CTFer成长记录——CTF之Web专题·19强网杯—随便注

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-274.CTFer成长记录——Web专题·双写绕过2023-06-275.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-2715. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-2816.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-2917.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-29

20.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-30

21.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-0428.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-0729.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-0832.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-1033. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8

二、解法步骤

  本题考察的是堆叠注入：堆叠注入原理就是通过结束符同时执行多条sql语句；例如php中的mysqli_multi_query函数。与之相对应的mysqli_query()只能执行一条SQL，所以要想目标存在堆叠注入,在目标主机存在类似于mysqli_multi_query()这样的函数,根据数据库类型决定是否支持多条语句执行。总之，堆叠注入的触发条件很严格

  输入：1进行常规查询。

同时用order by  2，可以得出共有两列；但是本题过滤了select ，delete等关键字，要想获取数据库可以用show databases,

  结合堆叠注入的特性，构造payload：1';show databases;# 这里第一个分号表示正常查询结束，第二个分号是我们注入的sql语句结束，同时结尾仍然用#注释。

  

  可以发现爆出了许多数据库；接下来试试能不能爆表：同样用show tables

  

  114514（警觉！）说不定flag就在这表里，现在用show columns  from `1919810931114514`，查询表里的列。PS:这里查数字类型的表时，需要用反引号括起来。

查询该表：

  最后就差查数据了，查数据只能用select，但是如果直接用:1';select * from`1919810931114514`;#会发现提示select被过滤。绕过方式可以选择设置一个变量，让它的值变成该语句的16进制，最后用prepare ···· from ·····   ，execute 语句执行。

  设置变量：SeT@a=

  sql语句的十六进制：0x73656c656374202a2066726f6d20603139313938313039333131313435313460 （把select flag from ` 数字 `转换成16进制）

  语句执行：prepare execsql from @a;execute execsql;#

  完整payload：1';Set@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

  得到flag：

  最后得到flag。

三、总结

  本题能想到堆叠注入就挺难的，对select过滤处理方法也要知道；总体难度较大，目前就当增长见识了。