博客后,发现本关运用了堆叠注入 堆叠注入 定义:*Stacked injecti
BUUCTF-Web解(持续更新中)
最新发布
2301_80281749的博客
11-25 2864
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF [web专项8] [SUCTF 2019]EasySQL
yanglinchiji的博客
11-01 132
猜测有过滤,但是不知道过滤的是什么,先猜测过滤了select,用handler试试。来将||从or的含义转换成连接操作符,从而达到输出flag 的目的。(即select 1之后就不执行后面的内容,即flag的内容了)回想到最初输入非0数字会回显1的结果,猜测可能有||符号。输入1发现正常回显,2,3等非0数字也回显1的结果。另外不能闭合,否则不会输出后面的内容。再输入字符或其他符号,发现不再回显。发现依旧错误,猜测是flag被过滤。猜测是数字型,那就先爆库看看。注意这里的1是可以替换的。
BUUCTF-WEB
ccfly1012的博客
11-02 4189
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF--WEB
书山有路勤为径,学海无涯苦作舟
06-28 1435
可以猜测,这个输入框是搜索当前数据库里的表id号应该,回显得数据就是表words里的两个字段id和data,但是我们flag在当前数据库的。他的后端既然能做到数字回显字母不回显,说明有一个 或 结构,而且不直接回显flag,但作为一道目,from一定是from flag。mb_substr($page,n,m):返回page中从第n位开始,到n+m位字符串的值。再跳转到新的页面什么也没有就结束了,所以在这个页面,我们请点击抓包,就能发现他的秘密。内联函数:将指定的函数体插入并取代每一处调用该函数的地方。
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1797
SQL注入的解大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
BUUCTFweb方向目(四)
wanan的博客
10-06 468
BUUCTFweb方向目(四)
BUUCTF web EasySQL (sql_mode)
H4ppyD0g的博客
02-23 564
检查源码,就是一个post表单,赋值给query变量,然后提交。 既然目说是sql目,那就测试吧。 输入数字会显示1,输入字母没反应,输入双引号提示非法。这我就不会了,继续看wp 说是源码泄露在github https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql 过滤了很多 "prepare|flag|unhex|xml|...
BUUCTFWebEasySQL
qq_70434663的博客
02-28 1303
如果我们传入的username为1' or 1=1 #,随便输入password。既然知道了是单引号闭合,现在就尝试注入,首先了解一下万能用户名和密码。会用到以下的句型,如果用户与密码匹配正确则返回真值通过验证成功登录。因为1=1恒为真,所以SQL语句返回真值,成功绕过验证得到flag。所以尝试闭合方法,随便输入1、1'、1''密码随便输入即可。但输入1'时会报错,所以语句为单引号闭合。当输入1和1''时会出现以下的提示,××,××,××为两张表查询字段的数量。一般的,库验证登录注册。
BUUCTF WEB EASYSQL
qq_41696858的博客
03-10 2774
sql注入 看到login和register的双逻辑,本能反应往着二次注入里想,属于是条件反射了 现在register.php写个小脚本测试一下关键字 import requests import time sql_char = ['select', 'union', 'and', 'or', 'sleep', 'where', 'from', 'limit', 'group', 'by', 'like', 'prepare', 'a
BUUCTF web EasySQL
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-18 148
需要去猜测后端代码,通过输入非零数字有回显,其他则没回显判断存在 || ,猜测其后端代码为:select $_POST['query'] || flag from flag。|| 运算符有个短路原则,只要前面结果为 true 就不执行后面的,所以输入非零值,那结果永远是前面的那个, || 后面的不会被执行。即输入 select *,5 || sex from three 的结果与输入 select * from three 的结果一样。发现没有回显,用整型堆叠 1;pipes 是管道的意思,即: ||
BUUCTF WEB EasySQL
guishengyx的博客
10-18 195
看见登录页面 查看源码 发现什么都没有 第一反应尝试万能密码 直接出了flag
BUUCTF--Web--[SUCTF 2019]EasySQL
weixin_44866139的博客
04-30 8159
猜测后端执行SQL语句 输入1,有回显 输入2,有回显,输入非零数字都有回显,输入字母无回显 输入1’,没回显,应该存在sql注入,猜测可能关闭了错误回显,报错注入可能行不通了 用order去试探有多少个字段,返回的都是Nonono,可能order by 参数被过滤了,联合查询就行不通了 排除了报错注入和联合查询注入,试下盲注,布尔盲注 1 and length(database())>=...
Buuctf web [SUCTF 2019]EasySQL
m0_61903191的博客
09-13 2389
又是一道考察sql注入的
BUUCTF-[SUCTF 2019]EasySQL1
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值