【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)

原创 已于 2025-09-30 08:55:39 修改 · 1.1w 阅读 · 9 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #sql #gopher协议 #CTF

于 2023-08-01 23:05:21 首次发布
本文详细剖析了一道CTF题目,涉及web安全中的SQL注入问题。通过分析源代码和利用SSRF漏洞,确定注入点在cookie中。利用gopher协议构造盲注脚本,通过不同请求的响应时间判断SQL注入成功,最终成功获取flag。

【精选优质专栏推荐】


每个专栏均配有案例与图文讲解,循序渐进,适合新手与进阶学习者,欢迎订阅。

文章目录

解题过程

在这里插入图片描述
登录处直接注入会提示you are not an inner user, so we can not let you have identify~

查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:

在这里插入图片描述
先在登录处抓包判断注入参数:

在这里插入图片描述

不难判断注入点为cookie

因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。

gopher协议的相关知识点参考:

【网络安全】gopher协议原理、语法及利用总

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF攻防世界 file_include 解题(php伪协议+convert转换过滤器)
等风来
07-31 7340
也就是说我们修改POC之后得到的check.php中的内容其实是逻辑判断代码,与flag无关。由代码审计可知,可通过filename参数构造POC,来读取check.php。回显的代码使用了正则表达式来匹配指定的字符串,如果输入中包含了。故猜想flag在flag.php中,修改POC即可得到flag。该题涉及到 convert转换过滤器。中的任何一个字符串,就会关闭脚本。猜测关键字被过滤,怎么办呢?题目描述:怎么读取文件呢?对于本题,将初始POC。
网络安全 | CTF攻防世界wife_wife解题
等风来
07-23 8610
可以看到,后端编程语言为Node.js,若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。
ctf-web: Gopher协议利用 -- GHCTF Goph3rrr
weixin_59166557的博客
03-11 631
Gopher是一种面向文档的分布式信息检索协议,诞生于1991年,比万维网(WWW)出现还早。它曾经用于在互联网中以层级目录的形式组织和访问文档。Gopher协议的URL以。
攻防世界web新手 - very_easy_sql(非常细的wp)
热门推荐
yuanxu8877的博客
11-27 1万+
攻防世界web新手 - very_easy_sql(非常细的wp),希望大家不要吝啬您的点赞收藏哦。
[攻防世界]very_easy_sql
GKDf1sh
01-24 1173
# [攻防世界]very_easy_sql 参考链接:https://blog.youkuaiyun.com/yuanxu8877/article/details/128069145 ### 0x00 前置知识 - ssrf + gopher协议 - sql注入(报错注入or时间) - python脚本编写 ssrf可以利用协议作为探针访问内网,如http,file,dict,ftp,gopher等 ## gopher协议ssrf联合使用 > gopher协议是一种信息查找系统,他将Inter
攻防世界Web题wp解(难度3)
m0_63138919的博客
08-04 599
本文为攻防世界web题难度3的解题思路和方法
攻防世界-very-easy-sql
chinese_cabbage0的博客
02-28 3515
攻防世界的这个题目的细解,没有比这个更加全面,更加通俗易懂的了,大家可以参考一下,学生到很多东西
攻防世界very_easy_sql
qq_45955869的博客
05-29 1103
提示:攻防世界very_easy_sql提示:死记硬背记不住的内部网络时间报错建议保存。
网络安全 | CTF攻防世界 weak_auth 解题
等风来
05-21 8020
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
Web安全攻防世界08 very_easy_sql
weixin_42789937的博客
12-25 4870
Web安全攻防世界08 very_easy_sql,我也有点稀里糊涂,经过了多次失败,终于水了一篇混杂了30%的博文链接+60%的错误解法+文末10%官网wp的博文~
简易SQL----Easy
09-07
简单化SQL增删改查,支持Access数据库。 可复制粘贴字段,方便写SQL语句。
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 8230
攻防世界 -- very_easy_sql
攻防世界 very_easy_sql
weixin_63640108的博客
06-12 1717
我理解的是相当于内网穿透,你获取到其中一个内网主机,可以用这个内网主机作为服务器向其他的内网机器发起攻击。报错注入模板 admin') and extractvalue(1, concat(0x7e, (select @@version),0x7e)) #4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);报错的回显最大位数为32位,此时我们只获得了32位,需要用substr函数进行分割读取。分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。
攻防世界--very_easy_sql
08-26 6766
