[CISCN2019 华北赛区 Day2 Web1]Hack World

最新推荐文章于 2024-06-05 15:00:00 发布
最新推荐文章于 2024-06-05 15:00:00 发布
阅读量657 收藏 1
点赞数
分类专栏: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266956/article/details/124378629
版权

web安全 安全 php

[CISCN2019 华北赛区 Day2 Web1]Hack World

注入题:

直接抓包burpsuite fuzz测试

在这里插入图片描述

过滤了一些关键字,但能够看出来存在bool漏洞

在这里插入图片描述

在这里插入图片描述

发现当true时,Hello,glzjin wants a girlfriend.

fslse时,Error Occured When Fetch Result.

据此,写脚本

import requests
import string
import time
timeout=None
def bool_blind(url):

    flag = ''
    strings = string.printable
    for i
最低0.47元/天 解锁文章
Jerem1ah
关注
专栏目录
[CISCN2019 华北赛区 Day2 Web1]Hack World题解
qq_52843575的博客
04-07 3334
[CISCN2019 华北赛区 Day2 Web1]Hack World题解 判断类型 进入页面很明显就是考sql注入,与此同时页面直接告诉你表面和列名均是flag,直接开始注入,常用的注入函数均被过滤,直接fuzz爆破,查看被过滤的具体情况 结果确定此题为sql中的布尔盲注(post传参),也同时发现一个问题,请求过快时,会被过滤掉请求 确认绕过方法 因为or被过滤,百度一波后,发现可以使用^异或来绕过 异或:相同为假,相异为真,简单来说就是 1^1=0 0^0=0 1^0=1 空格也被过滤,因此
[CISCN2019 华北赛区 Day2 Web1]Hack World 1
azraelxuemo的博客
07-07 411
大概就是这个题目 我是在buuctf上刷到的 因为buuctf自身的限制,网上很多脚本可能用不了 我就自己改良了一下脚本 大概思路就是盲注 我是利用把flag的每个字符串转化为二进制然后和0比较,这样平均一个字符只需要比较6-7次(因为在字母的ascii较大,为7位,数字和-较小,为6位,这个可以自己在mysql里面测试) select bin(ascii('a')) 而如果直接用字母数字{-}爆破的话需要的次数太多,可能会报不出来 import requests import time flag =.
[CISCN2019 华北赛区 Day2 Web1]Hack World1
最新发布
2301_78919866的博客
06-05 794
[CISCN2019 华北赛区 Day2 Web1]Hack World1题解
[CISCN2019 华北赛区 Day2 Web1]Hack World(排坑
weixin_45751765的博客
09-28 1484
0x00 前言 惭愧,好像是第一次做盲注题(之前肯定看过,不深入而已…) 直接看了wp进行复现了 根据特定环境适用的攻击手法,熟悉一下script编写 0x01 复现 贴一下源码方便后续理解 <?php $dbuser='root'; $dbpass='root'; function safe($sql){ #被过滤的内容 函数基本没过滤 $blackList = array(' ','||','#','-',';','&','+','or','and','`','"','i
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
2302_79800344的博客
02-28 2047
【代码】[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解。
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jerem1ah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值