buuoj [CISCN2019 华北赛区 Day2 Web1] Hack World

最新推荐文章于 2022-06-11 08:19:16 发布
最新推荐文章于 2022-06-11 08:19:16 发布
阅读量1k 收藏 1
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pondzhang/article/details/105265559
版权

题意:All You Want Is In Table ‘flag’ and the column is ‘flag’
Now, just give the id of passage

fuzz一下,发现过滤了常见的关键字,包括“、select、union等。根据题意,判断存在盲注。

import requests

url = "http://2554cba6-30ef-4c0e-8231-3a4acb0acbdc.node3.buuoj.cn/index.php"
payload = {
   
    "id" : ""
}
flag = ""
for i in range(1
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
[CISCN2019 华北赛区 Day2 Web1]Hack World
qq_46266956的博客
04-24 638
[CISCN2019 华北赛区 Day2 Web1]Hack World 注入题: 直接抓包burpsuite fuzz测试 过滤了一些关键字,但能够看出来存在bool漏洞 发现当true时,Hello,glzjin wants a girlfriend. fslse时,Error Occured When Fetch Result. 据此,写脚本 import requests import string import time timeout=None def bool_blind(url):
BUUCTF - Web - [CISCN2019 华北赛区 Day2 Web1]Hack World
1tachi的博客
12-18 298
[CISCN2019 华北赛区 Day2 Web1]Hack World 测试 id=1 id=2 fuzz 一下,空格/union/order by/updatexml/and/or等字符 分析 尝试盲注,题目给出表及字段,使用异或连接,用括号代替空格 0^(ascii(substr((select(flag)from(flag)),1,1))>1) 脚本 import requests url="http://9fbcd2c9-29c1-45ee-8aa2-d17756ace4c0.no
[CISCN2019 华北赛区 Day2 Web1]Hack World题解
qq_52843575的博客
04-07 3301
[CISCN2019 华北赛区 Day2 Web1]Hack World题解 判断类型 进入页面很明显就是考sql注入,与此同时页面直接告诉你表面和列名均是flag,直接开始注入,常用的注入函数均被过滤,直接fuzz爆破,查看被过滤的具体情况 结果确定此题为sql中的布尔盲注(post传参),也同时发现一个问题,请求过快时,会被过滤掉请求 确认绕过方法 因为or被过滤,百度一波后,发现可以使用^异或来绕过 异或:相同为假,相异为真,简单来说就是 1^1=0 0^0=0 1^0=1 空格也被过滤,因此
[CISCN2019 华北赛区 Day2 Web1]Hack World 1
weixin_46196627的博客
06-11 266
[CISCN2019 华北赛区 Day2 Web1]Hack World1输入1,2返回不同信息,3时返回错误。 进行’单引号闭合,报错存有sql注入,且显示布尔false,很可能是布尔注入。 在进行sql常规注入时,发现过滤 or and || &&等。 此时可用异或注入。 1^1 false 1^0 true 0^0 false 0^1 true大佬wp python代码,可以学习一下。...
[ciscn2019 华北赛区 day1 web1]dropbox
最新发布
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值