页面显示"you are not an inner user, so we can not let you have identify~",就是说只能内部访问登录。这里抓包还看到返回包里有个set-cookie。注入点在cookie,通过使用时间payload然后再base64转码,编写脚本。构造ssrf语句实现从内部访问。...
攻防世界Web very_easy_sql
DG_s1mple
12-31 2232
时间 和 Bool 很像,区别就是 “参照物” 的不同,Bool 是通过页面的一些变化来进行判断结果,但是有时候,执行一些 sql 语句的测试,页面不会有像布尔那样直观的变化,这个时候可以在布尔的基础上结合 if 判断和 sleep() 函数来得到一个时间上的延迟参照,也就可以让我们进行一些判断。当你在index.php登录admin,admin的时候,是不会登录成功的,只能在use.php用ssrf去登录,因为它需要在内部登录。很幸运的是,好像登录上去了,这一串解码出来是admin。
攻防世界 - Web - Level 3 | very_easy_sql
Blue17 の 小窝
12-29 2330
再联想一下 SQL 注入注入点这不就出来了,既然注入点在 Cookie 这里,那携带 Payload 其实也不需要了(Payload 本来就是为了去后端查表,验证用户是否是正规用户的,Cookie 也有这个作用)。下面继续深入思考一下,我们是利用目标靶场的 use.php 页面发起的请求,所以对于 use.php 而言,靶场首页的登录框,对他而言其实应该是在本地的,所以我们这里的 HOST 需要改为。利用此脚本,即可生成对应的 gopher 协议脚本,比如,我们测试用户名为。
very_easy_sql-攻防世界
szhangliwenya的博客
04-02 654
(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)重新构造一个gopher的payload,带上这个cookie的内容再去访问use页面:由于不回显,所以选择时间,用admin') and if(1,sleep(5),1)#进行测试,或者') and if(1,sleep(5),1)#都可。官方wp里写使用admin,admin弱密码账号,还说登录框是用来校验这个用户名和密码是否再数据库中存在的,所以还是没告诉是弱密码。构造ssrf语句实现从内部访问。
【愚公系列】2023年05月 攻防世界-Webvery_easy_sql
时光隧道
05-27 8175
SSRF(Server Side Request Forgery)是一种安全漏洞,攻击者可以利用该漏洞远程发送请求,使得目标服务器处理攻击者指定的请求,而不是合法的请求。攻击者可以利用此漏洞,访问受保护的资源,或者从外部网络中执行任意命令。Gopher协议是一种用于访问互联网资源的协议,通过gopher协议可以访问各种不同类型的协议,包括http、ftp、SMTP等。攻击者可以利用gopher协议来构造恶意请求,从而利用SSRF漏洞攻击目标系统。
2.攻防世界 very_easy_sql
2401_86760082的博客
02-13 1430
例如,一个应用程序需要从用户输入的 URL 中读取数据,攻击者可以将这个 URL 指向内部网络地址或其他受保护的资源。由于服务器通常具有更高的权限和更广泛的网络访问权限,因此可以绕过网络访问控制,访问内部系统或其他受保护的资源。文件上传功能:当应用程序对上传的文件进行处理,如解文件中的 URL 并发起请求时。可以对内部网络的其他服务发起攻击,例如对内部的 Redis 服务发送恶意命令,进行数据篡改或信息窃取。绕过网络防火墙,因为请求是从内部服务器发起的,而不是外部攻击者直接发起。
攻防世界web easy_sql
最新发布
08-15
攻防世界Web题目中,名为 `easy_sql` 的挑战通常涉及SQL注入漏洞的利用。尽管没有直接提及 `easy_sql` 的完整解法,但可以从类似题目中推断出一些常见的解题思路和步骤。 ### 解题思路 #### 1. SQL注入基础 题目通常会提供一个登录框或输入框,允许用户输入用户名或密码。攻击者可以通过构造恶意输入,尝试绕过身份验证或提取数据库信息。常见的做法是使用 `' OR '1'='1` 类似的语句来绕过登录验证。 #### 2. 判断注入点 通过在输入框中输入特殊字符(如 `'` 或 `"`),观察页面返回是否报错或行为异常。如果出现SQL错误信息,则说明存在SQL注入漏洞。 #### 3. 爆破数据库信息 一旦确认存在注入点,可以使用联合查询(`UNION SELECT`)来提取数据库信息。例如: ```sql -1') UNION SELECT 1,2,group_concat(table_name) FROM information_schema.tables WHERE table_schema='ctftraining'; --+ ``` 此语句可以用来获取数据库中的表名,从而进一步分表结构和内容[^3]。 #### 4. 获取敏感数据 在获取到表名后,可以继续使用类似的方法获取表中的字段名和数据。例如,如果发现了一个名为 `users` 的表,可以使用以下语句获取用户名和密码: ```sql -1') UNION SELECT 1,2,group_concat(username,':',password) FROM users; --+ ``` #### 5. 绕过过滤机制 某些情况下,题目可能会对输入进行过滤或转义。此时,可以尝试使用编码(如URL编码或十六进制编码)来绕过过滤机制。例如,使用 `%27` 替代 `'` 或者使用 `0x` 表示十六进制字符串。 #### 6. SSRF结合利用 在某些复杂的题目中,SQL注入可能与其他漏洞(如SSRF)结合使用。例如,通过SQL注入获取到后台管理页面的访问权限后,再利用SSRF漏洞访问内部系统[^2]。 ### 总结 `easy_sql` 类型的题目通常围绕SQL注入展开,重点在于如何构造有效的注入语句并绕过可能存在的过滤机制。解题的关键在于理解SQL注入的基本原理,并能够灵活运用各种注入技巧。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值