[极客大挑战 2019]EasySQL,[GDOUCTF 2023]反方向的钟,Buu二维码

最新推荐文章于 2024-08-19 21:44:56 发布
最新推荐文章于 2024-08-19 21:44:56 发布
阅读量1.4k 收藏 20
点赞数 28
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81866263/article/details/140831363
版权

[极客大挑战 2019]EasySQL

打开环境看一下

有两个输入框

get传输,这题是一个注入,判断一下是什么类型的

都输1的话,报错如下

1”跟上述一样

但是换成单引号

就报这个错了

这里有一个sql语句的报错提醒

那么就可以比较确定这个是 ‘ ’ 包含的字符型注入了

因为   ‘1’ 是正常的

‘1“’这个是有单引号包含的话双引号就被当成字符串执行了

‘1’’ 这样的话就会在sql语句中产生报错因为多出来了一个单引号

想试一下注入点的,结果直接就出了

同时又试了一下可以不难猜出这句sql代码如下

SELECT*FROM table_name WHERE username=''and password='';

所以在SELECT*FROM table_name WHERE username='1‘ or 1=1%23'and password='';

用另一个’闭合后然后用%23给后面的注释掉执行 or 1=1 这一个恒对的,flag就出来了

这一题还是很基础的

[GDOUCTF 2023]反方向的钟

一个同样经典的php反序列化跟文件包含

源代码如下

<?php
error_reporting(0);
highlight_file(__FILE__);
// flag.php
class teacher{
    public $name;
    public $rank;
    private $salary;
    public function __construct($name,$rank,$salary = 10000){
        $this->name = $name;
        $this->rank = $rank;
        $this->salary = $salary;
    }
}

class classroom{
    public $name;
    public $leader;
    public function __construct($name,$leader){
        $this->name = $name;
        $this->leader = $leader;
    }
    public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }
}

class school{
    public $department;
    public $headmaster;
    public function __construct($department,$ceo){
        $this->department = $department;
        $this->headmaster = $ceo;
    }
    public function IPO(){
        if($this->headmaster == 'ong'){
            echo "Pretty Good ! Ctfer!\n";
            echo new $_POST['a']($_POST['b']);
        }
    }
    public function __wakeup(){
        if($this->department->hahaha()) {
            $this->IPO();
        }
    }
}

if(isset($_GET['d'])){
    unserialize(base64_decode($_GET['d']));
}
?>

接下来进行代码审计就好了

用php内置读取文件的函数

SplFileObject 用这个读取文件

配上这个伪协议就好

php://filter/read=convert.base64-encode/resource=

这个在ipo函数上

需要通过_wakeup来触发

里面有个hahaha函数

在类classroom中就有

但是条件里面就会有在leader里的对象,那这不就是

在teacher中就有的

然后思路就清晰了

大概链子如下

school_wakeup.department->classroom_hahaha.leader->teacher->school_ipo

这里进行了base64编码所以如下:

出了

解码

这样的话就出了

Buu二维码

看一下附件

一个压缩包,没什么东西,直接解压看一下这个二维码

看属性是一个好习惯,扫一下看看吧

放010,果然

用binwalk分一下

有着两个文件,一个压缩包

直接破解

直接就出了

凡骨修IT
关注
  • 28
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php序列化)
等风来
08-24 5031
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
极客挑战2019】http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1065
极客挑战2019】http(改包)和BUU BRUTE 1 (爆破)
[GDOUCTF 2023]方向
qq_73767109的博客
06-04 736
hahaha是classroom的一个方法,所以这里要实例化classroom赋给dapartment。hahaha返回true三个变量相等其中后面两个变量明显是一个对象中的name和rank变量。a为类,b用php协议读取flag.php /代码中说了flag在flag.php中。有这两个变量的只有teacher类,所以要实例化该类并赋值给leader。返回为真的时候调用,这样又要看到dapartment调用hahaha。所以目标点加上school类中的IPO方法。
[GDOUCTF 2023]
rev1ve的博客
05-17 1074
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。
GDOUCTF web部分题解 2023
Jay17的博客
04-16 2126
GDOUCTF web部分题解 2023 (已加上NSS另外两题)
【Web】PHP序列化刷题记录
uuzeray的博客
11-27 506
再巩固下基础。
第二届祥云杯 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
[极客挑战 2019]EasySQL1
lljiuhkhk的博客
07-20 2523
CTF,sql注入,web渗透,安全入门
[极客挑战 2019]BabySQL 1
qq_43618536的博客
07-02 379
BUUCTF的[极客挑战 2019]BabySQL 1
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 711
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
[极客挑战 2019]EasySQL(sql注入)
qq_45952875的博客
03-18 159
打开发现发现是个要求输入用户名和密码的网页,首先一套f12没发现啥信息,burp抓包发现是GET方法,御剑扫了下后台都没啥用,结合题目,不然就sql注入呗。经过自己多次测试,发现'='前后有字符也能成功绕过,猜测只要字符不在表中就能输出null进而与后面拼接成true。猜测用户名和密码是拼在where后面的,用=''连接,尝试文中的'='成功获取flag。第一次做sql注入,题目。
[GDOUCTF 2023]Tea
最新发布
2301_80959088的博客
08-19 167
看形式知道是tea,仔细分析一下密钥的处理有变化,是xtea,与标准的xtea形式也不同,多了一个异或。注意三个地方,解密时循环逆过来,33和(i+j),仔细看加密代码即可理解。最近的题目都不用动态,静态分析就可以了,如图注释。注意这里key有改变,和主函数不同了。
[极客挑战 2019]EasySQL解题
siu~
08-25 954
[极客挑战 2019]EasySQL解题
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 9842
SQL注入。
BUUCTF[极客挑战 2019] EasySQL 1
m0_75178803的博客
06-12 4582
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
极客挑战 2019EasySQL
Lixunzhe0112的博客
01-17 413
admin ’ or 1=1 # + admin //之后又尝试了password后面也是可以进行注入的。尝试用admin+admin进行登陆给出:NO,Wrong username password!然后尝试在uasername后进行sql注入。登陆成功,并且给出了flag。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
web方面题目细碎知识点(持续更新)
2301_80307383的博客
08-17 875
其次$_SERVER['REQUEST_URL']并不会对参数中的特殊符号进行解密 所以$_SERVER['REQUEST_URL']可以用url编码绕过(也可以加号(+) 左中括号([) 空格( ) 点号(.)绕过'_')遇到$a('',$b)类似结构时,传入a=create_function和b=}system('tac /flag');$_SERVER['PHP_SELF']得到:/php/index.php/test/tt。其中,字符串a中表示函数需要传入的参数,字符串b表示函数中的执行语句。
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值