2019年10月24日
0x00 前言在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的盲注手法和一些小tips,希望能在今后大家的比赛或者实战中带来一些实质性的帮助。0x01 XOR注入1、基本注入payloadadmin'^(ascii(mid((password)from(i)))>j)^'1
2019年10月24日
`http://web2.sniperoj.cn:10004/?username&password`得到信息:Flag is the password of admin!所以接下来的思路应该是拿admin的password,肯定是注入了然后根据题目观察来看,应该是一道盲注题,但是我尝试了一些姿势,但是不太懂为何我的payload不能照我预期进行,我也进行了本地测试,但是本地是成功的……所以很郁闷,所以引用了网上别的的脚本:#!/usr/bin/python
# coding: