hard

Level 5- Fred CMS

十有八九是注入,不过测试引号和转义符并没发现什么,于是跑了下密码字典,竟然发现网页提示 sql injection detected! ,然后发现原来是密码中存在or关键字

测试了username处发现未拦截关键字,那注入点应该只存在于password,那么应该就是username填admin,password处构造SQL语句条件为真即可

试了很久才发现原来是考宽字节注入,payload如下

username=admin&password=%df'<>1#

后台语句则会是

SELECT * FROM users WHERE username='admin' AND password='?'<>1

password='?' 为假即0,0<>1为真,所以整条语句为真

Level 8- Unsolvable

SQL约束攻击

注册一个账号

admin                                                                                                                                             xxx  (中间多几个空格)

123456789

然后以admin:123456789登录

Level 12- Goldjunge

一开始瞎尝试毫无头绪,后才发现有源码泄露

http://chall.tasteless.eu/level12/lucky.php~

代码为

<?php$k=$_GET['emit'];$a=substr(sprintf("%8x%05x\n",floor($k),($k-floor($k))*1000000),0,-3);$b=substr(uniqid(),0,-2);if($a==$b){print "WTF?! YOU REALLY DID IT <3<br /> flag is: t1m1ng4tt4ck";}else {print "VAR a is ".$a."<br />";print "VAR b is ".$b."<br />";}
?>

...

没错flag就在源码里,t1m1ng4tt4ck

不过还是要研究一下这题的正常解法

$a=substr(sprintf("%8x%05x\n",floor($k),($k-floor($k))*1000000),0,-3);

$a前8位是floor($k),后5位是($k-floor($k))*1000000),即后5位取决于小数部分,然后被substr,只取前11位

$b=substr(uniqid(),0,-2);

uniqid() 函数基于以微秒计的当前时间,生成一个唯一的 ID

$b的11位都取决于当前时间

所以就要构造一个比当前时间大一点的payload,然后用burp不断发包,直到刚好撞上

Level 13- Leetmore

待更

Level 14- Lifeless

待更

Level 16- Bodies

待更

Level 17- Unsolvable V2

字符集的问题

注册的时候admin后面加上\xC2

登录以admin即可

参考:Mysql字符编码利用技巧

Level 20- Do you comment?

http://chall.tasteless.eu/level20/index.php?view=flag as Quality from level20_flag join level20`

实验室的小伙伴试出来的,我之前有想过join,但是题目ban了注释符,就一直没想到绕过方法,至于为什么这里反引号能当注释用,目前还是不清楚,正在研究。。。

更:mysql中起别名用as,但as可以省略,而在可以起别名的地方,用上反引号,其后的内容都会作为别名

详见:為什麼`(backtick)能做"註釋符"

转载于:https://www.cnblogs.com/leixiao-/p/10313689.html

Tasteless challenges hard WP相关推荐

  1. Tasteless challenges medium WP

    http://chall.tasteless.eu/ 国外的一个靶场,都是单点知识,medium大部分还是比较简单 medium Level 1- Infiltration http://chall. ...

  2. 为什么我星际争霸画面是窗口_为什么我喜欢看全球星际联盟

    为什么我星际争霸画面是窗口 The Global StarCraft II League (GSL) is a StarCraft II: Legacy of the Void (SC 2) tour ...

  3. 史上最详细sql注入wp

    文章目录 sql注入wp(史上最详细) 前言 什么是SQL注入? SQL注入的原理 常见的注入方式 常见绕过技巧 常见防控SQL注入的方法 手工查询语句 Basic Challenges Less-1 ...

  4. 纵横杯2020 web wp

    title: 纵横杯2020 web wp date: 2020-12-26 18:19:03 tags: CTF categories: 比赛 link:https://yq1ng.github.i ...

  5. ISCC2021 Web WP

    目录 练武 ISCC客服冲冲冲(一) 这是啥 正则匹配最后的倔强. 登录 which is the true iscc ISCC客服一号冲冲冲(二) lovely ssti 擂台 tornado ea ...

  6. 2023 HGAME网络攻防大赛wp

    目录 WEEK1 MISC e99p1ant_want_girlfriend 神秘的海报 Where am I Crypto 兔兔的车票 神秘的电话 Be Stream WEEK2 WEEK1 MIS ...

  7. [BDSec CTF 2022] 部分WP

    组队参加了个国外的小线上赛,题目比较简单 目录 PWN pwnrace Reverse BDSec License Checker 0x1 shashdot Flag Box Simple Math ...

  8. Defcon CTF Qual 2020 部分 wp

    uploooadit 题目环境: server: gunicorn/20.0.0 via: haproxy lib:  boto3  flask https://nathandavison.com/b ...

  9. ✿ISCC2021✿题目以及部分wp

    文章目录 ISCC 部分web.杂项wp WEB ISCC客服一号冲冲冲(一) 这是啥 Web01 ISCC客服一号冲冲冲(二) 登录 misc 李华的红包 Retrieve_the_passcode ...

最新文章

  1. 怎样找到适合自己的UI设计培训班
  2. web开发中的缓存问题的研究(一)
  3. c语言实现有限域模多项式_有限域计算简述
  4. linux轮询脚本,linux驱动的等待队列(阻塞操作)和轮询(poll),缓冲区笔记
  5. linux mxnet 编译,MXnet安装和编译
  6. 树莓派 | threading01 - 创建两个子线程同时运行,两个线程各负责控制一个LED灯以不同的频率闪烁
  7. linux nginx 清除缓存文件,linux nginx 内置缓存怎么去掉
  8. 基于设备树的TQ2440的中断(2)
  9. 数据上传需要什么硬件_搭建云服务器需要什么硬件配置
  10. 使用命令行打包发布cocostudio资源
  11. linux长ping然后保存,Linux下长时间ping网络加时间戳并记录到文本
  12. UE4 骨骼重定向记录
  13. 推荐阅读投资理财经典55本
  14. php私人云,PHP源码Cloudreve乐云网盘私人云盘源码 资源下载不限速功能
  15. Golang复杂json结构体解析
  16. 计算机网络 数字签名
  17. Android WebView简要介绍和学习计划
  18. 创业干货:在众说纷纭中找到前进的方向
  19. 学Linux的第一天
  20. 聊城大学c语言实验报告,c语言程序设计(包云)c第1章概述.ppt

热门文章

  1. 自动铅笔的简笔画怎么画,自动化简笔画图片大全
  2. 杰奇运行在php7,index.php
  3. spring boot 整合 ip2region(ip地址库)
  4. 20组免费的Photoshop渐变效果素材
  5. uni-app小程序绘制海报
  6. 微信小程序采坑三:输入框设置自动获取焦点后无法自动获取焦点
  7. C++ 设计模式 建造者模式(复杂对象的构建与其表示分离)肯德基不同烧鸡的制作过程
  8. ARM7(LPC2xxx)芯片的小总结
  9. [JZOJ4274] [NOIP2015模拟10.28B组] 终章-剑之魂 解题报告(二进制)
  10. android使用动画画心形,Android中利用画图类和线程画出闪烁的心形,送给亲爱的他(她)...